Social Engineering: Der Cyberangriff beginnt im Alltag
Nicht jeder Fund ist harmlos. In unserem Beitrag zeigen wir, wie Social Engineering und Phishing im Arbeitsalltag funktionieren und worauf Mitarbeitende in verdächtigen Situationen achten sollten. Denn Informationssicherheit beginnt nicht erst in der IT, sondern bei jeder einzelnen Entscheidung.
Versetzen Sie sich in folgende Situation: Sie laufen nach der Arbeit über den Firmenparkplatz. Zwischen zwei Autos liegt ein USB-Stick. Auf dem Gehäuse steht mit Permanentmarker „Gehaltslisten 2026“ oder „Bewerbungen“. Würden Sie ihn mitnehmen? Vielleicht kurz prüfen, wem er gehört? Vielleicht sogar an den eigenen Arbeits-Rechner anschließen, um nach einem Hinweis auf den Eigentümer zu suchen?
Doch es geht noch weiter: Ein paar Tage später landet eine E-Mail mit dem Betreff „Dringende Rechnung offen“ im Postfach Ihrer Abteilung. Die Nachricht wirkt auf den ersten Blick plausibel. Der Absender scheint bekannt, der Ton ist dringend und im Anhang befindet sich eine Datei, die angeblich sofort geprüft werden muss.
Beides wirkt zunächst wie eine alltägliche Situation. Ein verlorener USB-Stick. Eine dringende E-Mail. Eine kleine Unachtsamkeit, die im Arbeitsalltag passieren kann. Tatsächlich kann genau so aber ein Cyberangriff beginnen.
Viele Angriffe starten nicht mit einer hochkomplexen technischen Schwachstelle, sondern mit menschlichen Reaktionen: Neugier, Hilfsbereitschaft, Stress, Zeitdruck oder Angst vor Konsequenzen. Dieses Vorgehen wird als Social Engineering bezeichnet. Dabei versuchen Angreifer, Menschen gezielt zu einer bestimmten Handlung zu bewegen. Etwa zum Öffnen eines Anhangs, zum Anklicken eines Links, zur Herausgabe von Zugangsdaten oder zum Anschließen eines unbekannten Datenträgers.
Verschiedene Arten von Social Engineering
Einige Arten des Social Engineering sind Phishing per E-Mail, Smishing per SMS, Quishing, bei dem manipulierte QR-Codes auf gefälschte Webseiten führen können, Vishing per Telefon oder auch Baiting, bei dem bewusst ein „Köder“ ausgelegt wird. Ein präparierter USB-Stick mit einer verlockenden Beschriftung ist ein klassisches Beispiel dafür. Der Angriff funktioniert nicht, weil das Opfer technisch unvorsichtig sein will, sondern weil die Situation bewusst so gestaltet ist, dass sie eine menschliche Reaktion auslöst.
Auch vermeintliche Autorität oder Expertise wird häufig ausgenutzt. Ein Beispiel hierfür: Eine Person gibt sich als Systemadministrator aus, meldet angebliche Sicherheitsprobleme und fordert Mitarbeitende zur Herausgabe ihres Passworts auf.
In anderen Fällen wird der Name der Geschäftsführung missbraucht. Beim sogenannten CEO-Fraud erhalten Mitarbeitende scheinbar eine Nachricht von der Geschäftsleitung oder vom Vorstand. Darin wird zum Beispiel eine schnelle Überweisung, die Herausgabe sensibler Informationen oder besondere Vertraulichkeit verlangt.
Gerade diese Mischung aus Zeitdruck, Vertrauen und vermeintlicher Dringlichkeit macht solche Angriffe gefährlich. Wer im Arbeitsalltag viele E-Mails bearbeitet, Termine einhalten muss und gleichzeitig hilfsbereit sein möchte, kann schnell in eine dieser Fallen treten.
Künstliche Intelligenz als Verstärkungsfaktor
Generative KI macht Phishing nicht völlig neu, aber deutlich gefährlicher. Angreifer können damit täuschend echte Nachrichten schneller, sprachlich sauberer und stärker personalisiert erstellen.
Nationale und internationale Behörden wie ENISA, FBI, BMI und BSI warnen davor, dass KI Social-Engineering-Angriffe glaubwürdiger machen, skalieren und die Einstiegshürden für Täter senken kann. Besonders kritisch ist, dass klassische Warnsignale wie schlechte Grammatik, ungewöhnliche Formulierungen oder unprofessionelles Layout dadurch immer weniger zuverlässig sind. Viele Nachrichten wirken professionell, enthalten echte Logos und greifen reale Arbeitsabläufe auf.
Woran Sie verdächtige Nachrichten erkennen können
Trotzdem gibt es Warnzeichen, auf die Mitarbeitende achten sollten:
- Besonders vorsichtig sollten Sie sein, wenn eine Nachricht ungewöhnlich dringend wirkt, sensible Informationen verlangt oder Sie zu einer schnellen Handlung auffordert.
- Auch unerwartete Anhänge, ungewöhnliche Absenderadressen, Links zu fremden Webseiten oder Zahlungsaufforderungen außerhalb der üblichen Prozesse sind Warnsignale.
- Ein weiteres Warnzeichen ist die Bitte um besondere Vertraulichkeit. Wenn eine angebliche Führungskraft schreibt, dass niemand sonst eingebunden werden darf, sollte das besonders kritisch geprüft werden. Seriöse interne Prozesse setzen in der Regel nicht darauf, Kontrollmechanismen zu umgehen.
Was tun, wenn etwas verdächtig wirkt?
Die wichtigste Regel lautet: Nicht aus Neugier handeln. Nicht klicken, nicht öffnen, nicht anschließen und keine Daten eingeben.
Stattdessen sollte der Vorfall gemeldet werden. Das kann je nach Unternehmen die IT-Abteilung, die Informationssicherheit, der Datenschutzbeauftragte bei einem Vorfall mit personenbezogenen Daten oder eine interne Meldestelle sein.
Wichtig ist außerdem: Verdächtige Nachrichten sollten nicht unkommentiert an Kolleginnen oder Kollegen weitergeleitet werden, da dadurch das Risiko nur verlagert wird.
Wenn bereits geklickt, ein Anhang geöffnet oder ein USB-Stick angeschlossen wurde, sollte dies sofort gemeldet werden. Nicht der Fehler ist das größte Problem, sondern dass er zu spät bekannt wird und keine Gegenmaßnahmen getroffen werden können.
Je früher die zuständigen Stellen reagieren können, desto besser lassen sich mögliche Schäden begrenzen.
Was Unternehmen vorbereiten sollten
Unternehmen sollten Mitarbeitende mit solchen Situationen nicht alleinlassen. Informationssicherheit funktioniert nur dann zuverlässig, wenn klare Regeln und einfache Meldewege vorhanden sind. Dazu gehören verständliche Schulungen, regelmäßige Sensibilisierung, klare Vorgaben zum Umgang mit unbekannten Datenträgern und ein fester Prozess für verdächtige E-Mails.
Mitarbeitende müssen wissen, an wen sie sich wenden können und dass eine Meldung ausdrücklich gewünscht ist, auch dann, wenn sich der Verdacht später nicht bestätigt. Beim Umgang mit Cyberangriffen stellt eine offene Fehlerkultur einen erheblichen Vorteil dar.
Auch technische Schutzmaßnahmen sind wichtig. Dazu zählen zum Beispiel eingeschränkte USB-Nutzung, aktuelle Schutzsoftware, Mehr-Faktor-Authentifizierung, Spam- und Phishing-Filter sowie klare Berechtigungskonzepte.
Technik allein reicht jedoch nicht aus. Entscheidend ist das Zusammenspiel aus Technik, Organisation und geschulten Mitarbeitenden.
Fazit
Cyberangriffe beginnen nicht immer spektakulär. Manchmal starten sie mit einer E-Mail, einem Anhang, einem QR-Code oder einem USB-Stick auf dem Parkplatz.
Deshalb beginnt Informationssicherheit nicht im Rechenzentrum. Sie beginnt im Alltag: im Posteingang, am Arbeitsplatz und manchmal direkt vor der Bürotür. Wer verdächtige Situationen erkennt, kurz innehält und den richtigen Meldeweg nutzt, wird zu einer wichtigen Schutzlinie für das Unternehmen.
5 einfache Punkte, die im Ernstfall gelten
- Nicht anschließen.
Unbekannte USB-Sticks oder andere Datenträger gehören niemals an den Firmenrechner. Auch nicht „nur kurz zum Nachsehen“. - Nicht vorschnell klicken.
Links, Anhänge und QR-Codes in unerwarteten Nachrichten sollten immer mit Bedacht betrachtet werden. - Druck ist ein großes Warnsignal.
Wenn eine E-Mail besonders dringend wirkt, Geheimhaltung verlangt oder ungewöhnliche Zahlungen fordert, ist Vorsicht geboten. - Im Zweifel nachfragen.
Ungewöhnliche Anfragen sollten über einen zweiten Kommunikationsweg bestätigt werden, zum Beispiel telefonisch oder persönlich. - Sofort melden.
Verdächtige E-Mails, gefundene USB-Sticks oder versehentliche Klicks sollten direkt an die zuständige Stelle gemeldet werden. Lieber einmal zu viel melden als einmal zu wenig. Sie tun das Richtige.
Sie möchten Ihr Unternehmen besser vor Social Engineering schützen? Sprechen Sie uns gerne an. Neben dem Datenschutz steht bei uns auch die Informationssicherheit im Fokus.
Quellen
- BSI zu Phishing und Social Engineering
- BSI zu Social Engineering und dem Mensch als Schwachstelle
- Rat der EU zu Social Engineering
- Thüringer Verfassungsschutz zu Social Engineering und USB-Stick-Szenarien
- ENISA zu Cybersicherheitsrisiken und deren Veränderungen in der EU
- FBI und IC3/ Generative KI und Betrugsmaschen
- BMI/ Bundeslagebild Cybercrime 2025
- Europol /Kriminelle Nutzung von ChatGPT
Autor
Markus Vatter, Head of Compliance, 08.07.2026
Sprechen Sie mit unseren Experten.
Wir beraten Sie gerne und freuen uns auf Ihre Fragen.