Behavioral Metrics

Cyber Security Gefahren

Das neue Risiko durch Social Engineering, das sich in alltäglichen Arbeitsentscheidungen verbirgt

9. Juni 2026 · 7 min read

Dr. Christian Reinhardt, Director of Human Risk Management bei SoSafe, untersucht in seinem Beitrag für den 21. Deutschen IT-Sicherheitskongress des BSI Social Engineering als Angriff auf die menschliche Entscheidungsfindung. Sein Kapitel untersucht, wie Aufmerksamkeit, emotionaler Druck, Autoritätssignale und der soziale Kontext den Moment prägen, bevor eine Person handelt.

Dieser Artikel baut auf dieser Argumentation auf und behandelt die Idee eines Entscheidungsangriffs („Decision Attack“). Dabei handelt es sich um Social Engineering, das eine riskante Handlung wie den normalen nächsten Schritt erscheinen lässt. Es gestaltet die Situation rund um eine Anfrage: den Zeitpunkt, den Druck, die scheinbare Routine, die anfragende Person und das Unbehagen, die Aktion zu verweigern. Zu dem Zeitpunkt, zu dem die Mitarbeitenden handeln, fühlt es sich möglicherweise weniger natürlich an, innezuhalten und die Situation zu überprüfen, als zu klicken, zu teilen, zu genehmigen oder zu schweigen.

Ein Beispiel, von dem wir erfahren haben, zeigt den Mechanismus in einer ganz alltäglichen Situation. Eine Person telefonierte mit einem Vertriebsmitarbeiter und wurde informiert, dass sie die Angebotszusammenfassung per E-Mail erhalten würde, aber dazu zuerst ihre Kontonummer mitteilen müsse. Die Person hat das infrage gestellt. Die Erklärung klang harmlos genug. Das Gespräch hatte sich in die Länge gezogen, und die Person wollte es höflich beenden, also teilte sie die Nummer mit.

Die E-Mail kam an. Dann kam die Erkenntnis, dass die Kontonummer wahrscheinlich nie benötigt wurde. In diesem Fall war es kein Betrug. Wäre es einer gewesen, hätte dieses Detail das letzte fehlende Puzzleteil sein können.

Sehen Sie, wie wenig Druck nötig war? Eine vage Erklärung, ein langes Gespräch und das soziale Unbehagen, das wir dabei haben, zweimal nachzufragen.

TL;DR

Dieser Artikel beleuchtet, warum dieser Moment mit KI immer einfacher zu inszenieren ist, warum die moderne Arbeit bereits viele der Bedingungen schafft, die Angreifer benötigen, und wie Sicherheitsverantwortliche sicheres Handeln erleichtern können, bevor eine übereilte Entscheidung zu einer verlorenen Zahlung, offengelegten Daten, einem kompromittierten Zugriff oder einer verpassten Chance führt, den Angriff frühzeitig zu stoppen.

Das wichtige Wort bei KI-gestütztem Social Engineering ist „sozial“

Das Kapitel von Dr. Christian beschreibt Social Engineering als einen Angriff auf die Bedingungen rund um das menschliche Urteilsvermögen. KI erweitert dieses Problem, da Angreifer nun mehr dieser Bedingungen herstellen können, bevor die Mitarbeitenden handeln.

Okta dokumentierte, dass Bedrohungsakteure das v0-Tool von Vercel nutzten, um aus Textaufforderungen Phishing-Websites zu generieren, einschließlich gefälschter Anmeldeseiten, die legitime Portale imitierten. Die Mitarbeitenden beurteilen möglicherweise nicht mehr nur eine isolierte E-Mail. Eventuell durchlaufen sie eine Anfrage, eine Seite, ein Formular und eine Folgeaktion, die sich gegenseitig zu bestätigen scheinen.

Das britische AI Security Institute fand heraus, dass Prompting und Nachtraining die Überzeugungskraft von Konversations-KI stärker erhöhten als Personalisierung oder Modellgröße, während die sachliche Genauigkeit abnahm. Diese Unterscheidung ist hier nützlich. Angreifer benötigen keine perfekten psychologischen Einblicke in die Mitarbeitenden. Sie benötigen genügend operativen Kontext, damit sich die Fortsetzung natürlicher anfühlt als die Unterbrechung.

Der Arbeitsalltag ist bereits auf die schnelle Umsetzung von Anweisungen ausgerichtet

Dr. Christians Kapitel befasst sich mit den Bedingungen, die das Urteilsvermögen beeinflussen, und die Arbeit im Büro umfasst tatsächlich zahlreiche Bedingungen, die das Urteilsvermögen schwächen. Eine Studie zu Arbeitsunterbrechungen bei 492 Büroangestellten in Deutschland ergab, dass die Häufigkeit von Unterbrechungen mit einer höheren subjektiven Arbeitsbelastung zusammenhängt, wobei die wahrgenommene Überlastung durch Unterbrechungen diesen Zusammenhang vermittelt. Der Effekt wird stärker, wenn die Hauptaufgabe komplex ist. Genau dieser Aspekt ist für die Frage der Sicherheit interessant. Eine riskante Anfrage kommt oft in Momenten, in denen jemand bereits eine andere kognitive Last trägt, sodass die Mitarbeitenden unter dem Eindruck der Aufgabe entscheiden, von der sie gerade abgelenkt wurden.

Ein Entscheidungsangriff muss keine Krise auslösen. Er kann als eine Unterbrechung auftreten, die wie Arbeit aussieht und eine schnelle Möglichkeit bietet, Reibung zu reduzieren. Ein Report von Verizon ergab, dass nach dem Öffnen einer Phishing-Mail die mediane Zeit bis zum Klick 21 Sekunden beträgt, gefolgt von weiteren 28 Sekunden bis zur Übermittlung von Daten. Diese Zeitspannen zeigen, wie eng das Entscheidungsfenster sein kann. Die Mitarbeitenden führen nicht immer eine vollständige Sicherheitsbewertung durch. Oft versuchen sie nur, die nächste vor ihnen liegende Aufgabe zu erledigen.

Die von SoSafe identifizierten KI-gestützten Social-Engineering-Trends zeigen, warum dies immer tiefer in die Arbeitsabläufe von Unternehmen vordringt. Angreifer imitieren Genehmigungen, Gehaltsabrechnungsänderungen und rollenspezifische Finanz- oder HR-Anfragen, was bedeutet, dass sie dort Druck ausüben, wo Mitarbeitende bereits die Verantwortung haben, die Dinge am Laufen zu halten. Das Risiko liegt dort, wo eine Unterbrechung im Prozess so vertraut wirkt, dass die Person handelt, bevor sie die Unterbrechung näher prüft.

Synthetisches Vertrauen schwächt alte Verifizierungsgewohnheiten

Deepfakes verändern die Zuverlässigkeit von Vertrauenssignalen genau an dem Punkt, an dem Entscheidungsangriffe von ihnen abhängen. Eine systematische Überprüfung aus dem Jahr 2024 zur menschlichen Erkennung von Deepfakes ergab, dass die allgemeine Erkennungsempfindlichkeit bei Audio, Bildern, Text und Video nicht signifikant über dem Zufallswert lag. Das macht Stimme, Gesicht und Anwesenheit in Meetings zu einem zu schwachen Nachweis für Anfragen mit weitreichenden Konsequenzen. Der Betrugsfall bei Arup zeigt die geschäftlichen Kosten dieser Schwachstelle: Angreifer nutzten einen Deepfake-Videoanruf, um 25 Millionen Dollar zu stehlen. In der Praxis muss die Kontrolle vorgelagert werden. Wenn es um Geld, Zugriff oder sensible Daten geht, sollte die Frage nicht sein, ob die Person richtig aussah oder klang, sondern ob die Anfrage einen Verifizierungspfad durchlaufen hat, den der Angreifer nicht simulieren konnte.

Verhindern Sie, dass Warnungen zur bloßen Kulisse werden

Eine größere Zahl an Warnungen kann es erschweren, das eigentliche Signal zu erkennen. Eine Untersuchung zu autorisiertem Push-Payment-Betrug warnt davor, dass schlecht ausgerichtete Risikowarnungen zu kognitiver Ermüdung und Gewöhnungseffekten führen können, was bedeutet, dass die Menschen lernen, sie zu ignorieren, selbst wenn die Entscheidung ein echtes Risiko birgt. Für Entscheidungsangriffe ist das die falsche Art von Reibung. Die stärkere Kontrolle ist eine gezielte Pause am Punkt der Konsequenz: bei der Genehmigung von Zahlungen, bei Lieferantenwechseln, beim Zurücksetzen der MFA, bei Ausnahme-Zugriffen, bei ungewöhnlichen Datenanfragen oder bei Anweisungen von Vorgesetzten über einen informellen Kanal. Das Ziel ist es, den Moment zu verlangsamen, in dem Druck und Auswirkung aufeinandertreffen, anstatt Mitarbeitenden beizubringen, ein weiteres Banner zu ignorieren, um die Arbeit zu erledigen.

Das Training darf nicht immer um ein Beispiel hinterherhinken

Dr. Christians Kapitel macht einen wichtigen Punkt zur Awareness. Nur dass jemand die richtige Regel kennt, bedeutet nicht, dass die Person sie im entscheidenden Moment auch anwenden wird. Das Signal muss wiedererkennbar sein, wenn die Anfrage eintrifft, insbesondere wenn die Nachricht aktuell aussieht, über einen vertrauten Arbeitsablauf kommt und sofortiges Handeln erfordert.

Der 19-tägige Aktualisierungszyklus der Verteidigungsmaßnahmen von SoSafe zeigt, wie schnell diese Lücke entstehen kann. Viele europäische Unternehmen benötigen etwa 19 Tage, um die an Mitarbeitende gerichteten Abwehrmaßnahmen zu aktualisieren, nachdem eine neue Bedrohung identifiziert wurde. Dieselbe Untersuchung ergab, dass 79 % der Sicherheitsverantwortlichen auf KI-generierte Phishing-Mails gestoßen waren und 57 % bereits gefälschte KI-generierte Geschäftsdokumente wie Rechnungen, Verträge oder Richtlinien beobachtet hatten.

In diesen 19 Tagen begegnen die Mitarbeitenden der Angriffstaktik möglicherweise vor dem Training. Ein Finanzteam könnte mit einer gefälschten Rechnung konfrontiert werden, bevor Simulationen dies widerspiegeln. Die Rechtsabteilung erhält möglicherweise eine KI-generierte Vertragsanfrage, bevor die Anleitungen auf den neuesten Stand gebracht wurden.

Das ist die Lücke, die es zu schließen gilt. Das Training muss näher an das heranrücken, was die Mitarbeitenden im jetzigen Moment sehen. Dies wird sich im Verhalten zeigen, einschließlich der Frage, ob Menschen Unsicherheiten melden, ungewöhnliche Anfragen überprüfen, riskante Arbeitsabläufe hinterfragen und verhindern, dass sich wiederholende Muster zur Normalität werden.

Machen Sie sichere Entscheidungen zur einfachsten Wahl

Dr. Christians Kapitel beschreibt Sicherheitskultur als die bewusste Gestaltung der Bedingungen, unter denen sicherheitsrelevante Entscheidungen getroffen werden. Dieser Punkt ist zentral, um diese Argumentation abzuschließen. Wenn Angreifer die unsichere Handlung alltäglich erscheinen lassen können, müssen Organisationen dafür sorgen, dass die sichere Handlung als erwartet empfunden wird.

Kritische Entscheidungspunkte müssen als Teil der Sicherheitsarchitektur behandelt werden. Geldtransfers, Lieferantenwechsel, das Zurücksetzen von Identitäten, Genehmigungen von Ausnahmen und Anfragen zu sensiblen Daten sollten mit klaren Verifizierungspfaden verbunden sein, die Menschen nutzen können, ohne zu improvisieren oder sich Sorgen machen zu müssen, dass sie Prozesse verlangsamen.

Sicherheitskultur wird real, wenn eine zweite Überprüfung normal erscheint, wenn eine seltsame Anfrage eine klare Anlaufstelle hat, wenn Vorgesetzte Vorsicht als gutes Urteilsvermögen betrachten und wenn Unsicherheit die Sicherheitsabteilung früh genug erreicht, um einen Unterschied zu machen.

Awareness spielt immer noch eine Rolle, aber Wissen allein ist zu fragil. Die sicherere Wahl muss leichter zu erkennen, leichter zu treffen und leichter zu verteidigen sein, wenn der Druck in die andere Richtung zieht.

Hilfeteams üben das alltägliche Urteilsvermögen hinter Social Engineering ein, vom Prüfen ungewöhnlicher Anfragen bis zum Melden von Bedenken, bevor kleine Zweifel zu echten Vorfällen werden.

Entdecken Sie das Security-Awareness-Training von SoSafe
Background dots Hero Background

Das könnte Sie auch interessieren:

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual Hero Background

Erleben Sie unsere Produkte aus erster Hand

Nutzen Sie unsere Online-Testumgebung, um herauszufinden, wie unsere Plattform Ihr Team bei der kontinuierlichen Abwehr von Cyber-Bedrohungen unterstützen und die Sicherheit Ihres Unternehmens gewährleisten kann.

The Forrester Wave™ Strong Performer 2024: Human Risk Management Solutions

This page is not available in English yet.

Diese Seite ist noch nicht in Ihrer Sprache verfügbar. Sie können auf Englisch fortfahren oder zur deutschen Startseite zurückkehren.

Cette page n’est pas encore disponible dans votre langue. Vous pouvez continuer en anglais ou revenir à la page d’accueil en français.

Deze pagina is nog niet beschikbaar in uw taal. U kunt doorgaan in het Engels of terugkeren naar de Nederlandse startpagina.

Esta página aún no está disponible en español. Puedes continuar en inglés o volver a la página de inicio en español.

Questa pagina non è ancora disponibile nella tua lingua. Puoi continuare in inglese oppure tornare alla home page in italiano.