Social Engineering: Stimme, Bild, Kontext

Was sich verändert hat

Früher reichte ein plumper Phishing-Link. Heute kommen Angriffe im Business-Look – inkl. korrekt geschriebenen Namen, echten Signaturen und sauberem Timing. KI generiert Stimmen, Gesichter und Meeting-Einladungen; Deepfakes imitieren Vorgesetzte, Lieferanten oder Behörden. Parallel hebeln Adversary-in-the-Middle (AitM) Gateways klassische MFA-Flows aus, indem sie Sessions live abgreifen. Das ist keine Science-Fiction, sondern Alltag. Der wunde Punkt ist selten die Technik – es sind hektische Freigaben, fehlende Gegenrufe und ein „kriegt ihr schon hin“-Mindset.

Taktiken, die heute wirken

• Stimm-Imitation + Zeitdruck: Ein „Chef-Anruf“ kurz vor Feierabend, verbunden mit „dringend freigeben“. Der Inhalt ist banal, der Kontext perfekt.
• Kalender-Injection: Echte Meeting-Einladung mit getarntem Link; Teilnehmerliste wirkt legitim.
• AitM gegen MFA: Login über gefälschte Portale, Tokens werden gestohlen, Sessions übernommen – trotz „MFA vorhanden“.
• Supplier-Spoofing: Wechsel der Bankverbindung „wegen Fusion“. Belege sehen echt aus, Anhänge sind sauber gelayoutet.
• Post-Compromise-Phishing: Nach initialem Zugriff verschicken Angreifer echte Mails aus echten Postfächern – jede „Prüfung“ schlägt positiv aus.

Wo Unternehmen scheitern (ehrlich)

Zwei Schwächen sind konstant: fehlende Prozessanker und unklare Verantwortung. Viele Richtlinien sind PDF-Dekoration, kein gelebtes Verhalten. Es gibt keine verbindlichen Out-of-Band-Prüfungen, kein Vier-Augen-Prinzip bei Geldbewegungen, und Helpdesk oder Fachbereiche sind nicht verpflichtet, „komische Anrufe“ sofort zu melden. Zusätzlich werden Legacy-Flows offengelassen (Basic/IMAP), wodurch MFA an der Realität vorbei läuft.

So stoppt man Social Engineering – in der Praxis

Setzt zuerst am Verhalten an, dann an der Technik. Reihenfolge ist Absicht.

1. Prozess vor Personenkult. Keine Auszahlung, kein Kontowechsel, keine Rechte-Erhöhung ohne dokumentierte Gegenprüfung über einen zweiten, bekannten Kanal. Kein Ausnahme-Bonus für „wichtige“ Personen – gerade die werden imitiert.
2. Out-of-Band-Rituale verpflichtend. Fest definierte Rückrufnummern (aus internem Verzeichnis), Code-Wörter für sensible Freigaben, Rückruf nur über zentral hinterlegte Kontakte – nicht über die Nummer aus der Mail.
3. Phishingsichere Anmeldung. MFA mit Passkeys/FIDO2, Abschaltung schwacher Protokolle, Session-Re-Challenge bei Risiko. Gegen AitM hilft Technik plus Kontextprüfung (z. B. Domainbindung, Device-Bindung).
4. Least-Privilege ernst nehmen. Je weniger dauerhafte Rechte, desto kleiner die Wirkung von erpressten Freigaben. Zeitbasierte Adminrechte (JIT) reduzieren Drucksituationen.
5. Realitätsnahe Übungen. Keine Folien. Simuliert Chef-Anrufe, Lieferantenwechsel, Kalender-Einladungen – inklusive Zeitdruck und „bitte schnell“. Ziel ist, das Stop-Signal („Gegenruf!“) reflexhaft zu machen.

Prozesse für Geld- & Identitätsänderungen (Minimal-Standard)

• Vier-Augen-Prinzip für alle Zahlungen über Schwellwert X und für jede Änderung von Bankdaten.
• Zweikanal-Verifikation: Rückruf über intern gepflegte Nummer plus schriftliche Bestätigung mit hinterlegter Vorlage.
• Sperrfrist: Neue Bankdaten erst nach dokumentierter Prüfkette aktiv.
• Lieferanten-Whitelist: Änderungen nur, wenn die anfragende Person und der Kanal mit einem hinterlegten Datensatz matchen.
• Audit-Trail: Jede Freigabe erzeugt ein Ticket mit Zeitstempel, Prüfschritten und Beteiligten. Ohne Ticket – keine Änderung.

Technik, die wirklich hilft (ohne Vendor-Namen)

• Mail-Authentisierung & Anomalien (SPF/DKIM/DMARC + heuristische Prüfungen) senken Rauschen – aber ersetzen nie den Prozess.
• Link-/Anhang-Policies mit Pre-Execution-Checks, Sandboxing für unbekannte Dateien und Blockierung bekannter Missbrauchs-Flows.
• Browser-Isolierung für Hochrisiko-Ziele (Finance, HR) bei externen Links aus Mails oder Kalendern.
• Session-Sicherheit: Token-Bindung an Gerät/Browser, kurze Gültigkeiten, automatische Abmeldung bei Kontextsprung.
• Identitäts-Telemetrie: Unmögliche Reise, Rollen-Abweichungen, untypische Freigaben → sofortige Rückfrage/Step-Up-Auth.

Kennzahlen, die zählen (und Druck machen)

• Verifikationsquote bei Geld/Identitätsänderungen: Anteil Fälle mit erfolgreicher Zweikanal-Prüfung.
• Time-to-Verify: Zeit vom Antrag bis zur abgeschlossenen Gegenprüfung – Ziel ist schnell und strikt.
• Reporting-Rate: Anteil Mitarbeitender, die verdächtige Kontakte/Anrufe melden.
• AitM-Blockrate: Geblockte/abgebrochene Versuche dank Domain-/Device-Bindung.
• Push-Fatigue-Events: Abgewehrte MFA-Spam-Versuche und Anzahl deaktivierter „Erlaubnis-by-Klick“-Flows.
• Übungs-Erfolg: Quote bestandener Real-Szenarien (Chef-Anruf, Supplier-Change) – ohne Vorwarnung.

Typische Einwände – nüchtern beantwortet

• „Das verlangsamt unser Geschäft.“ – Korrekt. Es verlangsamt nur das, was Geld bewegt oder Identitäten ändert. Alles andere läuft weiter.
• „Unsere Leute erkennen so was.“ – Bis Stress, Urlaub oder Schichtwechsel eintreten. Prozesse schützen Menschen – nicht umgekehrt.
• „Wir haben MFA.“ – Wenn AitM Sessions abgreift oder Legacy-Flows offen sind, ist das Augenwischerei. Härten oder abschalten.

Fazit

Social Engineering ist präzise, höflich und glaubwürdig. Wer auf Bauchgefühl setzt, verliert. Wer Prozesse erzwingt, MFA gegen AitM härtet und realitätsnah übt, reduziert die Trefferquote drastisch – messbar in Verifikations- und Übungskennzahlen. Das ist keine Kür, sondern Schadensbegrenzung in Euro und Stunden. Kurz: Gegenstimme eintrainieren, Gegenruf verpflichten, Rechte knapp halten. Dann wird aus „Bitte schnell freigeben“ ein „Moment, wir prüfen das“ – und genau das rettet Geld, Daten und Nerven.

FAQ zum Blogbeitrag