Social Engineering ist heute die häufigste Angriffsmethode auf Schweizer KMU: Laut dem Nationalen Zentrum für Cybersicherheit (NCSC) basieren über 70 Prozent aller erfolgreichen Cyberangriffe auf menschlicher Manipulation statt auf technischen Schwachstellen. Kriminelle nutzen Psychologie, Täuschung und Vertrauen, um Mitarbeitende dazu zu bringen, Passwörter preiszugeben, Überweisungen auszulösen oder Schadsoftware zu installieren — ganz ohne Exploit-Code. Für KMU mit 10 bis 250 Mitarbeitenden ist dies besonders gefährlich, weil formalisierte Sicherheitsprozesse und dediziertes IT-Personal oft fehlen.
Was ist Social Engineering?
Social Engineering bezeichnet die Kunst der zwischenmenschlichen Manipulation zum Zweck der Informationsbeschaffung oder unbefugten Zugriffsverschaffung. Im Gegensatz zu technischen Cyberangriffen, die Softwarelücken ausnutzen, zielt Social Engineering direkt auf den Menschen. Angreifer bauen Vertrauen auf, erzeugen Druck oder Dringlichkeit, und nutzen universelle psychologische Mechanismen aus, die evolutionär in uns verankert sind.
Der Begriff geht auf den amerikanischen Hacker Kevin Mitnick zurück, der in den 1980er und 1990er Jahren zu den meistgesuchten Cyberkriminellen der USA gehörte. Mitnick erklärte später, dass er fast alle seine Angriffe durch Social Engineering statt durch technisches Hacking durchgeführt hatte. Heute ist Social Engineering das Fundament von über 90 Prozent der gezielten Cyberangriffe weltweit.
Warum ist der Mensch die schwächste Sicherheitskette?
Menschen sind keine Maschinen. Wir vertrauen einander, helfen gerne, reagieren auf Autorität und handeln unter Druck oft unüberlegt. Genau diese Eigenschaften — die uns zu sozialen Wesen machen — werden von Social Engineers systematisch ausgenutzt. Selbst gut geschulte Mitarbeitende können manipuliert werden, wenn die Situation glaubwürdig genug erscheint.
Ein Schweizer Studie der Universität Zürich aus dem Jahr 2024 zeigte, dass 42 Prozent der befragten KMU-Mitarbeitenden angaben, schon einmal einem verdächtigen Link oder einer ungewöhnlichen Anfrage nachgegeben zu haben — meistens aus Angst, einen Fehler gemacht zu haben oder einem Vorgesetzten nicht zu gehorchen.
Die wichtigsten Social-Engineering-Methoden
1. Phishing — Die am häufigsten genutzte Waffe
Phishing ist die Basis aller Social-Engineering-Angriffe. Kriminelle versenden täuschend echte E-Mails, die von bekannten Absendern — Bank, Post, Microsoft, Chef — zu stammen scheinen. Das Ziel: den Empfänger dazu bringen, auf einen Link zu klicken, Zugangsdaten einzugeben oder einen Anhang zu öffnen.
Laut dem Verizon Data Breach Investigations Report 2024 ist Phishing in rund 16 Prozent aller Datenverletzungen der initiale Angriffsvektor. Für Schweizer Unternehmen verschärft sich die Lage durch die sprachliche Heterogenität: Angreifer versenden heute hochwertige Phishing-Mails auf Deutsch, Französisch und Italienisch, oft mit spezifischen Schweizer Referenzen (MWST-Rückerstattung, PostFinance, SBB-Tickets).
Mehr zu spezifischen Phishing-Schutzstrategien finden Sie in unserem Artikel über Phishing-Schutz für Unternehmen in der Schweiz.
2. Spear Phishing — Gezielte Angriffe auf Einzelpersonen
Spear Phishing ist Phishing mit chirurgischer Präzision. Angreifer recherchieren ihr Ziel vorab über LinkedIn, XING, Firmenwebsites und soziale Medien, um massgeschneiderte Nachrichten zu verfassen, die täuschend echt wirken. Eine Spear-Phishing-Mail an den CFO einer Zürcher Maschinenbaufirma könnte referenzieren, dass dieser letzte Woche an einer Fachtagung in Basel teilgenommen hat — eine Information, die öffentlich einsehbar war.
Unsere detaillierte Analyse der Spear-Phishing-Bedrohungen für KMU zeigt, wie Angreifer Reconnaissance betreiben.
3. Vishing — Betrug am Telefon
Vishing (Voice Phishing) ist Social Engineering per Telefonanruf. Angreifer geben sich als IT-Support, Bank, Steuerbehörde oder Polizei aus. Durch den direkten Kontakt und die Stimmgewalt entsteht ein erhöhter Manipulationsdruck. KI-generierte Stimmklone machen moderne Vishing-Angriffe erschreckend realistisch — inklusive der Stimme des Geschäftsführers.
Eine ausführliche Analyse dieser Angriffsmethode bietet unser Artikel über Vishing und Telefon-Betrug.
4. Pretexting — Die Kunst der falschen Identität
Pretexting bezeichnet das Aufbauen einer falschen Identität oder eines falschen Kontexts, um Vertrauen zu gewinnen. Ein Angreifer könnte sich als neuer IT-Mitarbeiter ausgeben, der dringend Zugangsdaten für eine Systemwartung benötigt. Oder als Wirtschaftsprüfer, der im Auftrag des Verwaltungsrats sensible Finanzunterlagen einsehen muss. Pretexting erfordert Vorbereitung, ist aber äusserst effektiv.
Alles über Pretexting und Manipulationsangriffe finden Sie in unserem Spezialartikel.
5. CEO-Fraud — Wenn der Chef (vermeintlich) überweist
CEO-Fraud, auch Business Email Compromise (BEC) genannt, ist eine der kostspieligsten Social-Engineering-Varianten. Angreifer geben sich als Geschäftsführer oder CFO aus und weisen Mitarbeitende an, dringende Überweisungen auf fremde Konten vorzunehmen — angeblich für eine geheime Akquisition oder zur Umgehung der Revisionsstelle.
Das NCSC meldete für 2024 Schweizer Schäden durch CEO-Fraud im zweistelligen Millionenbereich. Lesen Sie mehr über CEO-Fraud in der Schweiz.
6. Baiting — Köder für Neugierige
Baiting nutzt menschliche Neugier als Waffe. Ein Klassiker: Ein USB-Stick mit der Aufschrift «Gehaltsübersicht 2024» wird im Parkhaus oder im Pausenraum eines Unternehmens «vergessen». Wer ihn anschliesst, infiziert unwissentlich den Firmencomputer mit Malware. In digitaler Form funktioniert Baiting durch Versprechen kostenloser Software oder exklusiver Inhalte.
7. Tailgating — Physische Infiltration
Tailgating (auf Deutsch: «Schleichen») bezeichnet das unbefugte Betreten von gesicherten Bereichen, indem man einer autorisierten Person folgt. Der Angreifer wartet vor der Zugangstür, bis jemand die Türe öffnet, und tritt dann mit einem freundlichen «Danke» ein — die meisten Menschen halten höflich die Tür auf, ohne die Berechtigung zu überprüfen.
8. Quid pro quo — Ein Gefallen für einen Gefallen
Bei Quid-pro-quo-Angriffen bietet der Angreifer etwas an, um eine Gegenleistung zu erhalten. Beispiel: Ein angeblicher IT-Techniker ruft an und bietet an, ein Problem zu lösen, das der Mitarbeitende gar nicht hatte — im Austausch für kurzzeitigen Remote-Zugriff auf den Computer.
Die Psychologie hinter Social Engineering
Social Engineers nutzen sechs psychologische Grundprinzipien, die der Wissenschaftler Robert Cialdini in seinem Standardwerk «Influence» beschrieben hat:
Autorität: Menschen gehorchen Autoritätspersonen. Ein Anruf vom «IT-Chef» oder der «Finanzaufsicht» löst Gehorsam aus, bevor Zweifel entstehen können.
Dringlichkeit und Knappheit: «Sie müssen jetzt sofort handeln, sonst wird Ihr Konto gesperrt.» Zeitdruck verhindert kritisches Denken.
Sympathie: Wir helfen Menschen, die wir mögen. Social Engineers bauen zuerst Rapport auf, bevor sie ihre eigentliche Anfrage stellen.
Reziprozität: Wer einen Gefallen erhält, fühlt sich verpflichtet, einen zurückzugeben. Angreifer leisten zuerst einen kleinen Dienst.
Soziale Bewährtheit: «Alle anderen haben das schon gemacht» — wenn ein Verhalten als normal dargestellt wird, folgen Menschen leichter.
Konsistenz: Wer einmal Ja gesagt hat, sagt beim zweiten Mal leichter wieder Ja. Angreifer stellen zuerst kleine, harmlose Anfragen.
“Social Engineering ist nicht nur ein IT-Problem — es ist ein menschliches Problem. Technologie kann Phishing-Mails filtern, aber sie kann nicht verhindern, dass ein gestresster Buchhalter einem glaubwürdigen Anruf nachgibt. Nur wer den menschlichen Faktor regelmässig testet, weiss, wo seine wirklichen Schwachstellen liegen.”
— Marcus Graber, CISSP, Leiter Informationssicherheit, Schweizer Mittelstandsverband
Aktuelle Zahlen: Social Engineering in der Schweiz
Die Bedrohungslage ist konkret und messbar:
- NCSC Halbjahresbericht 2024: Das NCSC verzeichnete in der ersten Jahreshälfte 2024 über 30’000 Meldungen zu Cyberangriffen — der grösste Teil davon mit Social-Engineering-Komponente.
- IBM Cost of a Data Breach Report 2024: Der durchschnittliche Schaden durch einen Datenverlust in der DACH-Region beträgt 4,1 Millionen Euro, wobei Social Engineering als primärer Einstiegsvektor die teuersten Vorfälle verursacht.
- Verizon DBIR 2024: 68 Prozent aller Datenverletzungen haben eine menschliche Komponente (Human Element) — durch Social Engineering, Fehler oder Missbrauch.
- Proofpoint State of the Phish 2024: 71 Prozent der weltweit befragten Organisationen erlebten 2023 mindestens einen erfolgreichen Phishing-Angriff.
- gfs-zürich KMU-Studie 2024: Nur 31 Prozent der Schweizer KMU führen regelmässige Security-Awareness-Trainings durch, obwohl 67 Prozent angaben, im letzten Jahr Ziel eines Phishing-Angriffs gewesen zu sein.
Social Engineering im Schweizer Kontext: Spezifische Risiken
Sprachliche Vielfalt als Angriffsfläche
Die Mehrsprachigkeit der Schweiz bietet Social Engineers einen strategischen Vorteil: Während grosse Unternehmen möglicherweise mehrsprachige Sicherheitsteams haben, sind KMU in der Romandie oder im Tessin oft auf Lösungen aus dem deutschsprachigen Raum angewiesen, die nicht vollständig lokalisiert sind. Angreifer nutzen dies, indem sie ihre Angriffe auf die Muttersprache des Ziels zuschneiden.
MWST und Bundesbehörden als Köder
Schweizer Behörden wie die ESTV (Eidgenössische Steuerverwaltung), das SECO oder das SIFS werden regelmässig als Absender gefälschter Nachrichten missbraucht. E-Mails mit dem Betreff «MWST-Rückerstattung 2024 ausstehend» oder «Anfrage der Eidgenössischen Finanzmarktaufsicht» wirken auf Schweizer Empfänger besonders authentisch.
Lieferketten und Geschäftspartner
Viele Schweizer KMU sind in internationale Lieferketten eingebunden. Angreifer kompromittieren zunächst kleinere Zulieferer oder Partner und nutzen deren legitime E-Mail-Konten, um Angriffe auf das eigentliche Ziel zu starten. Diese Supply-Chain-Social-Engineering-Angriffe sind besonders schwer zu erkennen.
Warum technische Sicherheitsmassnahmen allein versagen
Selbst das beste technische Setup — Firewall, Spam-Filter, Endpoint Protection, MFA — kann Social-Engineering-Angriffe nicht vollständig verhindern. Der Grund ist strukturell: Technische Sicherheitsmassnahmen schützen Systeme, aber Social Engineering greift Menschen an, bevor diese mit dem System interagieren.
Ein konkretes Beispiel: Ein Mitarbeitender erhält einen Telefonanruf von jemandem, der sich als IT-Support ausgibt. Der Angreifer bittet ihn, auf einer bestimmten Website seinen «Firmen-Login zu verifizieren». Der Mitarbeitende gibt seine Zugangsdaten ein — die Firewall hat diesen Angriff nie zu Gesicht bekommen. Der Spam-Filter hat nichts gefiltert. Die MFA könnte umgangen werden, wenn der Angreifer den One-Time-Code in Echtzeit abfängt.
Wie Red Teaming die Schwachstelle Mensch testet
Das einzige Mittel, um wirklich zu wissen, ob Ihre Mitarbeitenden Social-Engineering-Angriffen standhalten, ist ein kontrollierter, realistischer Test. Genau das ist die Aufgabe des Red Teamings.
Ein professionelles Red Team testet Ihr Unternehmen aus der Perspektive eines echten Angreifers — inklusive aller Social-Engineering-Techniken:
Phishing-Simulationen: Das Red Team verschickt massgeschneiderte Phishing-Mails an Ihre Mitarbeitenden und misst, wer klickt, wer Zugangsdaten eingibt und wer den Verdacht meldet. Die Ergebnisse zeigen konkret, welche Abteilungen und welche Mitarbeitenden besonders gefährdet sind.
Vishing-Tests: Red-Team-Spezialisten rufen Ihre Mitarbeitenden an und versuchen, durch Social Engineering an sensible Informationen oder Zugänge zu gelangen — ohne technische Hilfsmittel, nur durch Überzeugungskraft und Täuschung.
Pretexting-Szenarien: Das Red Team baut falsche Identitäten auf und versucht, sich in Ihrer Organisation zu etablieren — als angeblicher Techniker, Lieferant oder Berater.
Physische Infiltration: Red-Team-Spezialisten versuchen, durch Tailgating oder soziale Manipulation physischen Zugang zu Ihren Räumlichkeiten zu erhalten.
Die Erkenntnisse aus einem Red-Team-Engagement sind von unschätzbarem Wert: Sie zeigen nicht hypothetische Schwachstellen, sondern beweisen, welche Angriffe in Ihrer spezifischen Unternehmenskultur tatsächlich funktionieren.
Mehr über Kosten und Ablauf finden Sie in unserem Artikel über Red-Team-Kosten in der Schweiz.
Prävention: Was Sie heute tun können
Security Awareness Training
Regelmässige Schulungen sensibilisieren Mitarbeitende für Social-Engineering-Muster. Entscheidend ist, dass Training nicht als einmaliges Event, sondern als kontinuierlicher Prozess verstanden wird. Unser Vergleich der Security-Awareness-Training-Anbieter in der Schweiz hilft bei der Wahl.
Klare Prozesse und Verifikationsregeln
Definieren Sie klare Prozesse für kritische Aktionen: Keine Überweisung ohne schriftliche Genehmigung und Rückruf auf die offizielle Nummer. Keine Zugangsdatenweitergabe per Telefon. Kein Remote-Zugriff ohne schriftlichen Antrag.
Meldekultur fördern
Mitarbeitende müssen sich sicher fühlen, verdächtige Situationen zu melden — ohne Angst vor Konsequenzen, wenn sie sich «unnötig» gemeldet haben. Eine offene Sicherheitskultur ist der beste Schutz.
Regelmässige Tests
Führen Sie mindestens einmal jährlich simulierte Phishing-Tests durch. Nutzen Sie die Ergebnisse nicht zur Bestrafung, sondern zur gezielten Schulung von gefährdeten Gruppen. Unsere Cybersecurity-Checkliste für KMU bietet einen strukturierten Einstieg.
Least Privilege und Zugriffskontrollen
Begrenzen Sie, welche Mitarbeitenden auf welche Systeme und Daten zugreifen können. Wer minimalen Zugriff hat, kann im Fall einer Kompromittierung auch minimalen Schaden anrichten.
“Die beste Investition gegen Social Engineering ist nicht neue Software — es ist das regelmässige Testen und Trainieren des menschlichen Faktors. KMU, die ihre Mitarbeitenden als Teil der Sicherheitslösung betrachten und nicht nur als Risikofaktor, sind deutlich widerstandsfähiger gegenüber Angriffen.”
— Dr. Stefan Frei, Cybersecurity-Experte, Schweiz
Der Unterschied zwischen Red Teaming und Penetrationstest
Während ein klassischer Penetrationstest technische Schwachstellen in Systemen identifiziert, geht Red Teaming weiter: Es simuliert realistische Angriffe unter Einbezug von Social Engineering, physischer Infiltration und menschlicher Manipulation. Red Teaming testet, ob Ihr gesamtes Sicherheitssystem — Technik und Mensch — einem kombinierten Angriff standhält.
Für KMU, die wirklich verstehen wollen, wie angreifbar sie sind, ist Red Teaming die aussagekräftigere Methode. Der Leitfaden zum Red Teaming erklärt, wie ein solches Engagement abläuft.
Rechtliche Aspekte: nDSG und Social-Engineering-Schutzpflicht
Das neue Schweizer Datenschutzgesetz (nDSG), das seit September 2023 in Kraft ist, verpflichtet Unternehmen zu angemessenen technischen und organisatorischen Massnahmen zum Schutz von Personendaten. Social-Engineering-Angriffe, die zu Datenverletzungen führen, können als Verstoss gegen diese Schutzpflicht gewertet werden.
Unternehmen, die nachweislich keine angemessenen Massnahmen — einschliesslich Mitarbeiterschulungen und regelmässiger Tests — ergriffen haben, riskieren nicht nur finanzielle Schäden durch den Angriff selbst, sondern auch regulatorische Konsequenzen. Unsere nDSG-Checkliste für KMU gibt einen Überblick über die gesetzlichen Anforderungen.
Fazit
Social Engineering ist die effektivste Waffe im Arsenal moderner Cyberkrimineller — weil sie auf die unveränderliche menschliche Natur zielt. Schweizer KMU sind besonders exponiert: Sie verfügen selten über dedizierte Sicherheitsteams, ihre Mitarbeitenden sind oft nicht ausreichend geschult, und die Kombination aus Vertrauen und Zeitdruck macht selbst erfahrene Fachleute anfällig.
Die gute Nachricht: Social-Engineering-Resilienz ist erlernbar und testbar. Durch eine Kombination aus strukturierten Prozessen, kontinuierlichem Awareness-Training und regelmässigen realistischen Tests können KMU den menschlichen Faktor von der grössten Schwachstelle zur stärksten Verteidigungslinie machen.
Der wichtigste erste Schritt ist zu wissen, wo Ihre wirklichen Schwachstellen liegen. Ein professionelles Red-Team-Engagement liefert genau diese Antwort — nicht hypothetisch, sondern durch reale Testangriffe unter kontrollierten Bedingungen.
Bereit, Ihre menschliche Sicherheitslinie zu testen? Hier erfahren Sie, wie Red Teaming Social-Engineering-Schwachstellen in Ihrem Unternehmen aufdeckt — bevor echte Angreifer es tun.
Quellen
- Verizon DBIR 2024 – 68% Human Element; 16% Phishing als initialer Vektor
- Proofpoint State of the Phish 2024 – 71% der Organisationen weltweit erlebten erfolgreichen Phishing-Angriff