Freitagnachmittag, 16:30 Uhr. Eine E-Mail vom Geschäftsführer an die Buchhaltung: „Ich bin gerade beim Notar, es geht um eine vertrauliche Übernahme. Bitte überweisen Sie sofort 87.000 € auf folgendes Konto. Dringend, bitte nicht telefonisch nachfragen. Ich bin in einer Besprechung. Ich erkläre alles am Montag."
Die Mitarbeiterin kennt den Tonfall. Die E-Mail-Signatur stimmt. Der Name steht korrekt im Absender. Sie überweist. Am Montag stellt sich heraus: Die E-Mail kam nicht vom Geschäftsführer. Das Geld ist weg. Auf Konten in Südostasien, bereits weitergeleitet.
Das ist kein Einzelfall. Das ist CEO-Fraud. Die teuerste Form des Social Engineering. Und sie trifft nicht nur Konzerne: Besonders KMU, Kanzleien und Praxen sind betroffen, weil Entscheidungswege kurz und persönliche Beziehungen eng sind.
Social Engineering greift nicht Ihre Technik an. Sondern Ihre Mitarbeiter. Keine Firewall, kein Virenscanner und kein Patch-Management schützt vor einem überzeugenden Telefonanruf oder einer perfekt gefälschten E-Mail. Der Mensch ist das Ziel.
Was ist Social Engineering?
Social Engineering bezeichnet laut BSI die gezielte psychologische Manipulation von Menschen, um sie zu bestimmten Handlungen zu verleiten: Geld überweisen, Zugangsdaten preisgeben, Dateien öffnen oder Sicherheitsregeln umgehen.
Der Angreifer hackt nicht das System. Er hackt das Vertrauen. Er gibt sich als jemand aus, dem das Opfer vertraut: als Chef, als IT-Dienstleister, als Bankberater, als Geschäftspartner. Und er nutzt psychologische Hebel, die bei jedem Menschen funktionieren: Autorität, Zeitdruck, Hilfsbereitschaft, Angst.
| Angriffstyp | Methode | Typischer Schaden |
|---|---|---|
| CEO-Fraud / BEC | Gefälschte E-Mail vom „Geschäftsführer" mit Zahlungsanweisung | 40.000-500.000 € (Direktüberweisung) |
| Vishing | Telefonanruf als „Bankberater" oder „Microsoft-Support" | Zugangsdaten, Fernzugriff, Kontoplünderung |
| Pretexting | Erfundene Geschichte um Vertrauen zu gewinnen (z.B. „neuer IT-Dienstleister") | Netzwerkzugang, Datendiebstahl |
| Baiting | Infizierte USB-Sticks auf dem Parkplatz „vergessen" | Schadsoftware im gesamten Netzwerk |
| Tailgating | Unbefugtes Betreten gesicherter Bereiche durch „Mitlaufen" | Physischer Zugang zu Servern, Dokumenten |
| Spear-Phishing | Hochpersonalisierte Phishing-Mail auf Basis recherchierter Infos | Ransomware, Datenabfluss, Kontenzugriff |
CEO-Fraud im Detail: So läuft ein Angriff ab
CEO-Fraud (auch Business Email Compromise, BEC) ist die mit Abstand kostspieligste Variante. Das FBI beziffert den weltweiten Schaden durch BEC auf über 50 Milliarden US-Dollar in den letzten zehn Jahren. In Deutschland melden die Landeskriminalämter steigende Fallzahlen. Besonders bei KMU.
Ein typischer CEO-Fraud-Angriff folgt einem klaren Muster:
- 1 Recherche (Wochen bis Monate): Der Angreifer studiert Ihr Unternehmen: Website, LinkedIn-Profile, Handelsregister, Pressemitteilungen. Er kennt Namen, Hierarchien, Geschäftspartner und aktuelle Projekte. Oft besser als manche Mitarbeiter.
-
2
Identität aufbauen:
Eine E-Mail-Adresse wird registriert, die dem Original zum Verwechseln ähnlich sieht:
m.kopka@moovnao.dewird zum.kopka@rnoovnao.de(rn statt m). Oder das echte Postfach wird gehackt. Dann kommt die E-Mail von der korrekten Adresse. - 3 Zeitpunkt wählen: Freitagnachmittag, kurz vor Feierabend, während einer Dienstreise des echten Chefs, vor einem Feiertag. Der Angreifer wählt den Moment, in dem Rückfragen am unwahrscheinlichsten sind.
- 4 Druck aufbauen: „Vertraulich", „Dringend", „Bitte nicht telefonisch nachfragen". Der Angreifer isoliert das Opfer gezielt von der Person, die den Betrug aufdecken könnte. Gleichzeitig erzeugt er Zeitdruck und appelliert an die Loyalität.
- 5 Geld abziehen: Die Überweisung geht auf ein ausländisches Konto. Innerhalb von Stunden wird das Geld über mehrere Zwischenkonten verschoben. Nach 24-48 Stunden ist eine Rückholung nahezu unmöglich.
Ein mittelständisches Ingenieurbüro in NRW: Der „Geschäftsführer" schreibt der Buchhalterin, ein langjähriger Lieferant habe die Bankverbindung geändert. Die nächste Rechnung solle auf das neue Konto überwiesen werden. Alles wirkt plausibel. Es gab tatsächlich kürzlich eine Rechnung. 63.000 € gehen auf ein Konto in Litauen. Der echte Lieferant meldet sich drei Wochen später: Rechnung unbezahlt.
Vishing: Der Anruf vom falschen Support
Vishing (Voice Phishing) ist die telefonische Variante des Social Engineering. Der Anrufer gibt sich als Microsoft-Support, als Bankberater, als IT-Dienstleister oder als Polizist aus. Und schafft es erstaunlich oft, sein Ziel zu erreichen.
Das funktioniert, weil ein Telefonanruf persönlicher wirkt als eine E-Mail. Stimme, Tonfall und scheinbare Kompetenz erzeugen Vertrauen. Und wer am Telefon unter Druck gesetzt wird, hat weniger Zeit zum Nachdenken als beim Lesen einer E-Mail.
| Vishing-Szenario | Was der Anrufer will | Erkennungsmerkmal |
|---|---|---|
| „Microsoft-Support" | Fernzugriff per TeamViewer/AnyDesk | Microsoft ruft nie unaufgefordert an |
| „Ihre Bank" | Online-Banking-Zugangsdaten, TAN | Banken fragen nie nach TAN am Telefon |
| „Polizei / BKA" | Geldtransfer „zur Sicherung" | Polizei fordert nie telefonisch Geld |
| „Neuer IT-Dienstleister" | Admin-Zugangsdaten, VPN-Credentials | Immer intern beim bekannten Ansprechpartner verifizieren |
Besonders perfide: Mit KI-generierten Stimmen (Voice Cloning) können Angreifer inzwischen die Stimme des echten Geschäftsführers nachahmen. Ein kurzer LinkedIn-Videoclip oder ein Podcast-Auftritt reicht als Trainingsmaterial. Die Technologie ist erschreckend überzeugend. Und frei verfügbar.
Warum Social Engineering bei jedem funktioniert
Social Engineering ist keine Frage der Intelligenz oder IT-Kompetenz. Es nutzt psychologische Grundmechanismen, die in jedem Menschen verankert sind:
- → Autorität: Eine Anweisung vom Chef wird befolgt. Das ist in jeder Organisation so. Social Engineers nutzen diese Hierarchie-Reflexe gezielt aus.
- → Zeitdruck: Unter Stress treffen Menschen schlechtere Entscheidungen. „Sofort", „dringend", „noch heute". Diese Wörter aktivieren den Fluchtmodus und deaktivieren das kritische Denken.
- → Hilfsbereitschaft: Menschen wollen helfen. Ein freundlicher Anruf mit der Bitte um einen „kleinen Gefallen" ist schwer abzulehnen. Besonders wenn der Anrufer sympathisch und kompetent wirkt.
- → Angst: „Ihr Konto wurde kompromittiert", „Sie werden verklagt". Angst schaltet das rationale Denken ab und erzeugt Handlungsdruck.
- → Reziprozität: Der Angreifer tut Ihnen erst einen Gefallen (behebt ein „Problem"), dann bittet er um Zugang oder Informationen. Menschen fühlen sich verpflichtet, etwas zurückzugeben.
Wie Sie sich und Ihr Unternehmen schützen
Technische Maßnahmen allein reichen gegen Social Engineering nicht aus. Was wirkt, ist eine Kombination aus klaren Prozessen, Schulungen und Kultur:
- 1 Vier-Augen-Prinzip bei Zahlungen: Keine Überweisung über einem definierten Betrag ohne Freigabe durch eine zweite Person. Ausnahmslos. Auch wenn der Geschäftsführer es „eilig" hat.
- 2 Rückruf-Regel: Zahlungsanweisungen per E-Mail werden immer telefonisch bestätigt. Auf einer bekannten, selbst herausgesuchten Nummer. Nie auf die Nummer in der E-Mail zurückrufen.
- 3 Bankverbindungsänderungen verifizieren: Jede Änderung einer Bankverbindung von Lieferanten oder Partnern wird über einen separaten Kanal (Telefon, persönlich) bestätigt. Niemals allein auf Basis einer E-Mail.
- 4 Regelmäßige Mitarbeiterschulungen: Nicht einmal im Jahr ein PowerPoint-Vortrag, sondern regelmäßige, praxisnahe Trainings mit simulierten Angriffen. Mitarbeiter müssen die Muster kennen und üben, „Nein" zu sagen. Auch zu Vorgesetzten.
- 5 Fehlerkultur statt Schuldzuweisung: Wer auf Social Engineering hereinfällt, muss das sofort melden können. Ohne Angst vor Konsequenzen. Je schneller die Meldung, desto höher die Chance, den Schaden zu begrenzen.
- 6 Informationen begrenzen: Je weniger öffentlich über interne Strukturen, Zuständigkeiten und Projekte bekannt ist, desto schwerer hat es der Angreifer. Prüfen Sie, welche Infos auf Ihrer Website und auf LinkedIn wirklich nötig sind.
Was Cyberversicherung bei Social Engineering leistet
Social Engineering trifft genau die Lücke zwischen technischer IT-Sicherheit und menschlichem Verhalten. Eine Cyberversicherung kann den finanziellen Schaden abfedern. Aber nicht jede Police deckt Social Engineering ab.
| Schadensart | Standarddeckung | Worauf achten |
|---|---|---|
| CEO-Fraud (Überweisung) | Oft ausgeschlossen oder stark begrenzt | Explizite Social-Engineering-Klausel nötig |
| Ransomware via Social Engineering | In der Regel gedeckt | Prüfen: Obliegenheiten eingehalten? |
| Datendiebstahl durch Pretexting | Forensik + DSGVO-Beistand gedeckt | 72-Stunden-Meldepflicht beachten |
| Betriebsunterbrechung | Meist gedeckt | Wartezeit und Sublimits prüfen |
| Krisenkommunikation | Gedeckt | Besonders wichtig bei Reputationsschaden |
Der entscheidende Punkt: Wenn Sie CEO-Fraud als Risiko für Ihr Unternehmen sehen, brauchen Sie eine Police mit expliziter Social-Engineering-Klausel. Ohne diese Klausel ist der direkte Vermögensschaden durch betrügerische Überweisungen in den meisten Standardpolicen nicht gedeckt.
Social Engineering ist die gefährlichste Angriffsform. Weil sie den Menschen angreift, nicht das System. Technische Maßnahmen helfen nicht, wenn ein Mitarbeiter unter Druck 87.000 € überweist. Klare Prozesse (Vier-Augen-Prinzip, Rückruf-Regel), regelmäßige Schulungen und eine offene Fehlerkultur sind der wirksamste Schutz. Und eine Cyberversicherung mit Social-Engineering-Klausel sichert den Rest ab.
Häufige Fragen zu Social Engineering
Was ist Social Engineering?
Social Engineering bezeichnet die gezielte psychologische Manipulation von Menschen, um sie zu bestimmten Handlungen zu verleiten. Etwa zur Überweisung von Geld, zur Preisgabe von Zugangsdaten oder zur Installation von Schadsoftware. Anders als bei technischen Angriffen wird nicht das IT-System gehackt, sondern der Mensch. Die Methoden reichen von gefälschten E-Mails (CEO-Fraud) über Telefonanrufe (Vishing) bis zu physischem Eindringen (Tailgating).
Wie erkenne ich einen CEO-Fraud-Versuch?
Typische Warnsignale: ungewöhnliche Dringlichkeit bei Zahlungsanweisungen, Bitte um Geheimhaltung, leicht abweichende E-Mail-Adressen, Kommunikation außerhalb üblicher Kanäle und Zeitpunkte (kurz vor Feierabend, Freitagnachmittag). Wichtigste Regel: Zahlungsanweisungen immer telefonisch auf einer bekannten Nummer bestätigen. Niemals per E-Mail-Antwort und niemals auf die Nummer, die in der verdächtigen E-Mail steht.
Zahlt die Cyberversicherung bei CEO-Fraud?
Das hängt von der Police ab. Standardmäßig ist der direkte Vermögensschaden durch CEO-Fraud oft nicht gedeckt. Oder nur mit niedrigem Sublimit. Wenn Sie dieses Risiko absichern wollen, benötigen Sie eine Police mit expliziter Social-Engineering-Klausel. Ein produktneutraler Bedingungsvergleich zeigt, welche Anbieter das beste Preis-Leistungs-Verhältnis bieten.
Können KI-generierte Stimmen für Social Engineering genutzt werden?
Ja, und das passiert bereits. Voice-Cloning-Technologie kann mit wenigen Sekunden Audiomaterial eine überzeugende Stimme erzeugen. LinkedIn-Videos, Podcast-Auftritte oder Telefonmitschnitte reichen als Grundlage. Daher gilt: Auch bei bekannter Stimme am Telefon sollten sicherheitskritische Anweisungen (Zahlungen, Zugangsdaten) immer über einen zweiten Kanal verifiziert werden.