Kontakt aufnehmen
Cybersecurity

Social Engineering: Die psychologischen Tricks, mit denen Hacker selbst CEOs überlisten

  • Lesezeit: 7 min

Es war eine ganz normale E-Mail. Sie kam scheinbar vom Vorstandsvorsitzenden, sie war dringend, sie war vertraulich, und sie verlangte eine Überweisung ins Ausland. Ein Mitarbeiter in der Finanzabteilung tat, was man von ihm erwartete: Er führte die Anweisung der Geschäftsführung aus. Als der Betrug aufflog, waren rund 40 Millionen Euro weg. Keine Firewall hatte versagt. Kein System wurde gehackt. Es wurde nur ein einziger Mensch davon überzeugt, das vermeintlich Richtige zu tun.

Dieser Fall ist real, er traf 2016 den Nürnberger Kabelhersteller Leoni, und er ist bis heute eines der teuersten deutschen Beispiele für eine Angriffsform, gegen die keine technische Schutzsoftware allein hilft: Social Engineering. Wenn Sie ein Unternehmen führen oder für dessen IT-Sicherheit verantwortlich sind, sollten Sie verstehen, warum Ihre größte Schwachstelle nicht in der Serverlandschaft sitzt, sondern an den Schreibtischen Ihrer Belegschaft. Und warum gerade die Chefetage besonders gefährdet ist.

Zentrale Punkte

  • Mehr als ein Drittel aller Sicherheitsvorfälle beginnt mit Social Engineering, nicht mit einer technischen Sicherheitslücke. Der Mensch ist das Einfallstor.
  • Das BSI stuft den Faktor Mensch als größte Schwachstelle in der deutschen Cybersicherheit ein, und künstliche Intelligenz verschärft die Lage gerade dramatisch.
  • Wirksamer Schutz ist möglich, aber er ist nicht primär technisch. Er entsteht durch klare Prozesse und eine Unternehmenskultur, in der Nachfragen erlaubt ist.

Inhalt

Was Social Engineering wirklich ist, und warum Ihre Firewall dagegen machtlos ist

Die meisten Sicherheitsbudgets fließen in Technik: Firewalls, Endpoint-Schutz, Verschlüsselung, Monitoring. Das ist richtig und notwendig. Nur lösen diese Maßnahmen ein Problem nicht, das gar nicht technisch ist.

Social Engineering bezeichnet die gezielte zwischenmenschliche Manipulation, mit der böswillige Akteure Menschen dazu bringen, Sicherheitsmaßnahmen selbst auszuhebeln: ein Passwort preiszugeben, einen Anhang zu öffnen, eine Überweisung freizugeben, einer fremden Person Zutritt zu gewähren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vergleicht das Prinzip mit dem klassischen Trickbetrug an der Haustür. Die Täter täuschen eine Beziehung, eine Autorität oder einen guten Grund vor. Das Opfer handelt im guten Glauben, das Richtige zu tun, und spielt dabei genau dem Angreifer in die Hände.

Der entscheidende Punkt für Sie als Entscheider: Ihre Firewall prüft Datenpakete, nicht Absichten. Sie kann eine technisch sauber zugestellte E-Mail, die psychologisch perfekt manipuliert ist, nicht als Angriff erkennen, weil technisch betrachtet gar kein Angriff stattfindet. Der Angriff findet im Kopf Ihres Mitarbeiters statt. Genau deshalb ist Social Engineering so erfolgreich, und genau deshalb lässt es sich nicht allein mit Software lösen.

Wie groß das Problem ist, zeigt der 2025 veröffentlichte Global Incident Response Report der Sicherheitsabteilung Unit 42, der über 700 Vorfälle weltweit untersuchte: 36 Prozent aller analysierten Sicherheitsvorfälle begannen mit Social Engineering. Phishing blieb dabei mit 65 Prozent die mit Abstand häufigste eingesetzte Taktik. Anders formuliert: In mehr als jedem dritten Fall war der erste Dominostein kein Software-Fehler, sondern ein getäuschter Mensch.

Die psychologischen Hebel: Sechs Tricks, mit denen Hacker Ihr Gehirn überlisten

Social Engineering funktioniert nicht trotz, sondern wegen menschlicher Vernunft. Die Angreifer nutzen Reaktionsmuster, die im Alltag sinnvoll sind und uns nur in diesem einen Kontext zum Verhängnis werden. Wer diese Hebel kennt, erkennt den Angriff, während er läuft. Das ist der wichtigste Abschnitt dieses Artikels, lesen Sie ihn doppelt.

Autorität: „Der Chef hat es angeordnet“

Menschen hinterfragen Anweisungen von oben selten. Das ist in Hierarchien nützlich, sonst käme keine Organisation voran. Angreifer wissen das. Eine Mail, die scheinbar vom Geschäftsführer kommt, löst Gehorsam aus, bevor das kritische Denken einsetzt. Der gesamte CEO-Fraud beruht auf diesem einen Hebel: Wer würde es wagen, eine direkte Anweisung des Vorstands zu ignorieren und sich zu blamieren?

Dringlichkeit: „Das muss in den nächsten 20 Minuten passieren“

Zeitdruck schaltet das Nachdenken ab. Wer das Gefühl hat, sofort handeln zu müssen, prüft nicht. Angreifer bauen darum künstliche Fristen ein: ein Geschäft, das gleich platzt, eine Strafzahlung, die nur heute abwendbar ist, ein Account, der in zehn Minuten gesperrt wird. Die Botschaft lautet immer: keine Zeit für Rückfragen.

Reziprozität: „Ich habe Ihnen geholfen, jetzt helfen Sie mir“

Wer etwas geschenkt bekommt, fühlt sich verpflichtet, etwas zurückzugeben. Ein angeblicher IT-Mitarbeiter, der erst ein kleines, echtes Problem „löst“ und dann beiläufig nach den Zugangsdaten fragt, nutzt genau dieses tief verankerte Gefühl. Die Hilfsleistung war die Investition, die Zugangsdaten sind die Rendite.

Soziale Bewährtheit: „Alle anderen aus Ihrer Abteilung haben das auch schon gemacht“

Im Zweifel orientieren wir uns am Verhalten anderer. Der Hinweis, dass Kollegen einer Aufforderung bereits gefolgt sind, senkt die Hemmschwelle erheblich, selbst wenn diese Behauptung frei erfunden ist. Niemand möchte derjenige sein, der grundlos Probleme macht.

Angst: „Ihr Konto wurde kompromittiert, handeln Sie jetzt“

Angst ist der stärkste Beschleuniger. Die Drohung mit einem Sicherheitsvorfall, einer Abmahnung oder einem finanziellen Schaden erzeugt einen Reflex: Gefahr abwenden, sofort. Paradoxerweise nutzen Angreifer die Angst vor Cyberangriffen, um einen Cyberangriff durchzuführen. Das BSI beschreibt genau dieses Muster, etwa bei gefälschten Sicherheitswarnungen, die vorgeben, ein System schützen zu wollen, und in Wahrheit Zugangsdaten abgreifen.

Hilfsbereitschaft: „Können Sie mir kurz die Tür aufhalten?“

Die meisten Menschen sind hilfsbereit, und das ist eine gute Eigenschaft. Angreifer drehen sie um. Die Person mit den vollen Händen, die um Zutritt zum Gebäude bittet. Der angebliche neue Kollege, der seinen Login noch nicht hat. Wer höflich um einen kleinen Gefallen bittet, bekommt ihn meistens, weil ein Nein unhöflich wäre.

Diese sechs Hebel treten in der Praxis selten einzeln auf. Ein professioneller Angriff kombiniert sie: Autorität plus Dringlichkeit plus Angst, in einer einzigen Nachricht. Genau diese Kombination macht den nächsten Fall so lehrreich.

CEO-Fraud: Wie 40 Millionen Euro an einem Nachmittag verschwanden

Der Fall Leoni ist der bekannteste deutsche CEO-Fraud, und er zeigt, warum die Behauptung im Titel dieses Artikels keine Übertreibung ist. Beim CEO-Fraud, auch Chef-Masche genannt, geben sich Täter mit gefälschten E-Mails als Geschäftsführung oder andere leitende Personen aus und weisen Mitarbeiter an, Geld auf Auslandskonten zu überweisen. Im Fall des Nürnberger Kabelspezialisten Leoni entstand auf diese Weise 2016 ein Schaden von rund 40 Millionen Euro. Die Täter nutzten gefälschte interne Mails, die scheinbar von der Führungsebene stammten.

Das Erschreckende ist nicht die Höhe der Summe, sondern die Schlichtheit der Methode. Hier wurde keine Hochsicherheits-Verschlüsselung geknackt. Hier wurde der Hebel Autorität gezogen, kombiniert mit Dringlichkeit und Vertraulichkeit. „Vertraulich“ ist dabei das entscheidende Wort: Es liefert dem Mitarbeiter gleich die Begründung mit, warum er ausnahmsweise niemanden gegenchecken soll.

Der CEO-Fraud ist kein Einzelphänomen. Schon 2016 berichtete das Bundeskriminalamt von dutzenden bekannten Fällen mit zweistelligen Millionenschäden, und es betonte ausdrücklich, dass es keine Meldepflicht gibt und die Dunkelziffer entsprechend hoch ist. Was öffentlich wird, ist die Spitze.

Warum ist gerade die Chefetage das Einfallstor? Aus drei Gründen. Erstens werden Anweisungen von ganz oben seltener hinterfragt als jede andere. Zweitens sind die Namen, Funktionen und oft auch die Kommunikationsmuster der Führungskräfte öffentlich bekannt, über die Website, Pressemitteilungen, Interviews und soziale Netzwerke. Drittens ist die Hemmschwelle, einen Vorstand zurückzurufen und seine Anweisung anzuzweifeln, in den meisten Unternehmenskulturen hoch. Genau diese Hemmschwelle ist die eigentliche Schwachstelle, und sie lässt sich mit keiner Software schließen.

Die neue Eskalationsstufe: Wenn die Stimme Ihres Chefs eine KI ist

Bis vor Kurzem hatte der CEO-Fraud eine natürliche Grenze: Eine gefälschte E-Mail ist auffälliger als ein Anruf, und einen echten Telefon- oder Videokontakt konnten Angreifer nicht herstellen. Diese Grenze ist gefallen.

Im Februar 2024 überwies ein Finanzangestellter des Ingenieurkonzerns Arup in Hongkong umgerechnet rund 25 Millionen US-Dollar, nachdem er an einer Videokonferenz mit seinem vermeintlichen Finanzvorstand und mehreren Kollegen teilgenommen hatte. Sämtliche Gesprächsteilnehmer in diesem Call waren Deepfakes, also KI-generierte Fälschungen von Stimme und Bild. Der Mitarbeiter hatte zunächst einen Phishing-Versuch vermutet. Der überzeugende Live-Videocall mit den scheinbar echten Kollegen räumte seine Skepsis vollständig aus.

Der Einstieg in diese Angriffsform ist erschreckend niedrigschwellig geworden. Branchenanalysen zufolge stieg Voice-Cloning-Betrug 2025 um 680 Prozent gegenüber dem Vorjahr, und bereits drei Sekunden öffentlich verfügbares Audiomaterial reichen aus, um eine Stimme mit hoher Übereinstimmung zu klonen. Das Rohmaterial liefern Sie als Führungskraft unfreiwillig selbst: Keynote-Mitschnitte, Podcast-Auftritte, Interviews und Videos in sozialen Netzwerken sind frei zugänglich. Je sichtbarer eine Führungskraft, desto leichter die Fälschung.

Für den deutschen Markt bestätigt der Kreditversicherer Allianz Trade den Trend: Die durch CEO-Fraud verursachten Schäden stiegen demnach 2025 um 81 Prozent. Der Hebel ist derselbe wie bei Leoni, nur ist die Täuschung jetzt audiovisuell und damit für das menschliche Urteilsvermögen kaum noch zu durchschauen.

Dass es auch anders ausgehen kann, zeigt ein Fall beim Sportwagenhersteller Ferrari im Jahr 2024: Angreifer klonten die Stimme des Vorstandsvorsitzenden und baten über einen Messenger um eine vertrauliche Überweisung. Eine Führungskraft stellte eine persönliche Verifizierungsfrage, die die KI nicht beantworten konnte. Es ging kein Geld verloren. Dieser Fall ist die Brücke zum letzten Teil dieses Artikels, denn er beweist: Der wirksamste Schutz ist nicht technisch, sondern eine schlichte Rückfrage.

Die häufigsten Angriffsformen, die Ihnen begegnen werden

Social Engineering hat viele Erscheinungsformen. Die folgenden sollten Sie und Ihre Belegschaft dem Namen nach kennen, weil das Benennen einer Methode bereits die halbe Abwehr ist.

Phishing ist der breit gestreute Massenangriff per E-Mail, der Empfänger auf gefälschte Seiten lockt oder zu Schadsoftware verleitet. Spear-Phishing ist die personalisierte Variante, zugeschnitten auf eine konkrete Person mit echten Details aus deren Umfeld. Whaling zielt speziell auf die Führungsebene, der CEO-Fraud ist ein Beispiel. Vishing ist Voice-Phishing, also der Angriff per Telefon, der durch KI-Stimmen gerade gefährlich wird. Pretexting bezeichnet die erfundene Legende, mit der ein Angreifer Vertrauen aufbaut, etwa als angeblicher IT-Support oder Wirtschaftsprüfer. Baiting lockt mit einem Köder, dem präparierten USB-Stick auf dem Parkplatz oder dem verlockenden Download. Tailgating schließlich ist der physische Angriff: das unbefugte Mitlaufen durch eine gesicherte Tür im Windschatten eines Berechtigten.

All diese Methoden bedienen sich derselben psychologischen Hebel aus dem dritten Abschnitt. Die Technik dahinter wechselt, das menschliche Muster bleibt gleich.

Was wirklich schützt: Der Mensch als Firewall

Hier ist die gute Nachricht. Der wirksamste Schutz gegen Social Engineering ist nicht teuer und nicht primär technisch. Er ist organisatorisch und kulturell, und genau deshalb wird er so oft vernachlässigt.

Im Zentrum stehen klare, nicht verhandelbare Prozesse für jede Zahlungsfreigabe. Das Vier-Augen-Prinzip für Finanztransaktionen oberhalb einer definierten Schwelle ist die Basis: Keine Überweisung wird allein durch eine einzelne Person ausgelöst, egal von wem die Anweisung scheinbar kommt. Ergänzend wirkt die Out-of-Band-Verifizierung: Kommt eine Zahlungsanweisung per Mail oder Anruf, wird sie über einen zweiten, unabhängigen Kanal bestätigt, etwa per Rückruf auf eine fest hinterlegte Nummer. Ein Angreifer kann einen Kanal fälschen, aber nur sehr schwer zwei gleichzeitig. Für Krisensituationen haben sich vorab vereinbarte Code-Wörter bewährt, die in jeder dringenden Zahlungsanweisung genannt werden müssen. Der Ferrari-Fall zeigt im Kleinen, wie wirksam eine einzige nicht fälschbare Rückfrage ist.

Der zweite Pfeiler ist die Belegschaft selbst. Eine geschulte, wachsame Mitarbeiterin, die einen Anruf hinterfragt, ist die letzte und oft einzige Verteidigungslinie, wenn die Technik die Täuschung durchgelassen hat. Das BSI nennt die Mitarbeiter-Sensibilisierung gegen Phishing und Social Engineering ausdrücklich als eines seiner zentralen Handlungsfelder. Entscheidend ist dabei nicht die einmalige Pflichtschulung, sondern eine Kultur, in der das Nachfragen ausdrücklich erwünscht ist, auch und gerade gegenüber Vorgesetzten. Solange ein Mitarbeiter befürchtet, sich mit einer Rückfrage beim Vorstand zu blamieren, bleibt die teuerste Schwachstelle offen.

Der Faktor Mensch ist nicht das Problem, das man wegtrainieren muss. Er ist die Verteidigungslinie, die man befähigen muss. Welche weiteren Cyberangriffe auf Unternehmen 2026 reale Bedrohung sind und wie sie zusammenhängen, ordnet unser Überblick zu den aktuellen Bedrohungen ein.

Häufig gestellte Fragen zu Social Engineering

Was ist Social Engineering?

Social Engineering ist die gezielte zwischenmenschliche Manipulation, mit der Angreifer Menschen dazu bringen, freiwillig Sicherheitsmaßnahmen zu umgehen, etwa Passwörter preiszugeben oder Überweisungen freizugeben. Nicht die Technik wird angegriffen, sondern das Vertrauen und die Hilfsbereitschaft der Mitarbeiter.

Beim CEO-Fraud, auch Chef-Masche, geben sich Täter als Geschäftsführung aus und weisen Mitarbeiter per gefälschter E-Mail, zunehmend auch per KI-Stimme, zu dringenden Auslandsüberweisungen an. Der bekannteste deutsche Fall traf 2016 den Kabelhersteller Leoni mit einem Schaden von rund 40 Millionen Euro.

Weil keine Firewall davor schützt. Der Angriff findet im Kopf des Mitarbeiters statt, nicht im Netzwerk. Laut Unit-42-Report von 2025 begannen 36 Prozent aller untersuchten Sicherheitsvorfälle mit Social Engineering. Das BSI stuft den Faktor Mensch als größte Schwachstelle ein.

Der wirksamste Schutz ist organisatorisch: ein Vier-Augen-Prinzip für Zahlungen, Verifizierung über einen zweiten unabhängigen Kanal, vereinbarte Code-Wörter und eine Unternehmenskultur, in der Mitarbeiter Anweisungen auch von Vorgesetzten gefahrlos hinterfragen dürfen.