Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Alle Cybergefahren
    Cyberbedrohung
    Bedrohungslevel: Kritisch

    Social Engineering

    Social Engineering bezeichnet die gezielte Manipulation von Menschen, um an vertrauliche Informationen zu gelangen, Sicherheitsmaßnahmen zu umgehen oder Handlungen auszulösen. Anders als bei technischen Angriffen nutzen Social Engineers menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Respekt vor Autorität oder Zeitdruck aus. Social Engineering ist der Oberbegriff – Phishing ist nur eine von vielen Methoden.

    85 %aller Sicherheitsvorfälle beinhalten eine menschliche Komponente (Verizon DBIR)

    Wie funktioniert Social Engineering?

    Social Engineering basiert auf psychologischer Manipulation. Die Angreifer nutzen grundlegende menschliche Verhaltensmuster aus, die tief verankert sind: Wir helfen gerne, vertrauen Autoritäten, scheuen Konflikte und handeln unter Zeitdruck oft unüberlegt.

    Die Methoden sind vielfältig: Beim sogenannten Pretexting gibt sich der Angreifer als IT-Support, Handwerker oder Auditor aus und verschafft sich so Zugang zu Gebäuden oder Informationen. Beim Tailgating folgt jemand einem berechtigten Mitarbeiter durch eine gesicherte Tür. Beim Baiting werden „vergessene''' USB-Sticks mit Malware auf dem Firmenparkplatz platziert.

    Besonders raffiniert ist Voice Phishing (Vishing): Ein Anrufer gibt sich als Mitarbeiter der Hausbank, des IT-Supports oder einer Behörde aus. Durch geschicktes Fragen und den Aufbau einer Vertrauensbasis bringt er den Mitarbeiter dazu, Passwörter, Kontodaten oder interne Informationen preiszugeben.

    Die Angreifer recherchieren ihre Ziele gründlich: LinkedIn-Profile, Firmenwebseiten, Pressemitteilungen und Social-Media-Posts liefern wertvolle Informationen für maßgeschneiderte Angriffe. Oft wissen die Angreifer mehr über interne Abläufe als mancher Mitarbeiter – und genau das macht sie so überzeugend.

    Social Engineering in Zahlen

    85 %
    aller Sicherheitsvorfälle beinhalten eine menschliche Komponente (Verizon Data Breach Investigations Report)
    56 %
    der deutschen Unternehmen waren von Social Engineering betroffen (Bitkom 2025)
    5,1 Mio. €
    durchschnittlicher Schaden durch CEO-Fraud bei deutschen Unternehmen (BKA 2025)
    15 Min.
    reichen einem erfahrenen Social Engineer im Durchschnitt, um vertrauliche Informationen zu erhalten (Studie TU Darmstadt)
    Echte Schadensfälle

    So trifft Social Engineering Unternehmen

    Elektrotechnik / Fertigung

    CEO-Fraud kostet Mittelständler Millionenbetrag

    3,7 Mio. €
    Kein IT-Ausfall, aber wochenlange Ermittlungen

    Der Angreifer hatte wochenlang den E-Mail-Verkehr des Geschäftsführers eines Elektronikherstellers beobachtet. Er kannte Projekte, Lieferanten und den Kommunikationsstil des Chefs. Als der Geschäftsführer auf Geschäftsreise war, kontaktierte der Angreifer die Finanzbuchhaltung per E-Mail und Telefon und ordnete eine „streng vertrauliche''' Überweisung im Rahmen einer angeblichen Firmenübernahme an. Drei Überweisungen in Höhe von insgesamt 3,7 Mio. € gingen auf ein Konto in Hongkong.

    Gesundheitswesen

    Social Engineer verschafft sich Zutritt zu Arztpraxis

    210.000 €
    1 Woche eingeschränkter Praxisbetrieb

    Ein Angreifer gab sich telefonisch als Techniker des Praxissoftware-Herstellers aus und kündigte ein „dringendes Sicherheitsupdate''' an. Am nächsten Tag erschien er in der Praxis, erhielt Zugang zum Server-Raum und installierte eine Fernzugriffssoftware. Über Wochen wurden Patientendaten abgegriffen und später für Erpressung genutzt. Die Praxis musste eine DSGVO-Meldung machen und alle 8.000 Patienten informieren.

    Schutzmaßnahmen gegen Social Engineering

    Technische Maßnahmen

    • Multi-Faktor-Authentifizierung für alle kritischen Systeme und Zugänge
    • Zutrittskontrollsysteme mit Vereinzelungsschleusen für sensible Bereiche
    • Telefonanlagen mit Anrufer-Identifikation und Aufzeichnung konfigurieren
    • E-Mail-Header-Analyse und DMARC/DKIM zur Erkennung gefälschter Absender
    • Data Loss Prevention (DLP) zur Erkennung ungewöhnlicher Datenabflüsse
    • Strikte Berechtigungsvergabe nach dem Least-Privilege-Prinzip

    Organisatorische Maßnahmen

    • Regelmäßige Social-Engineering-Awareness-Trainings für alle Mitarbeiter
    • Klare Verifizierungsprozesse für telefonische und E-Mail-Anfragen etablieren
    • Vier-Augen-Prinzip für Überweisungen und Zugangsvergabe einführen
    • Besucher-Policy: Kein unbegleiteter Zutritt zu IT-Räumen
    • Kultur schaffen, in der Rückfragen und Skepsis gefördert statt bestraft werden
    Versicherungsschutz

    Was die Cyberversicherung bei Social Engineering abdeckt

    Abgedeckte Leistungen

    • Finanzielle Verluste durch Social-Engineering-Betrug (CEO-Fraud, Fake-Rechnungen)
    • Kosten für IT-Forensik zur Aufklärung des Vorfalls
    • Betriebsunterbrechungsschäden durch kompromittierte Systeme
    • Haftpflichtansprüche bei Datenschutzverletzungen durch Social Engineering
    • Kosten für Krisenkommunikation und Reputationsmanagement
    • Rechtsberatungskosten im Zusammenhang mit dem Vorfall
    • Kosten für Benachrichtigung betroffener Personen nach DSGVO

    Typische Ausschlüsse

    • Schäden durch grobe Fahrlässigkeit ohne grundlegende Sicherheitsmaßnahmen
    • Verluste durch Mitarbeiter, die wissentlich gegen Sicherheitsrichtlinien verstoßen
    • Langfristige Reputationsschäden ohne direkte finanzielle Bezifferung
    • Schäden durch fehlende Verifizierungsprozesse bei Überweisungen
    • Erpressungsgelder ohne vorherige Abstimmung mit dem Versicherer

    Schützen Sie Ihr Unternehmen vor Social Engineering

    Vergleichen Sie jetzt die besten Cyberversicherungs-Tarife und finden Sie den passenden Schutz für Ihr Unternehmen.

    JETZT TARIFE VERGLEICHEN
    Häufige Fragen

    FAQ zu Social Engineering

    Social Engineering ist der Oberbegriff für alle Angriffe, die menschliche Manipulation nutzen. Phishing ist eine spezielle Form von Social Engineering, die über gefälschte E-Mails oder Webseiten funktioniert. Social Engineering umfasst aber auch Telefonanrufe, persönliches Auftreten, gefälschte USB-Sticks und viele weitere Methoden.
    Der wichtigste Schutz sind geschulte Mitarbeiter, die Manipulationsversuche erkennen. Führen Sie regelmäßige Awareness-Trainings durch und etablieren Sie klare Verifizierungsprozesse. Wenn jemand telefonisch ein Passwort verlangt, muss der Mitarbeiter wissen, dass er zurückrufen und die Identität prüfen soll.
    Beim CEO-Fraud gibt sich ein Angreifer als Geschäftsführer oder Vorstand aus und weist einen Mitarbeiter an, eine dringende Überweisung vorzunehmen. Der Angriff wird sorgfältig vorbereitet – die Angreifer kennen interne Abläufe und den Kommunikationsstil. Oft wird Geheimhaltung eingefordert, damit kein Kollege nachfragt.
    Ja, kleine Unternehmen sind sogar besonders gefährdet. Sie haben oft weniger formalisierte Prozesse, keine eigene IT-Sicherheitsabteilung und flache Hierarchien – das macht Social Engineering einfacher. Außerdem rechnen kleine Unternehmen oft nicht damit, Ziel zu werden, und sind deshalb unvorbereitet.
    Die meisten Cyberversicherungen decken CEO-Fraud und andere Social-Engineering-Betrugsformen ab. Voraussetzung ist oft, dass grundlegende Sicherheitsmaßnahmen wie das Vier-Augen-Prinzip bei Überweisungen bestanden. Manche Tarife haben Sublimits für Betrugsschäden – prüfen Sie die Bedingungen genau.
    Brechen Sie den Kontakt sofort ab und informieren Sie Ihre IT-Abteilung und den Vorgesetzten. Wenn bereits Daten preisgegeben oder Überweisungen angewiesen wurden, informieren Sie sofort die Bank (Rückruf möglich innerhalb weniger Stunden) und den Cyberversicherer. Dokumentieren Sie alles für die Polizei.

    Verwandte Bedrohungen

    Phishing-AngriffeTrojanerRansomware

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.