Zur Navigation Zur Suche Zum Inhalt
    Kontakt

    Social Engineering – wenn der Mensch zum Einfallstor wird

    Tags:
    Stephan Erni
    RSS Facebook LinkedIn
    Headerbild Social Engineering

    Blogbeitrag anhören

    0:00 / 0:00

    Social Engineering hautnah erlebt: Vom Anruf bis zum Klick

     

    Vorbereitung und Rahmenbedingungen

    In einer jüngst durchgeführten Social-Engineering-Kampagne haben wir eindrücklich erlebt, wie unterschiedlich Mitarbeitende auf Täuschungsversuche reagieren. Die Aktion wurde in enger Absprache mit dem IT-Leiter des Unternehmens geplant. Alle anderen Beteiligten wussten nichts von der Simulation, um möglichst realistische Bedingungen zu schaffen.

    Die „Angreifer“ durften ausschliesslich öffentlich zugängliche Informationen nutzen – etwa Social-Media-Profile oder Inhalte von der Unternehmenswebseite. Zusätzlich wurden Fake-Identitäten mit Mailadressen, Telefonnummern und Online-Profilen aufgebaut, damit die Szenarien glaubwürdig wirkten.

    Szenario 1 – Die Umfragefalle

    Im ersten Szenario traten wir als Studierende auf, die im Rahmen einer Bachelorarbeit eine Umfrage zu IT-Dienstleistungen durchführen wollten.

    • Einstieg über den Hinweis, die Befragung sei von der IT-Leitung genehmigt.
    • Keine sensiblen Daten – so die Behauptung – würden abgefragt.
    Social Engineering_Telefon_Pers
    Die meisten Mitarbeitenden liessen sich darauf ein. Einzelne zeigten Skepsis oder brachen das Gespräch ab. Besonders bemerkenswert war eine Person, die sofort die IT kontaktierte und damit das Szenario korrekt entlarvte.

    Am Ende boten wir ein vermeintliches Passwort-Check-Tool an. Dieses war eine Phishing-Simulation, mit der getestet wurde, ob Mitarbeitende bereit wären, ihre Zugangsdaten einzugeben.

    Erstaunlicherweise erhielten wir dabei nicht nur ein, sondern gleich mehrere Passwörter – ein klarer Hinweis, wie schnell sich solche Daten preisgeben lassen.

    Szenario 2 – Das „kritische Teams-Update“

    Im zweiten Szenario gaben wir uns als IT-Mitarbeitende aus, die aufgrund einer angeblichen Sicherheitslücke ein dringendes Teams-Update durchführen mussten.

    • Zur Wahl standen: selbst installieren mit telefonischer Begleitung oder den Zugriff per Remote-Tool gewähren.
    • Ziel war der Download und das Öffnen einer harmlosen Dummy-Datei, die einen echten Angriff simulierte.
    Social Engineering_Update

    Ergebnisse & Learnings

    • Verhalten unterschiedlich: Einige liessen sich leicht überzeugen, andere stoppten das Szenario konsequent.
    • Positivbeispiel: Mitarbeitende, die intern Rücksprache hielten, verhinderten den Angriff.
    • Hauptfaktor Erfahrung: Wer bereits Berührungspunkte mit Social Engineering hatte, reagierte deutlich vorsichtiger.

    Die Kampagne hat gezeigt: Der Mensch ist das schwächste Glied – oder die stärkste Verteidigung.

    Fazit

    Social-Engineering-Simulationen machen sichtbar, wie realistisch und wirkungsvoll solche Angriffe sein können. Noch wichtiger: Sie schaffen Awareness im Alltag. Mitarbeitende lernen, in kritischen Situationen nachzufragen, statt vorschnell zu handeln.

    Aktueller Bezug

    Dass Social Engineering längst kein Randthema ist, zeigt ein aktueller Fall: Google bestätigte jüngst ein Datenleck bei Google-Ads nach einem Angriff auf eine Salesforce-Instanz (Quelle). Solche Ereignisse unterstreichen, wie real die Gefahr von Manipulation und Datenabfluss ist – selbst für die grössten Player der Branche.

    Brauchen Sie noch mehr Informationen?

     

    Sie haben Fragen zu den Leistungen unseres Security Operations Center oder möchten zum Thema IT-Sicherheit beraten werden. Wir freuen und darauf, Sie kennenzulernen.  

    KONTAKT AUFNEHMEN

    Tags: