Was ist Social Engineering?
Social Engineering bezeichnet die psychologische Manipulation von Menschen, um sie dazu zu bringen, vertrauliche Informationen preiszugeben, Zugänge zu gewähren oder Handlungen auszuführen (z. B. Anklicken eines Links, Überweisung, Herausgabe von Passwörtern). Angreifer nutzen Autorität, Dringlichkeit, Vertrauen oder Angst – oft ohne technische Exploits, allein über Anruf, E-Mail, vorgetäuschte Identität (z. B. „IT-Support“, Vorgesetzter) oder persönlichen Kontakt.
Zusammenhang mit Phishing & GenAI
Phishing ist eine häufige Form von Social Engineering per E-Mail oder Nachricht. Mit GenAI lassen sich Texte und Kontexte täuschend echt gestalten – Sprachnachrichten, E-Mails oder gefälschte Anrufe werden schwerer erkennbar. Awareness und klare Prozesse (z. B. Rückfrage über offiziellen Kanal, keine Zugangsdaten am Telefon herausgeben) bleiben zentral.
Typische Szenarien
- Vorgeblicher IT-Support: „Ihr Account ist kompromittiert – bitte Passwort zurücksetzen“ oder Zugriff auf den Rechner.
- Vorgesetzten-Masche (CEO Fraud): Gefälschte E-Mail von „Chef“, dringende Überweisung oder Datenfreigabe.
- Pretexting: Erfundene Geschichte, um Vertrauen zu wecken und Informationen zu erhalten.
- Physisch: Zutritt durch Tailgating, Ausspähen von Bildschirmen oder Notizen.
Schutz vor Social Engineering
- Awareness-Schulungen: Mitarbeitende für typische Muster und Meldewege sensibilisieren.
- Prozesse: Kritische Aktionen (Zahlung, Freigabe, Passwort-Reset) nur über verifizierte Kanäle und Vier-Augen-Prinzip.
- Technik: MFA und phishing-resistente MFA erschweren die Ausnutzung gestohlener Zugangsdaten.
Kurz gesagt
Social Engineering zielt auf Menschen ab – nicht auf technische Lücken. Awareness, klare Prozesse und MFA reduzieren das Risiko, dass Täuschung zu Zugang oder Datenverlust führt.