Katalog
concept#Sicherheit#Governance#Integration#Produkt#Zuverlässigkeit

Social Engineering

Gezielte Manipulation von Menschen zur Erlangung sensibler Informationen oder zur Ausführung unerwünschter Aktionen.

Social Engineering beschreibt gezielte Manipulationstechniken, bei denen Menschen zur Preisgabe sensibler Informationen oder zum Ausführen unerwünschter Handlungen gebracht werden.
Etabliert
Mittel

Klassifikation

  • Mittel
  • Organisatorisch
  • Organisation
  • Fortgeschritten

Technischer Kontext

SIEM und Incident-Response-Tools zur Erkennung von FolgenHR-Systeme für Rollen- und KontaktinformationenLernmanagementsysteme für Awareness-Module

Prinzipien & Ziele

Menschliche Faktoren sind das schwächste Glied; Maßnahmen müssen technischen, organisatorischen und kulturellen Charakter kombinieren.Kontinuierliche Schulung und Tests sind effektiver als einmalige Maßnahmen.Vertrauen ist kontextabhängig und muss durch verifizierbare Prozesse unterstützt werden.
Betrieb
Unternehmen, Domäne, Team

Use Cases & Szenarien

Kompromisse

  • Vertrauensverlust gegenüber interner Kommunikation bei zu aggressiven Tests.
  • Rechtliche oder reputationsbezogene Folgen bei misslungener Simulation externer Kommunikation.
  • Überschätzung technischer Maßnahmen führt zu Nachlässigkeit bei Prozessen.
  • Transparente Kommunikation über Zwecke und Folgen von Tests.
  • Nachbereitung mit konstruktivem Feedback und Schulungsangeboten.
  • Kombination technischer Sperren mit prozessorientierten Verifikationen.

I/O & Ressourcen

  • Asset-Übersicht und Schlüsselpersonenliste
  • Kommunikationskanäle und externe Schnittstellen
  • Rechtliche Rahmenbedingungen und Genehmigungen
  • Schwachstellenbewertung und Handlungsempfehlungen
  • Trainingspläne und Awareness-Materialien
  • Metriken zur Nachverfolgung von Verbesserungen

Beschreibung

Social Engineering beschreibt gezielte Manipulationstechniken, bei denen Menschen zur Preisgabe sensibler Informationen oder zum Ausführen unerwünschter Handlungen gebracht werden. Der Fokus liegt auf psychologischen Tricks, Kontextwissen und Vertrauensaufbau. Prävention erfordert technische Maßnahmen, organisatorische Regeln und gezielte Schulung der Mitarbeitenden. Regelmäßige Tests verbessern die Abwehr.

  • Reduziert erfolgreiche Angriffe durch Bewusstseinssteigerung.
  • Verbessert Meldemuster und Reaktionsfähigkeit bei Sicherheitsvorfällen.
  • Hilft, organisatorische Schwachstellen sichtbar zu machen.

  • Menschliches Verhalten lässt sich nicht vollständig eliminieren.
  • Schulungen wirken nur, wenn sie regelmäßig und relevant gestaltet sind.
  • Technische Kontrollen alleine verhindern oft keine gezielte Manipulation.

  • Phishing-Click-Rate

    Anteil der Mitarbeitenden, die auf einen Test-Phishing-Link klicken.

  • Meldequote

    Anteil der Mitarbeitenden, die verdächtige Vorfälle melden.

  • Zeit bis zur Reaktion

    Durchschnittliche Zeit bis zur Erkennung und Meldung eines Vorfalls.

Phishing-Kampagne in einer Behörde

Angreifer nutzte gefälschte Absenderadressen und Formularlinks, um Anmeldedaten zu stehlen.

Vishing-Angriff auf Helpdesk

Telefonischer Angreifer gab sich als interner Kollege aus und erhielt Passwort-Reset-Informationen.

Social-Media-Identitätsaufbau

Angreifer baute über Wochen ein glaubwürdiges Profil auf und gewann das Vertrauen Mitarbeitender.

1

Gap-Analyse der aktuellen Awareness- und Prüfprozesse durchführen.

2

Governance, Richtlinien und Genehmigungsworkflow definieren.

3

Pilot-Tests planen, durchführen und auf Basis der Ergebnisse skalieren.

⚠️ Technische Schulden & Engpässe

  • Veraltete Kommunikationslisten und Rollenbeschreibungen.
  • Fehlende Automatisierung zur Messung von Awareness-Metriken.
  • Ungenügende Integrationen zwischen Lernplattform und SIEM.
Mangelnde SchulungsfrequenzUnklare VerifikationsprozesseBegrenzte Monitoring-Kapazität
  • Simulation öffentlicher Nachrichten ohne rechtliche Prüfung, was zu PR-Problemen führte.
  • Testphishing mit sensiblen Inhalten, die personenbezogene Daten preisgaben.
  • Strafrechtlich bedenkliche Vortäuschungen bei externen Kontakten.
  • Übermäßige Geheimhaltung verhindert notwendige Nachbereitung.
  • Mangelnde Dokumentation von Tests und Ergebnissen.
  • Keine Einbindung von Rechts- und Personalabteilung vor Tests.
Kenntnisse in Sicherheitspsychologie und Threat ModelingErfahrung in Incident Response und KommunikationRechtliches Verständnis für Test- und Datenschutzanforderungen
Schutz kritischer Daten und ZugangskontrollenOrganisationskultur und RisikobereitschaftProzesssicherheit bei Identitäts- und Berechtigungsprüfungen
  • Datenschutzbestimmungen bei Test-Szenarien beachten
  • Budget- und Zeitressourcen für regelmäßige Maßnahmen
  • Rechtliche Vorgaben für externe Kommunikation und Simulationen