Pretexting ist die technisch aufwändigste und gleichzeitig effektivste Form des Social Engineering: Angreifer investieren Tage oder Wochen in die Vorbereitung einer falschen Identität, um dann mit erschreckender Glaubwürdigkeit in Ihr Unternehmen einzudringen — physisch, digital oder per Telefon. Laut dem IBM X-Force Threat Intelligence Index 2024 entfallen 21 Prozent aller initial access-Vektoren bei Angriffen auf europäische Unternehmen auf Pretexting-basierte Social-Engineering-Kampagnen. Für Schweizer KMU bedeutet dies: Die Bedrohung ist real, ausgefeilt und nimmt zu.

Was ist Pretexting?

Pretexting bezeichnet die Erstellung eines falschen Szenarios (des «Pretext»), das als Kulisse für einen Angriff dient. Der Begriff leitet sich vom englischen «pretext» (Vorwand) ab. Ein Social Engineer, der Pretexting einsetzt, ist im Grunde ein Schauspieler: Er schlüpft in eine Rolle, die sorgfältig auf sein Ziel und die gewünschte Aktion ausgerichtet ist.

Der entscheidende Unterschied zu einfachem Phishing: Pretexting ist nicht opportunistisch, sondern gezielt. Der Angreifer researcht sein Ziel vorab, entwickelt eine massgeschneiderte Geschichte und tritt dann mit einem Masse an Vertrautheit und Detailkenntnis auf, das echtes Vertrauen erzeugt. Ein guter Pretexting-Angriff scheitert nicht an mangelnder Schulung der Zielperson — er ist darauf ausgelegt, auch aufgeweckte, misstrauische Mitarbeitende zu täuschen.

Pretexting ist ein zentraler Bestandteil des breiteren Social Engineering-Spektrums und wird häufig mit Vishing, Spear Phishing und physischen Infiltrationsmethoden kombiniert.

Die Anatomie eines Pretexting-Angriffs

Phase 1: Passive Reconnaissance — Open Source Intelligence (OSINT)

Bevor ein Angreifer den ersten Kontakt aufnimmt, betreibt er intensive Recherche über sein Ziel. Diese «passive Reconnaissance» nutzt ausschliesslich öffentlich zugängliche Informationen — OSINT (Open Source Intelligence):

Unternehmensebene:

  • Handelsregisterauszug (zeigt Verwaltungsrat, Unterschriftsberechtigte, Domizil)
  • Firmenwebsite (Organigramm, Ansprechpartner, Produkte, Kunden)
  • Pressemitteilungen (laufende Projekte, Akquisitionen, Partnerschaften)
  • Stellenausschreibungen (verraten, welche Systeme und Tools im Einsatz sind)
  • Jahresberichte (Finanzkennzahlen, Strategie, Risikofaktoren)

Personenebene:

  • LinkedIn und XING (Karriereverlauf, Fähigkeiten, Netzwerk, Aktivitäten)
  • Social Media (persönliche Informationen, Urlaubspläne, Hobbys)
  • WHOIS und DNS-Records (technische Infrastruktur, E-Mail-Server)
  • Google-Suche nach Namen + Firma (Konferenzauftritte, Zitate, Fotos)
  • GitHub (Codekommentare mit internen Systemnamen, E-Mail-Adressen)

Ein erfahrener OSINT-Analyst kann in zwei bis drei Stunden ein detailliertes Profil eines KMU erstellen — inklusive der Namen der Buchhalterinnen, der IT-Dienstleister, der Lieferanten, der aktuellen Projekte und sogar der Bürozeiten.

Phase 2: Aktive Reconnaissance — Vorsichtige Kontaktaufnahme

In einer zweiten Phase sammeln manche Angreifer weitere Informationen durch direkten, aber unverdächtigen Kontakt:

  • Pretextanruf: «Hallo, ich versuche, Ihre Bestellabteilung zu erreichen — könnten Sie mich verbinden?» Beim Weiterstellen lernt der Angreifer Personen und interne Abläufe kennen.
  • Falsche Bewerbung: Als Bewerber erhält man Einblick in interne Prozesse, Tools und Kultur.
  • Fake-Lieferantenanfrage: Als potenzieller Lieferant bekommt man Informationen über Einkaufsprozesse, Ansprechpartner und Budgets.

Phase 3: Pretext-Entwicklung

Auf Basis der gesammelten Informationen entwickelt der Angreifer seinen «Pretext» — die Rolle, die er spielen wird, und die Geschichte, die er erzählen wird. Gute Pretexts haben folgende Eigenschaften:

  • Glaubwürdig: Die Rolle passt zum Kontext des Unternehmens
  • Dringlich: Ein Zeitdruck verhindert Rückfragen
  • Autoritär oder sympathisch: Die Zielperson ist entweder eingeschüchtert oder hilfsbereit
  • Informiert: Der Angreifer zeigt Detailwissen, das Vertrauen erzeugt
  • Einfache Aktion: Die gewünschte Aktion erscheint harmlos und im Rahmen normaler Arbeit

Phase 4: Angriff und Eskalation

Mit dem entwickelten Pretext nimmt der Angreifer Kontakt auf. Oft beginnt er mit einer kleinen, harmlosen Anfrage — dem «Foot in the Door» — und eskaliert schrittweise. Wer einmal Ja gesagt hat, sagt beim zweiten Mal leichter wieder Ja (Konsistenzprinzip).

Häufige Pretexting-Szenarien in der Schweiz

Der neue IT-Dienstleister

Szenario: Das Unternehmen hat kürzlich (Pressemitteilung auf der Website) seinen IT-Dienstleister gewechselt. Der Angreifer ruft an: «Guten Tag, hier ist Marco Huber von TechSupport Zürich — wir haben letzte Woche den Supportvertrag mit Ihnen abgeschlossen. Ich führe heute die ersten Basis-Setups durch und benötige kurz Ihre WLAN-Zugangsdaten für die Netzwerkkonfiguration.»

Die Mitarbeitende weiss, dass ein neuer IT-Dienstleister an Bord ist. Der Anruf passt perfekt zum Kontext. Sie gibt die Zugangsdaten.

Der Wirtschaftsprüfer im Auftrag des VR

Szenario: Der Angreifer hat aus dem Handelsregister den Verwaltungsrat abgelesen und weiss, dass die Jahresabschlussprüfung laut letzter Medienmitteilung im März stattfindet. Er ruft in der Buchhaltung an: «Guten Tag, ich bin von Ernst & Young im Auftrag Ihres Verwaltungsrats und führe eine kurzfristig angeordnete Sonderprüfung durch. Können Sie mir bitte bis heute Nachmittag die Kontoauszüge der letzten drei Monate als PDF zusenden?»

Der Verwaltungsrat, Jahresabschluss, Ernst & Young — alles passt zusammen. Die Buchhalterin sendet die Unterlagen.

Der NCSC-Sicherheitsbeauftragte

Szenario: Der Angreifer gibt sich als Mitarbeiter des Nationalen Zentrums für Cybersicherheit aus. Er erklärt, dass die IP-Adresse des Unternehmens im Zusammenhang mit einem aktiven Angriff aufgefallen sei und man nun sofort eine Sicherheitsüberprüfung durchführen müsse. Er benötigt Zugriff auf das System, um die Bedrohung zu neutralisieren.

Die Autorität einer Bundesbehörde und die Dringlichkeit einer laufenden Bedrohung machen dieses Szenario besonders effektiv.

Der Lieferanten-Wechsel (Business Email Compromise)

Szenario: Der Angreifer hat per Spear Phishing das E-Mail-Konto eines Lieferanten kompromittiert. Über dieses legitime Konto schreibt er dem KMU: «Betreff: Änderung unserer Bankverbindung ab 1. April». Die Mail kommt von der echten E-Mail-Adresse des Lieferanten, hat das echte Firmenlogo und ist von einer Person unterzeichnet, die der Empfänger persönlich kennt.

Das ist kein gefälschter Pretext — es ist ein echter Account mit echten Informationen, der für einen Angriff missbraucht wird. Diese Supply-Chain-Angriffe sind besonders schwer zu erkennen.

Der physische Eindringling

Pretexting funktioniert auch physisch. Ein Angreifer erscheint mit einem Elektrowerkzeugkoffer, einem Schutzhelm und einer gefälschten Badgekopie an der Rezeption: «Guten Morgen, ich bin von Siemens Building Technologies — wir haben heute einen Wartungsauftrag für die Sprinkleranlage.» Freundlich, professionell, mit dem richtigen Jargon — und meistens wird er eingelassen.

Einmal drin, kann er USB-Sticks platzieren, Netzwerkkabel manipulieren oder einfach interne Gespräche belauschen.

OSINT: Wie viel weiss ein Angreifer über Sie?

Die meisten KMU-Verantwortlichen unterschätzen, wie viel über ihr Unternehmen öffentlich verfügbar ist. Eine kurze OSINT-Übung zeigt das Ausmass:

Innerhalb von 30 Minuten findet ein Angreifer typischerweise:

  • Vollständige Mitarbeiterliste aus LinkedIn (inklusive Fotos, Jobhistorie, Interessen)
  • Namen und E-Mail-Adressen der IT-Verantwortlichen
  • Technologie-Stack (aus Stelleninseraten: «Erfahrung mit SAP, Microsoft 365, Fortinet erforderlich»)
  • Aktuelle Grossprojekte (aus Pressemitteilungen und LinkedIn-Posts)
  • Bürozeiten und -adressen
  • Lieferanten und Partner (aus «Wir danken unseren Partnern»-Seiten)
  • Namen der Buchhalter und Finanzverantwortlichen

Diese Informationen sind alle legitim öffentlich — aber zusammengeführt bilden sie ein detailliertes Angriffsprofil.

“Ich erkläre Unternehmern gerne, dass sie ihre wichtigste Sicherheitslücke selbst im Internet veröffentlichen — in Form von Stelleninseraten, LinkedIn-Profilen und Pressemitteilungen. OSINT-Reconnaissance ist für professionelle Angreifer ein Kinderspiel. Die Frage ist nicht, ob sie Ihre Firma recherchieren können, sondern was sie mit diesen Informationen anstellen.”

— Thomas Brunner, OSINT-Analyst, Swiss Red Team Association

Psychologie des Pretextings: Warum wir hereinfallen

Pretexting-Angriffe sind psychologisch so konstruiert, dass sie mehrere Verteidigungsmechanismen gleichzeitig umgehen:

Detailwissen als Vertrauensanker: Wenn jemand meinen Namen, den Namen meines Vorgesetzten und das aktuelle Projekt kennt, kann er kein Fremder sein — so das unterbewusste Denken. Detailwissen schafft parasoziales Vertrauen.

Rollenkonforme Erwartungen: Wenn jemand als IT-Techniker kommt, wird ein Techniker erwartet. Wir handeln rollenkonform — der Techniker bekommt Zugang zu technischen Dingen.

Kognitive Überlastung: Ein Angreifer, der mit Fachjargon, Dringlichkeit und vielen Details auf einmal ankommt, überlastet die Verarbeitungskapazität. Das Gehirn sucht eine schnelle Heuristik — und die lautet: «Klingt offiziell, also ist es offiziell.»

Soziale Verpflichtung: Wer einem Bittsteller nicht hilft, fühlt sich unhöflich. Gerade Schweizer Unternehmenskultur mit ihrer Dienstleistungsorientierung macht Mitarbeitende anfällig für höfliche, professionelle Anfragen.

Autoritätsprinzip: Gegenüber Vorgesetzten, Behördenvertretern oder Experten fällt es schwer, Nein zu sagen — selbst wenn ein leises Unbehagen vorhanden ist.

Statistiken und Schadensmasse

  • IBM X-Force Threat Intelligence Index 2024: Pretexting-basierte Social-Engineering-Angriffe stiegen in Europa um 40 Prozent gegenüber 2023 an.
  • NCSC Jahresbericht 2024: CEO-Fraud (eine Pretexting-Variante) verursachte in der Schweiz 2023 Schäden von über CHF 12 Millionen bei KMU.
  • Verizon DBIR 2024: 50 Prozent aller Social-Engineering-Incidents hatten einen Pretext als Grundlage — ein Anstieg von 35 Prozent gegenüber 2021.
  • Proofpoint State of the Phish 2024: Pretexting-Angriffe haben eine um 38 Prozent höhere Erfolgsrate als einfache Phishing-Versuche, weil die vorangegangene Recherche das Angriffsszenario stark personalisiert.
  • gfs-zürich KMU-Sicherheitsstudie 2024: 58 Prozent der befragten KMU-Führungskräfte gaben an, dass ihre Mitarbeitenden «kaum» oder «gar nicht» für Pretexting-Szenarien geschult seien.

Wie Red Teaming Pretexting-Schwachstellen aufdeckt

Ein professionelles Red-Team-Assessment umfasst immer eine Pretexting-Komponente — denn nur ein realer Angriff unter kontrollierten Bedingungen zeigt, ob Ihre Sicherheitsprozesse in der Praxis funktionieren.

Ein typisches Pretexting-Szenario im Red Teaming könnte so aussehen:

Szenario: Falscher Lieferant Das Red Team erstellt eine überzeugende Firmenidentität — Website, E-Mail-Domain, Telefonnummer — und nimmt als «neuer Büromateriallieferant» Kontakt auf. Das Ziel: Zutritt zu den Räumlichkeiten und Zugang zu einem nicht gesicherten Netzwerkanschluss.

Szenario: Kompromittierter IT-Lieferant Das Red Team gibt vor, ein bestehender IT-Dienstleister zu sein (recherchiert durch OSINT) und fordert per Telefon Zugangsdaten für eine «dringende Notfallwartung» an. Wie viele Mitarbeitende geben die Zugangsdaten?

Szenario: Regulatorische Prüfung Das Red Team kontaktiert die Compliance-Abteilung als angebliche Revisoren und bittet um Einsicht in vertrauliche Dokumente. Welche Verifikationsschritte werden unternommen?

Die Ergebnisse solcher Tests sind oft ernüchternd — und unschätzbar wertvoll. Sie zeigen, welche Prozesse und welche Mitarbeitenden Schwachstellen darstellen, und liefern eine Grundlage für gezieltes Training.

Lesen Sie mehr über den Unterschied zwischen Red Teaming und Penetrationstest und Was Red Teaming bedeutet.

Prävention: Schutz vor Pretexting-Angriffen

Identitätsverifikation als Standard

Die wichtigste Gegenmassnahme ist eine klare Verifikationsroutine:

  • Hinterfragen Sie jede unerwartete Anfrage nach Informationen oder Zugang
  • Verifizieren Sie die Identität des Anrufers über einen zweiten, unabhängigen Kanal
  • Rückruf auf die offizielle Nummer (nicht die vom Anrufer genannte)
  • Schriftliche Bestätigung per Mail von der bekannten E-Mail-Adresse

Least Privilege und Need-to-Know

Begrenzen Sie, welche Mitarbeitenden Zugang zu sensiblen Informationen haben. Ein Pretexting-Angreifer kann nur erhalten, was sein Opfer hat. Wenn der IT-Helpdesk-Mitarbeitende keinen Zugriff auf Finanzdaten hat, kann er auch nicht darum gebeten werden.

Klare Eskalationspfade

Mitarbeitende müssen wissen, an wen sie sich wenden können, wenn eine Anfrage ungewöhnlich erscheint — ohne Angst vor Konsequenzen. Eine «Security Champion»-Kultur, in der Fragen und Meldungen geschätzt werden, senkt das Pretexting-Risiko erheblich.

OSINT-Selbstanalyse

Führen Sie regelmässig eine OSINT-Analyse Ihres eigenen Unternehmens durch: Was können Angreifer über Sie herausfinden? Welche Informationen sollten Sie aus dem öffentlichen Bereich entfernen oder einschränken? Unsere Cybersecurity-Checkliste für KMU enthält eine OSINT-Selbstcheck-Sektion.

Awareness Training mit Pretexting-Fokus

Generelles Security-Awareness-Training ist wertvoll, aber spezifische Pretexting-Szenarien sind effektiver. Mitarbeitende, die konkrete Beispiele kennen — «So klingt ein Angriff» — sind wachsamer als solche, die nur abstrakt informiert wurden.

Unser Vergleich der Security-Awareness-Training-Anbieter zeigt, welche Anbieter Pretexting-Szenarien in ihre Curricula integrieren.

Physische Sicherheitsmassnahmen

Pretexting-Angriffe passieren auch in der physischen Welt. Gegenüber fremden Personen in Ihren Räumlichkeiten:

  • Besucher immer begleiten — keine unbeaufsichtigten Aufenthalte
  • Besucherausweise, die klar erkennbar von Mitarbeiterausweisen abweichen
  • Rezeptionsmitarbeitende schulen, falsche Techniker und Lieferanten zu erkennen
  • Serverraum und sensible Bereiche physisch abgeschlossen

“Pretexting ist das, was Cyberkriminelle tun, wenn technische Attacken versagen. Und es funktioniert fast immer, wenn keine entsprechenden Verifikationsprozesse vorhanden sind. Die erschreckendsten Pretexting-Angriffe, die ich gesehen habe, waren nicht besonders raffiniert — sie waren einfach gut vorbereitet und nutzten die natürliche Hilfsbereitschaft von Menschen aus.”

— Claudia Vogel, Senior Security Consultant, Swiss Cyber Security Days

Pretexting und das nDSG: Rechtliche Implikationen

Das neue Datenschutzgesetz (nDSG) verpflichtet Schweizer Unternehmen zu angemessenen organisatorischen Schutzmassnahmen. Wenn ein Pretexting-Angriff zu einem Datenverlust führt, und das Unternehmen nachweislich keine Verifikationsprozesse oder Mitarbeiterschulungen implementiert hat, kann dies als Verletzung der Schutzpflicht gewertet werden.

Darüber hinaus besteht nach Art. 24 nDSG eine Meldepflicht bei Datenverletzungen. Pretexting-Angriffe, die zu unbefugtem Datenzugriff führen, fallen in der Regel unter diese Pflicht.

Details zu den gesetzlichen Anforderungen finden Sie in unserer nDSG-Checkliste für KMU.

Fazit

Pretexting ist die ausgereifteste Form des Social Engineerings — und gleichzeitig diejenige, gegen die rein technische Sicherheitsmassnahmen am wenigsten helfen. Ein Angreifer, der Wochen in die Vorbereitung investiert hat, eine glaubwürdige Identität aufgebaut und die richtigen psychologischen Hebel kennt, kann auch gut geschulte Mitarbeitende täuschen.

Die Verteidigung gegen Pretexting liegt nicht in Misstrauen gegenüber allen Menschen — das würde den Geschäftsbetrieb lähmen. Sie liegt in strukturierten Verifikationsprozessen, die zur Unternehmenskultur gehören: «Wir verifizieren immer, nicht weil wir misstrauisch sind, sondern weil wir professionell sind.»

Um zu wissen, ob Ihre Prozesse in der Praxis funktionieren, brauchen Sie einen realen Test. Ein professionelles Red-Team-Assessment schlüpft in die Rolle des Angreifers und zeigt Ihnen, wo Ihre Schwachstellen wirklich liegen — damit Sie handeln können, bevor echte Angreifer es tun.

Testen Sie Ihre Resilienz gegen Pretexting. Red Teaming simuliert realistische Angriffe — inklusive Pretexting, OSINT-Reconnaissance und physischer Infiltration — und liefert konkrete Erkenntnisse zur Verbesserung Ihrer Sicherheitskultur.