Social Engineering erklärt: Der menschliche Angriffsvektor, der die Cybersicherheit neu definiert

Im Jahr 2025 führte ein einziger Social-Engineering-Angriff auf eine Kryptowährungsbörse zu Verlusten in Höhe von 1,5 Milliarden US-Dollar – dem größten Diebstahl in der Geschichte der Kryptowährungen. Der Angreifer nutzte keine Software-Sicherheitslücke aus. Er gab sich als vertrauenswürdiger Open-Source-Mitwirkender aus, gewann das Vertrauen eines Entwicklers und verschaffte sich so ungehinderten Zugang. Das ist die Realität des modernen Social Engineering. Laut dem „2025 Global Incident Response Report“ von Unit 42 begannen 36 % aller Vorfälle mit Social Engineering als ursprünglichem Zugangsvektor. Der „Verizon 2025 Data Breach Report“ ergab, dass bei 60 % der Sicherheitsverletzungen der Faktor Mensch eine Rolle spielte. Angreifer brechen nicht ein – sie werden hereingelassen.

Dieser Leitfaden behandelt die Themen Social Engineering, seine Funktionsweise, die KI-gestützten Techniken, die diese Bedrohung in den Jahren 2025 und 2026 neu definieren, Fallstudien aus der Praxis sowie die Frage, wie Unternehmen Angriffe erkennen und darauf reagieren können, die alle technischen Sicherheitsmaßnahmen umgehen.

Was ist Social Engineering?

Social Engineering bezeichnet den Einsatz psychologischer Manipulation, um Menschen dazu zu verleiten, bestimmte Handlungen auszuführen oder vertrauliche Informationen preiszugeben, wobei eher das menschliche Vertrauen als technische Schwachstellen ausgenutzt wird. Im Bereich der Cybersicherheit umfasst der Begriff jeden Angriff, der auf menschliche Entscheidungsprozesse abzielt – von einem phishing E-Mail, die sich als Führungskraft ausgibt, bis hin zu einem Anruf von einem gefälschten IT-Helpdesk. Das NIST-Glossar definiert es als „den Versuch, jemanden dazu zu verleiten, Informationen preiszugeben, die für Angriffe auf Systeme oder Netzwerke genutzt werden können“.

Was Social Engineering besonders gefährlich macht, ist seine Rolle als Oberbegriff. Es umfasst digitale Angriffe wie phishing, sprachbasiertes Vishing und textbasiertes Smishing sowie physische Techniken wie Tailgating. Dazu gehören auch hybride Angriffe, bei denen mehrere Kanäle miteinander verknüpft werden – ein Ansatz, der sich in den Jahren 2025 und 2026 zur Norm entwickelt hat.

Die Zahlen sprechen eine deutliche Sprache. Die Daten von Unit 42 zur Incident Response aus dem Jahr 2025 zeigen, dass Social Engineering bei 36 % aller untersuchten Vorfälle der Ausgangspunkt für den Zugriff war. Der DBIR 2025 von Verizon ergab, dass bei 60 % der Sicherheitsverletzungen menschliches Versagen eine Rolle spielte. Dabei handelt es sich nicht um veraltete Statistiken von vor zehn Jahren. Sie spiegeln die aktuelle Bedrohungslage wider, in der selbst Unternehmen mit ausgereiften Sicherheitsprogrammen anfällig bleiben, da ihre Mitarbeiter die Angriffsfläche bilden.

Social Engineering unterscheidet sich in einem wichtigen Punkt vom Hacking. Beim Hacking werden technische Schwachstellen in Systemen und Software ausgenutzt. Beim Social Engineering werden Vertrauen, Autorität, Angst und Dringlichkeit bei Menschen ausgenutzt. In der Praxis kombinieren die meisten modernen Angriffe beides. Ein Angreifer nutzt Social Engineering, um Zugangsdaten zu erlangen, und nutzt dann technische Exploits, um sich lateral zu bewegen. Aus diesem Grund benötigen Unternehmen sowohl Prävention als auch Erkennung – und deshalb sind Insider-Bedrohungen eng mit der Abwehr von Social Engineering verflochten.

Warum Social Engineering funktioniert: Die Psychologie der Manipulation

Social-Engineering-Angriffe sind erfolgreich, weil sie sich gut dokumentierte psychologische Prinzipien zunutze machen. Robert Cialdinis sechs Prinzipien der Beeinflussung bieten einen nützlichen Rahmen, um zu verstehen, warum diese Angriffe funktionieren.

• Autorität. Angreifer geben sich als Führungskräfte, IT-Administratoren oder Regierungsbeamte aus. Die Menschen befolgen die Anweisungen vermeintlicher Autoritätspersonen, ohne deren Legitimität zu hinterfragen.
• Dringlichkeit. Nachrichten erzeugen künstlichen Zeitdruck. „Ihr Konto wird in 15 Minuten gesperrt“ zwingt zu schnellen, unüberlegten Handlungen.
• Soziale Bestätigung. Aussagen wie „Ihre Kollegen haben dieses Sicherheitsupdate bereits installiert“ nutzen den Konformitätseffekt.
• Knappheit. Zeitlich begrenzte Angebote oder exklusiver Zugang wecken die Angst, etwas zu verpassen.
• Gegenseitigkeit. Wenn man etwas von offensichtlichem Wert anbietet (ein kostenloses Tool, ein hilfreiches Dokument), entsteht eine Verpflichtung zur Gegenleistung.
• Sympathie. Angreifer bauen zunächst eine vertrauensvolle Beziehung und Vertrautheit auf, bevor sie ihre Bitte vorbringen, insbesondere bei langwierigen Pretexting-Operationen.

Diese Auslöser umgehen rationale Entscheidungsprozesse. Der Verizon DBIR 2025 ergab, dass die durchschnittliche Zeitspanne zwischen dem Eintreffen einer phishing im Posteingang und dem Klicken des Nutzers auf den bösartigen Link nur 21 Sekunden beträgt – und die Dateneingabe bereits 28 Sekunden später beginnt. Technische Kontrollmaßnahmen allein können Entscheidungen, die in weniger als einer halben Minute getroffen werden, nicht ausgleichen.

Wie Social Engineering funktioniert

Social-Engineering-Angriffe folgen einem vorhersehbaren Ablauf. Das Verständnis dieses Ablaufs ist für die Verteidiger von entscheidender Bedeutung, da es zahlreiche Punkte aufzeigt, an denen Angriffe erkannt und unterbunden werden können.

Der Lebenszyklus eines Social-Engineering-Angriffs

1. Recherche und Aufklärung. Der Angreifer sammelt Informationen über die Zielorganisation und einzelne Personen mithilfe von Open-Source-Informationen (OSINT), sozialen Medien, Unternehmenswebsites und Daten aus früheren Sicherheitsverletzungen.
2. Entwicklung eines Vorwands. Der Angreifer entwirft ein glaubwürdiges Szenario und eine glaubwürdige Identität – beispielsweise als IT-Support-Mitarbeiter, Lieferant, neuer Mitarbeiter oder vertrauenswürdiger Open-Source-Mitwirkender.
3. Kontaktaufnahme und Aufhänger. Der Angreifer nimmt über den gewählten Kanal (E-Mail, Telefon, SMS, persönlich) Kontakt auf und schafft Vertrauen oder weckt ein Gefühl der Dringlichkeit.
4. Ausnutzung. Das Opfer führt die gewünschte Aktion aus – es klickt auf einen Link, gibt Zugangsdaten ein, überweist Geld, gewährt Zugriff oder führt einen Befehl aus.
5. Seitliche Bewegung und Eskalation. Nachdem sich der Angreifer einen ersten Zugang verschafft hat, baut er seine Präsenz durch den Diebstahl von Anmeldedaten, die Ausweitung von Berechtigungen und die Bewegung im Netzwerk aus.
6. Beenden und Deckung suchen. Der Angreifer extrahiert Daten und setzt ransomwareoder erreicht auf andere Weise sein Ziel und beseitigt anschließend die Spuren seiner Aktivitäten.

‍

Betrachten Sie, wie die Scattered Spider diesen Lebenszyklus in ihrer Einzelhandelskampagne im Jahr 2025 umgesetzt hat. Während der Erkundungsphase identifizierten sie die Abläufe des IT-Helpdesks bei großen britischen Einzelhändlern wie M&S, Co-op und Harrods. Sie entwickelten Vorwände, wonach Mitarbeiter eine Passwortzurücksetzung benötigten. Sie kontaktierten die Helpdesk-Mitarbeiter telefonisch und nutzten dabei Mitarbeiterdaten, die sie von LinkedIn und aus Unternehmensverzeichnissen gesammelt hatten. In der Ausnutzungsphase ging es darum, Passwort-Resets und Änderungen bei der MFA-Registrierung zu erwirken. Von dort aus bewegten sie sich lateral durch die Unternehmensnetzwerke und setzten schließlich ransomware ein ransomware Gesamtschaden auf 300 Millionen US-Dollar geschätzt wird.

Social-Engineering-Taktiken und psychologische Auslöser

Über den Lebenszyklus hinaus wenden Angreifer bestimmte taktische Muster an, die Verteidiger erkennen sollten.

Das Ausnutzen von Autorität ist nach wie vor der wirksamste Auslöser. Angreifer geben sich als Führungskräfte der obersten Ebene, IT-Abteilungen, Rechtsberater und Aufsichtsbehörden aus. Dicht darauf folgt das Schaffen von Dringlichkeit – erfundene Fristen, gefälschte Sicherheitswarnungen und zeitlich begrenzte Angebote zwingen die Opfer dazu, ohne Überprüfung schnell zu handeln.

Angstappelle sind immer raffinierter geworden. Anstelle plumpen Drohungen verweisen moderne Angreifer auf echte Sicherheitsvorfälle, tatsächliche Compliance-Fristen oder konkrete organisatorische Veränderungen, um ihre Szenarien glaubwürdig zu machen.

KI hat jeden einzelnen dieser Auslöser grundlegend verstärkt. Während ein menschlicher Angreifer pro Tag vielleicht ein paar Dutzend personalisierte Vorwände erstellen konnte, generieren KI-gestützte Tools innerhalb von Minuten Tausende kontextbezogene, grammatikalisch einwandfreie Nachrichten. Dieser Wandel vom handwerklichen Vorgehen hin zu industriellem Maßstab ist die entscheidende Veränderung in der Bedrohungslandschaft der Jahre 2025–2026.

Arten von Social-Engineering-Angriffen

Social Engineering umfasst mehr als ein Dutzend unterschiedliche Angriffsarten. Jede nutzt andere Vertrauensvektoren und Übertragungskanäle aus. Der folgende Katalog behandelt die wichtigsten Kategorien und enthält, sofern verfügbar, Links zu entsprechenden Seiten mit ausführlichen Informationen.

Phishing ist die häufigste Form des Social Engineering. Dabei werden betrügerische E-Mails, Nachrichten oder Websites genutzt, um Opfer dazu zu verleiten, Zugangsdaten preiszugeben oder malware. Eine umfassende Übersicht finden Sie unter phishing.

Spear phishing zielt auf bestimmte Personen oder Organisationen ab und nutzt personalisierte Inhalte, die auf der Grundlage von Vorab-Recherchen erstellt wurden. Ausführliche Informationen finden Sie unter phishing “.

Bei Vishing (Voice phishing) werden Telefonanrufe genutzt, um Opfer zu manipulieren. Angreifer geben sich als Mitarbeiter von IT-Helpdesks, Bankmitarbeiter oder Führungskräfte aus, um Zugangsdaten zu erlangen oder Aktionen zu autorisieren. Der CarGurus-Hack von 2026 demonstrierte die Wirksamkeit von Vishing – ein einziger Telefonanruf brachte SSO-Anmeldedaten ein, die dazu führten, dass 12,4 Millionen Datensätze abgezogen wurden. Vishing hat sich durch organisierte Gruppen professionalisiert , die Anrufer für 500 bis 1.000 Dollar pro Anruf rekrutieren (The Hacker News, 2026). Weitere Informationen zu dieser Angriffsart finden Sie unter Vishing.

Smishing ( phishing) nutzt Social Engineering über Textnachrichten, die bösartige Links oder dringende Aufforderungen enthalten. Da Mobilgeräte über kleinere Bildschirme verfügen, ist es schwieriger, URLs zu überprüfen, was die Klickraten erhöht. Weitere Informationen finden Sie unter „Smishing “.

Beim Pretexting wird ein fiktives Szenario erfunden, um eine Zielperson dazu zu verleiten, Informationen preiszugeben oder Zugang zu gewähren. Im Gegensatz phishing, das oft auf einer einzigen Nachricht basiert, beinhaltet Pretexting in der Regel eine längerfristige Interaktion und den Aufbau einer Beziehung. Der Bybit-Diebstahl (2025) war eine Pretexting-Aktion, bei der sich der Angreifer 20 Tage lang als vertrauenswürdiger Mitwirkender ausgab, bevor er den Diebstahl durchführte.

Beim Baiting wird etwas Verlockendes angeboten – ein kostenloser USB-Stick, ein Download, exklusive Inhalte –, um Opfer dazu zu verleiten, ihre Systeme zu kompromittieren. Zu den digitalen Baiting-Methoden gehören mittlerweile auch gefälschte Software-Updates und Installationsprogramme für KI-Tools, die sich an Entwickler richten.

„Tailgating“ und „Piggybacking“ sind physische Social-Engineering-Techniken, bei denen eine unbefugte Person einer berechtigten Person durch einen gesicherten Eingang folgt. Diese Methoden sind in Unternehmensumgebungen nach wie vor relevant, insbesondere in Rechenzentren und gesicherten Einrichtungen.

Bei Quid-pro-quo-Angriffen wird eine Dienstleistung oder ein Vorteil im Austausch gegen Informationen angeboten. Ein gängiges Beispiel hierfür sind Angreifer, die sich als Mitarbeiter des technischen Supports ausgeben und anbieten, ein Problem zu beheben – im Gegenzug für die Zugangsdaten.

Bei Watering-Hole-Angriffen werden Websites kompromittiert, die von der Zielgruppe häufig besucht werden, wodurch vertrauenswürdige Quellen zu Infektionsvektoren werden.

Bei „Business Email Compromise“ (BEC) werden geschäftliche E-Mail-Konten nachahmt oder kompromittiert, um betrügerische Überweisungen zu autorisieren oder Zahlungen umzuleiten. Der Bericht des FBI IC3 für das Jahr 2024 verzeichnete allein im Jahr 2024 BEC-Verluste in Höhe von 2,8 Milliarden US-Dollar sowie 193.407 Beschwerden phishing Spoofing.

Scareware nutzt gefälschte Sicherheitswarnungen, um Opfer davon zu überzeugen, dass ihre Systeme infiziert sind, und sie dazu zu bringen, Schadsoftware zu installieren oder für unnötige Dienste zu bezahlen.

Vergleichstabelle: Arten von Social-Engineering-Angriffen

Bildunterschrift: Gängige Arten von Social-Engineering-Angriffen und wie man sie erkennt.

KI-gestütztes Social Engineering: Die Bedrohungslage 2025–2026

KI hat Social Engineering von einer Kunst, die von erfahrenen Einzelpersonen ausgeübt wurde, zu einer skalierbaren Branche gemacht. In diesem Abschnitt werden die Techniken behandelt, auf die keine der Konkurrenzseiten in den Top-10-Suchergebnissen angemessen eingeht – und die Sicherheitsteams jetzt unbedingt verstehen müssen.

KI-generiertes phishing Umfang. Untersuchungen zeigen, dass mittlerweile 82,6 % aller phishing KI-generierte Inhalte enthalten (2025). KI beseitigt grammatikalische Fehler und holprige Formulierungen, die früher als verlässliche Erkennungsmerkmale dienten. DiePhishing Group verzeichnete allein im ersten Quartal 2025 über eine Million phishing . KI-gesteuertes phishing ist kein aufkommender Trend mehr – es ist die Norm.

Phishing(PhaaS). Abonnementplattformen, die etwa 200 US-Dollar pro Monat kosten, bieten KI-generierte Vorlagen, das Abfangen von Anmeldedaten in Echtzeit mittels „Adversary-in-the-Middle“-Techniken (AiTM) sowie maßgeschneiderte phishing , die mit Live-Telefonaten synchronisiert werden, um die Multi-Faktor-Authentifizierung zu umgehen. Nur phishing Authentifizierungsmethoden (FIDO2/Passkeys) sind gegen diese koordinierten Angriffe wirksam.

ClickFix und InstallFix: die am schnellsten verbreitete Social-Engineering-Technik

Die Zahl der ClickFix-Kampagnen stieg im Jahr 2025 um 517 % und machte sie damit zu einer der am schnellsten wachsenden Social-Engineering-Techniken der aktuellen Landschaft (Cloud Cyber, 2026). Bei dieser Technik werden Nutzer dazu verleitet, bösartige Befehle zu kopieren und auszuführen, in der Regel durch die Anzeige gefälschter Browser-Fehlermeldungen oder Update-Aufforderungen.

Im Jahr 2026 wurde ClickFix so weiterentwickelt, dass es nun DNS-basierte Payload-Übertragung nutzt (The Hacker News, 2026), was die Erkennung erheblich erschwert. Eine auf Entwickler abzielende Variante namens InstallFix ahmt Installationsprogramme für KI-Tools nach; im Februar und März 2026 wurden mindestens 20 Kampagnen beobachtet, die auf KI-Tools abzielten.

Aus sicherheitstechnischer Sicht sollten Unternehmen auf ungewöhnliche Abfragen von DNS-TXT-Einträgen achten und eine endpoint implementieren, die Ausführungsmuster vom Zwischenablage- zur Befehlszeile erkennt. Das entscheidende Erkennungsmerkmal ist nicht das Social Engineering selbst, sondern das darauf folgende Verhalten nach einer Kompromittierung.

Deepfake-as-a-Service und Stimmklonen

Die Zahl der Deepfake-Dateien stieg von 500.000 im Jahr 2023 auf über acht Millionen im Jahr 2025 (Cloud Cyber, 2026). Die Technologie zum Klonen von Stimmen benötigt mittlerweile nur noch drei Sekunden Audioaufnahme, um eine überzeugende Nachbildung zu erstellen, und Untersuchungen zeigen, dass 70 % der Menschen geklonte Stimmen nicht von echten unterscheiden können. Branchenprognosen schätzen, dass die durch Deepfakes verursachten Verluste bis 2027 40 Milliarden US-Dollar erreichen werden.

Der 25-Millionen-Dollar-Deepfake-Fall bei Arup (2024) verdeutlicht diese Gefahr. Angreifer erstellten während einer Live-Videokonferenz Deepfake-Videos von mehreren Führungskräften und überzeugten einen Mitarbeiter der Finanzabteilung, Überweisungen zu genehmigen. Video und Sprache sind für Transaktionen mit hohem Wert nicht mehr als zuverlässige Methoden zur Identitätsprüfung geeignet.

Im Jahr 2025 stieg die Zahl der KI-Betrugsfälle um 1.210 %. Das „Vishing-as-a-Service“-Modell hat diese Angriffe weiter professionalisiert. Die SLH-Supergruppe – entstanden aus dem Zusammenschluss von Scattered Spider, Lapsus$ und ShinyHunters – rekrutiert aktiv Vischer für 500 bis 1.000 US-Dollar pro Anruf (The Hacker News, 2026). Diese Anrufer nutzen maßgeschneiderte phishing , die mit Live-Gesprächen synchronisiert sind, um MFA-Token in Echtzeit abzufangen.

Agentenbasiertes Social Engineering mittels KI stellt die nächste Herausforderung dar. Sicherheitsforscher sagen voraus, dass autonome KI-Agenten bis Ende 2026 vollständige phishing – von der Zielauswahl bis zum Abgreifen von Zugangsdaten – ohne menschliches Zutun durchführen werden. Die Analyse „SecurityWeek Cyber Insights 2026“ beschreibt detailliert, wie diese autonomen Fähigkeiten voraussichtlich die Bedrohungslandschaft verändern werden.

Social Engineering in der Praxis: Fallstudien aus der Praxis

Die folgenden Fallstudien aus den Jahren 2024 bis 2026 veranschaulichen, wie sich Social-Engineering-Techniken in der Praxis auswirken. Jeder Vorfall liefert konkrete Erkenntnisse für die Abwehr.

Bybit cryptocurrency heist — $1.5 billion (February 2025). North Korea's Lazarus Group socially engineered a Safe{Wallet} developer by posing as a trusted open-source contributor (SecurityWeek, 2025). The attacker maintained access for 20 days before manipulating a multisignature wallet transaction. Chainalysis confirmed this as the largest cryptocurrency theft in history. The lesson: supply chain trust must be continuously verified, and contributor access requires behavioral monitoring.

Scattered Spider SLH-Kampagne im Einzelhandel – ca. 300 Millionen US-Dollar (2025). Die Gruppe griff M&S, Co-op und Harrods an, indem sie sich als IT-Helpdesk ausgab, Passwort-Zurücksetzungen und Änderungen der Multi-Faktor-Authentifizierung (MFA) erlangte, was schließlich zum ransomware führte (CmdZero, 2025). Das FBI warnte davor, dass die Gruppe ihre Aktivitäten auf Fluggesellschaften ausweiten könnte (The Hacker News, 2025). Die Lehre daraus: Helpdesk-Verfahren benötigen eine Out-of-Band-Identitätsprüfung für alle Passwort-Resets und MFA-Änderungen, wie in der CISA-Empfehlung AA23-320A empfohlen.

Vishing-Angriff auf CarGurus – 12,4 Millionen Datensätze (Januar 2026). ShinyHunters nutzte phishing SSO-Anmeldedaten von einem CarGurus-Mitarbeiter zu erlangen, und entwendete 12,4 Millionen Kundendatensätze (BleepingComputer, 2026). Die Lehre daraus: Ein einziger durch einen Vishing-Anruf kompromittierter Zugangsdatensatz kann eine massive Datenpanne nach sich ziehen.

Bestechung von Coinbase-Insidern (2025). Kriminelle bestachen Support-Mitarbeiter im Ausland, um Kundendaten preiszugeben – ein Beweis dafür, dass Social Engineering über reine Täuschung hinausgeht und auch finanzielle Anreize umfasst. Die Lehre daraus: Die Überwachung von Insider-Bedrohungen und Zugriffskontrollen müssen auch ausgelagerte und Offshore-Teams umfassen.

Diplomaten im Visier von Signal und WhatsApp (2026). Mit Russland verbundene Akteure haben sich Zugang zu den Konten von Diplomaten und Journalisten in sicheren Messaging-Diensten verschafft, indem sie das Vertrauen in verschlüsselte Plattformen ausnutzten. Die Lehre daraus: Selbst sichere Kanäle sind anfällig, wenn der Zugriff auf Konten über Social Engineering erfolgt.

Erkenntnisse aus den Vorfällen der Jahre 2024–2026

Das Muster, das sich bei diesen Vorfällen abzeichnet, ist eindeutig. Helpdesk-Verfahren benötigen eine Identitätsprüfung außerhalb der üblichen Kanäle. Video- und Sprachaufzeichnungen sind keine zuverlässigen Methoden zur Identitätsbestätigung mehr. Die Erkennung von Insider-Bedrohungen ist Teil des Verteidigungsmodells gegen Social Engineering. Und das Vertrauen in die Lieferkette muss kontinuierlich überprüft werden – es darf nicht als selbstverständlich vorausgesetzt werden.

Das finanzielle Ausmaß ist beispiellos. Die Vereinigten Staaten verzeichneten im Jahr 2024 Verluste in Höhe von 16,6 Milliarden US-Dollar durch Social Engineering, was einem Anstieg von 33 % gegenüber dem Vorjahr entspricht. Die durchschnittlichen weltweiten Kosten einer Datenpanne beliefen sich im Jahr 2024 auf 4,88 Millionen US-Dollar (Ponemon Institute). Allein durch BEC entstanden im Jahr 2024 gemeldete Verluste in Höhe von 2,8 Milliarden US-Dollar (FBI IC3).

Bildunterschrift: Aufsehenerregende Social-Engineering-Angriffe und daraus gewonnene Erkenntnisse für die Verteidigung.

Sozialtechnische Angriffe erkennen und darauf reagieren

Die meisten Inhalte zur Cybersicherheit im Bereich Social Engineering konzentrieren sich ausschließlich auf Prävention – Sensibilisierungsschulungen, E-Mail-Filter und Richtlinien. Prävention ist wichtig, reicht aber nicht aus. Die „Assume-Compromise“-Philosophie geht davon aus, dass es erfahrenen Angreifern früher oder später gelingen wird, jemanden zu manipulieren. Die Frage lautet daher: Wie schnell können Sie die Aktivitäten nach einem Einbruch erkennen und eindämmen?

Warnsignale und Alarmsignale

Zu den Warnsignalen für Mitarbeiter im Zusammenhang mit Social Engineering zählen unerwartete Dringlichkeit, Autoritätsansprüche unbekannter Ansprechpartner, ungewöhnliche Anfragen, die normale Verfahren umgehen, sowie Widerstand gegen Überprüfungsmaßnahmen. Die Schulung der Mitarbeiter im Erkennen dieser Signale ist sinnvoll, doch die Daten zur Wirksamkeit sind gemischt. Schulungsanbieter behaupten, dass Programme zur Sensibilisierung für Sicherheitsfragen die Anfälligkeit für Phishing von etwa 30 % auf unter 5 % senken können. Der Verizon 2025 DBIR – eine unabhängige Studie, die auf Daten aus verschiedenen Quellen basiert – ergab jedoch, dass phishing „von Schulungen unberührt“ blieben. Die Realität liegt wahrscheinlich irgendwo dazwischen. Schulungen sind eine Komponente einer mehrschichtigen Verteidigungsstrategie, keine eigenständige Lösung.

Für Sicherheitsteams treten die entscheidenden Erkennungssignale erst nach einem erfolgreichen Social-Engineering-Angriff auf. Der Verizon DBIR 2025 ergab, dass 85 % der durch Social Engineering verursachten Sicherheitsverletzungen zum Diebstahl von Anmeldedaten führen. Das bedeutet, dass zu den wichtigsten Indikatoren nach einer Kompromittierung vor allem anomale Zugriffsmuster, ungewöhnliche Signale zur Erkennung und Reaktion auf Identitätsbedrohungen, unmögliche Bewegungen zwischen Standorten, abnormale Privilegienerweiterungen sowie unerwartete laterale Bewegungen im Netzwerk zählen.

Entwicklung eines Programms zur Erkennung von Social Engineering

1. Führen Sie eine Out-of-Band-Verifizierung für alle sensiblen Anfragen ein, darunter Passwortzurücksetzungen, Überweisungen, Änderungen der Multi-Faktor-Authentifizierung (MFA) und Zugriffsänderungen. Damit wird der von Scattered Spider genutzte Angriffsvektor über den Helpdesk direkt bekämpft, wie in der CISA-Empfehlung AA23-320A empfohlen.
2. Implementieren Verhaltensanalysen , um anomale Identitätsnutzung, den Missbrauch von Anmeldedaten und laterale Bewegungen nach erfolgreichem Social Engineering zu erkennen.
3. Führen Sie eine phishing Authentifizierung (FIDO2/Passkeys) als primäre Abwehrmaßnahme ein. Dies ist die einzige wirksame Gegenmaßnahme gegen koordinierte Kombinationen aus Vishing und AiTM.
4. Kombinieren Sie simulationsbasierte Schulungen mit technischen Kontrollmaßnahmen. Schulen Sie Ihre Mitarbeiter in der Erkennung und Meldung von Vorfällen, verlassen Sie sich jedoch nicht auf die Wachsamkeit der Mitarbeiter als primäre Verteidigungsstufe.
5. Schaffen Sie eine Meldekultur, in der niemand beschuldigt wird. Mitarbeiter, die verdächtige Interaktionen melden – selbst solche, auf die sie hereingefallen sind –, liefern wichtige Anzeichen für eine frühzeitige Erkennung.
6. Einrichten Richtlinien speziell für Social-Engineering-Szenarien, einschließlich Protokollen zur Zurücksetzung von Anmeldedaten, Sitzungssperrung und Arbeitsabläufen für forensische Untersuchungen.
7. Implementieren zero trust, um den Schaden bei erfolgreichem Social Engineering zu begrenzen und sicherzustellen, dass eine einzige kompromittierte Anmeldeinformation keinen umfassenden Zugriff gewährt.

Organisationen, die weitere Hinweise benötigen, sollten die Leitlinien der CISA zur Abwehr von Social-Engineering- und phishing lesen.

Social Engineering und Compliance

Social Engineering lässt sich bestimmten Kontrollmaßnahmen in den wichtigsten Compliance- und Sicherheitsrahmenwerken zuordnen. GRC-Teams können diese Zuordnungen nutzen, um ihre Programme zu strukturieren und Prüfungsnachweise zu erbringen.

Zuordnungstabelle für Frameworks

Bildunterschrift: Maßnahmen zum Schutz vor Social Engineering in den wichtigsten Compliance-Rahmenwerken.

Moderne Ansätze zur Abwehr von Social Engineering

Die Cybersicherheitsbranche setzt zunehmend auf einen mehrschichtigen Ansatz zur Abwehr von Social Engineering. Zu den aktuellen Lösungen zählen Plattformen zur Verhaltensanalyse, die Aktivitäten nach einem Sicherheitsverstoß erkennen, ITDR-Tools, die den Missbrauch von Zugangsdaten überwachen, zero trust , die den Ausbreitungsradius begrenzen, sowie phishing Authentifizierungsverfahren, die den Vektor des Zugangsdatendiebstahls vollständig ausschalten.

Neue Trends auf der RSAC 2026 deuten auf die Einbindung der Verhaltenswissenschaften hin – die Anwendung psychologischer Forschung zur Verbesserung sowohl der Schulung als auch der Erkennung. Der Finalist der Humanix Innovation Sandbox demonstrierte einen menschenorientierten Ansatz zur Erkennung von Social Engineering, bei dem menschliches Verhalten als Datenquelle und nicht als Schwachstelle betrachtet wird (SecurityWeek, 2026). Auch das Gebot, Signale von Rauschen zu trennen, gewinnt zunehmend an Bedeutung. Unternehmen bewegen sich weg von der Alarmmüdigkeit hin zu verwertbaren Bedrohungssignalen und priorisieren Verhaltensindikatoren, die echte Angriffe aufdecken, anstatt Analysten mit wenig aussagekräftigen Warnmeldungen zu überfluten.

Wie Vectra AI die Abwehr von Social Engineering Vectra AI

Erfolgreiche Social-Engineering-Angriffe führen zu ungewöhnlichem Identitätsverhalten, lateraler Bewegung und der Ausweitung von Berechtigungen – genau die Anzeichen nach einer Kompromittierung, die Attack Signal Intelligence aufdecken soll. Die „Assume-Compromise“-Philosophie Vectra AI betrachtet erfolgreiches Social Engineering als unvermeidlich und konzentriert sich darauf, die Verweildauer durch Verhaltenserkennung über Identitäts-, Netzwerk- und cloud hinweg zu reduzieren. Das Ziel ist nicht, jeden Social-Engineering-Versuch zu verhindern, sondern die darauf folgenden Angreiferaktivitäten innerhalb von Minuten statt Monaten zu erkennen.

Künftige Trends und neue Überlegungen

Die Bedrohungslage im Bereich Social Engineering entwickelt sich schneller als jemals zuvor in der Geschichte der Cybersicherheit. In den nächsten 12 bis 24 Monaten sollten sich Unternehmen auf mehrere entscheidende Entwicklungen einstellen.

Agentische KI wird komplette Angriffsketten automatisieren. Sicherheitsforscher sagen voraus, dass autonome KI-Agenten bis Ende 2026 vollständige Social-Engineering-Kampagnen durchführen werden – von der Zielauswahl und der Sammlung von OSINT-Daten über das Sammeln von Anmeldedaten bis hin zur ersten Ausnutzung – und zwar ohne menschliches Zutun. Dies stellt einen grundlegenden Wandel von toolgestützten Angriffen durch Menschen hin zu vollständig autonomen Operationen dar.

Deepfake-Technologien werden zu alltäglichen Werkzeugen werden. Angesichts prognostizierter Verluste in Höhe von 40 Milliarden US-Dollar bis 2027 und einer Zahl von bereits über acht Millionen Deepfake-Dateien (Stand 2025) verbreitet sich diese Technologie rasch in der breiten Masse. Unternehmen sollten bei allen Transaktionen, die eine Video- oder Sprachbestätigung erfordern, eine mehrkanalige Verifizierung einführen und in Erkennungswerkzeuge investieren, die die Authentizität von Medien überprüfen.

Der regulatorische Druck wird zunehmen. Die Umsetzung der NIS2-Richtlinie in der gesamten Europäischen Union führt zu neuen Meldepflichten für Vorfälle, die sich unmittelbar auf die Reaktionszeiten bei Social-Engineering-Angriffen auswirken. Die vom deutschen BSI festgelegte Registrierungsfrist bis März 2026 deutet auf umfassendere Compliance-Anforderungen hin. Unternehmen sollten ihre Abwehrmaßnahmen gegen Social Engineering bereits jetzt an den Vorgaben des Regelwerks ausrichten, anstatt später in Eile nachzufassen, um die Anforderungen zu erfüllen.

Die „Vishing-as-a-Service“-Branche wird sich weiterentwickeln. Das Rekrutierungsmodell der SLH-Supergruppe zeigt, dass Social Engineering denselben „as-a-Service“-Weg einschlägt wie ransomware. Es ist zu erwarten, dass professionelle Callcenter, spezialisierte Entwickler phishing und mehrstufige Serviceangebote zur Norm werden. Die Absicherung von Helpdesks und Out-of-Band-Verifizierungsverfahren sind die unmittelbarsten Gegenmaßnahmen.

Die Identität wird zum wichtigsten Schauplatz des Kampfes. Da 85 % der durch Social Engineering verursachten Sicherheitsverletzungen zum Diebstahl von Anmeldedaten führen (Verizon 2025 DBIR), ist die Identitätsschicht nach einer Kompromittierung der Bereich, in dem die Erkennung am wichtigsten ist. Unternehmen sollten ITDR-Fähigkeiten, Verhaltensanalysen und phishing Authentifizierung als ihre wichtigsten Investitionen in die Social-Engineering-Abwehr für die Jahre 2026 und 2027 priorisieren.

Schlussfolgerung

Social Engineering ist kein neues Problem, aber es hat sich grundlegend gewandelt. Die KI hat die Täuschung industrialisiert und sie schneller, kostengünstiger und schwerer von legitimer Kommunikation zu unterscheiden gemacht. Die Fallstudien aus den Jahren 2024 bis 2026 zeigen, dass Social Engineering mittlerweile Verluste in Milliardenhöhe verursacht und sich gegen alle richtet – vom Helpdesk-Personal über Führungskräfte bis hin zu Open-Source-Entwicklern.

Prävention bleibt wichtig – phishing Authentifizierung, Out-of-Band-Verifizierung und Sensibilisierungsschulungen verringern die Angriffsfläche. Doch die Unternehmen, die am besten dafür gerüstet sind, Social-Engineering-Angriffe in den Jahren 2025 und 2026 zu überstehen, sind diejenigen, die sich die „Assume-Compromise“-Mentalität zu eigen gemacht haben. Sie investieren in Verhaltensanalysen, Identitätsüberwachung und Erkennung nach einem Sicherheitsverstoß, weil sie wissen, dass irgendwann jemand hereingelegt werden wird.

Die Frage ist nicht, ob Social Engineering auf Ihr Unternehmen abzielt. Die Frage ist vielmehr, ob Ihre Erkennungs- und Reaktionsfähigkeiten den Angreifer aufspüren, bevor dieser findet, wonach er sucht.

Um zu erfahren, wie Verhaltenserkennung und Attack Signal Intelligence die Signale Attack Signal Intelligence , die nach Social-Engineering-Angriffen auftreten, entdecken Sie die Vectra AI .