In der IT-Sicherheit wird seit Jahren betont, dass nicht die Technik, sondern der Mensch das schwächste Glied in der Kette ist. Trotz Firewalls, Intrusion-Detection-Systemen und strengen Compliance-Vorgaben gelingt es Angreifern immer wieder, durch geschickte Manipulation Zugang zu sensiblen Daten zu erhalten. Die Methoden dafür sind nicht neu – sie basieren auf psychologischen Mechanismen, die tief im menschlichen Verhalten verwurzelt sind. Besonders Phishing und Social Engineering verdeutlichen, wie sehr Cyberangriffe letztlich auch Angriffe auf die Psyche sind. Dieser Artikel geht über eine reine Beschreibung hinaus: Er erklärt die psychologischen Hintergründe, zeigt konkrete Angriffsformen und bietet praxisnahe Tipps für Unternehmen, um ihre Belegschaft zu stärken.

Schon heute machen menschliche Fehler einen erheblichen Anteil bei Sicherheitsvorfällen aus. Laut dem aktuellen IBM „Cost of a Data Breach Report 2025“ lassen sich ca. 26 % aller Datenpannen auf menschliches Versagen zurückführen – neben 51 % durch gezielte Angriffe und 23 % durch technische Schwächen.

Die Psychologie hinter Social Engineering

1. Autorität und Gehorsam

Menschen neigen dazu, Anweisungen von Autoritätspersonen zu befolgen, selbst wenn sie Zweifel haben. Diese Tendenz wurde bereits im berühmten Milgram-Experiment (1963) wissenschaftlich belegt. Angreifer nutzen dieses Prinzip, indem sie sich als Vorgesetzte, IT-Administratoren oder externe Dienstleister ausgeben. Ein scheinbar dringender Anruf mit der Bitte um Passwortfreigabe kann so erstaunlich oft erfolgreich sein.

Praxis-Tipp: Unternehmen sollten Kommunikationswege klar definieren. Beispielsweise darf die IT-Abteilung niemals Passwörter telefonisch oder per Mail anfordern. Zahlungsaufforderungen sollten nie ohne Rückfrage oder Freigabe getätigt werden – egal wie dringend sie klingen. Links und Anhängen sollte stets misstraut werden.

2. Knappheit und Dringlichkeit

Phishing-Mails setzen häufig auf zeitlichen Druck: “Ihr Konto wird in 24 Stunden gesperrt, wenn Sie nicht sofort handeln.” Dieser Mechanismus aktiviert das psychologische Prinzip der Knappheit. Wenn wir das Gefühl haben, eine Gelegenheit oder Ressource könnte gleich verloren gehen, handeln wir impulsiver.

Praxis-Tipp: Führungskräfte sollten darauf achten, keine unnötige „Alarmkultur“ im Unternehmen zu fördern. Wer ständig unter Druck arbeitet, ist anfälliger für manipulative Dringlichkeits-Trigger.

3. Reziprozität und Hilfsbereitschaft

Der Mensch ist ein soziales Wesen. Wer Hilfe erfährt, ist oft bereit, diese auch zu erwidern. Social Engineers nutzen das, indem sie kleine Gefallen erbitten oder scheinbar selbstlos helfen, nur um dann im Gegenzug Zugang zu sensiblen Informationen zu erhalten.

Praxis-Tipp: Klare Prozesse für den Umgang mit externen Dienstleistern etablieren. Auch scheinbar harmlose Bitten, wie einen USB-Stick einzustecken, sollten kritisch geprüft werden.

4. Neugier und Belohnungserwartung

Ein unerwarteter Dateianhang, ein “vertrauliches Dokument” oder ein Hinweis auf einen Bonus wecken Neugier. Dieser Reizmechanismus ist tief in unserem Belohnungssystem verankert. Ein Klick erfolgt dann schneller, als es Sicherheitsrichtlinien erlauben würden.

Praxis-Tipp: Sicherheitskampagnen sollten diesen Mechanismus simulieren, etwa durch interne Testmails mit „verlockenden“ Anhängen. Wer klickt, wird sofort geschult.

Phishing als praktisches Beispiel

Phishing ist die wohl bekannteste Form des Social Engineerings. Hierbei werden gefälschte Nachrichten so gestaltet, dass sie wie offizielle Kommunikation wirken. Ein klassisches Beispiel: die angebliche E-Mail einer Bank mit der Aufforderung, Login-Daten zu bestätigen. Phishing-Angriffe sind aber nicht auf E-Mails beschränkt und können über alle Kommunikationswege stattfinden: Telefon, SMS, Instant Messaging oder sogar Fax oder Brief. Trotz aller Aufklärungskampagnen bleibt die Erfolgsquote erschreckend hoch. Laut einer Studie von Verizon (2022, Data Breach Investigations Report) sind mehr als 80 % aller erfolgreichen Datenlecks auf menschliches Fehlverhalten zurückzuführen, wobei Phishing eine zentrale Rolle spielt.

Neue Varianten von Phishing:

  • Spear Phishing: gezielt auf einzelne Personen zugeschnitten, oft mit persönlichen Informationen aus sozialen Netzwerken.
  • Smishing: Phishing über SMS, oft mit gefälschten Lieferbenachrichtigungen.
  • Voice Phishing (Vishing): Telefonanrufe, die angeblich vom Support stammen.

Phishing-Mails können auch gezielt zu Zeiten verschickt werden, in denen ein Unternehmen besonders unter Hochdruck arbeitet (Projekte, Sales, Quartalsabschlüsse etc.).

Eine wichtige Frage ist auch: Wie gelangen Angreifer eigentlich an die Informationen, die eine Phishing-Mail besonders glaubwürdig wirken lassen? Oft reicht bereits ein Blick auf die Firmenwebsite, in Blogs oder in soziale Netzwerke wie Xing oder LinkedIn. Mitarbeitende teilen dort häufig Details über ihre Position, Projekte oder Erfolge – ein wertvoller Fundus für Social Engineers.

E-Mail-Adressen folgen in vielen Unternehmen einem einheitlichen Muster. Kennt ein Angreifer den Namen eines Mitarbeiters, kann er meist ohne großen Aufwand die korrekte Adresse ableiten und diesen gezielt anschreiben. Über LinkedIn und Co. lässt sich zudem leicht herausfinden, wer in welcher Abteilung arbeitet oder welche Verantwortlichkeiten trägt.

Manchmal reicht sogar ein kurzer Anruf im Unternehmen, bei dem Angreifer unter einem Vorwand nach scheinbar harmlosen Informationen fragen. Was auf den ersten Blick nicht sensibel wirkt, kann in Kombination mit weiteren Daten ein realistisches Angriffsszenario ermöglichen.

Das bedeutet nicht, dass Mitarbeitende nichts mehr in sozialen Netzwerken posten dürfen. Aber sie sollten sich bewusst sein: Auch triviale Informationen sind für Angreifer wertvoll (Motto: Der Feind liest mit). Unternehmen sollten daher ihre Belegschaft sensibilisieren und prüfen, ob interne Leitlinien für Social-Media-Posts sinnvoll sind.

Warum Technik allein nicht reicht

Technische Schutzmaßnahmen sind notwendig, greifen aber zu kurz, wenn sie nicht von einem Bewusstsein für psychologische Manipulation begleitet werden. Phishing-Angriffe manipulieren Menschen so, dass ein bestimmtes Verhalten durch einen gezielten Reiz ausgelöst wird. Robert Cialdini beschreibt dieses Phänomen ausführlich in seinem Buch “Influence”. Angreifer müssen nur die passenden Reize (Angst, Druck etc.) setzen. Firewalls blockieren keine unbedachten Klicks, und Virenscanner verhindern keine Passwortweitergabe am Telefon. Das bedeutet: Security-Awareness muss fester Bestandteil jeder Sicherheitsstrategie sein. Sicherheitskultur sollte als Management-Thema verankert werden. Nur wenn die Geschäftsführung das Thema ernst nimmt, wird es auch in den Teams ernst genommen.

Ansätze zur Stärkung der menschlichen “Firewall”

  • Regelmäßige Schulungen und Übungen: Nicht als einmalige Pflichtveranstaltung, sondern als kontinuierlicher Prozess. Phishing-Simulationen und Kampagnen sollten allerdings kritisch hinterfragt werden. Es ist fraglich, ob solche Kampagnen tatsächlich einen Mehrwert gegenüber klassischen Schulungen oder Übungen bieten. Studien wie Lain et al. (2021) kommen zum Schluss, dass durch simulierte Phishing-Mails keine Verbesserung bei der Abwehr von Angriffen erreicht werden konnte. Hinzu kommen mögliche negative Effekte wie hoher Aufwand, datenschutzrechtliche Bedenken (abhängig davon, welche Daten erfasst werden) und ein potenzieller Vertrauensverlust gegenüber IT- oder Security-Teams.

  • Psychologisches Grundverständnis: Mitarbeitende sollten die Mechanismen hinter Manipulation kennen, um sie im Alltag schneller zu erkennen. Hier lohnt sich eine Einführung in die „Cialdini-Prinzipien“ (Autorität, Knappheit, Reziprozität, Sympathie, Konsistenz, soziale Bewährtheit).

  • Kultur der Offenheit: Wer hereingelegt wurde, muss dies melden können, ohne Angst vor Sanktionen zu haben. Nur so lassen sich Angriffe rechtzeitig erkennen und eindämmen.

  • Multi-Faktor-Authentifizierung (MFA): Technische Barrieren sollten parallel bestehen bleiben, um menschliche Fehler (z. B. unsichere oder geleakte Passwörter) abzufangen.

  • Gezielte Szenarien-Übungen: Unternehmen können „Red-Teaming“ nutzen, um reale Angriffe zu simulieren. Dabei schlüpfen interne oder externe Spezialisten in die Rolle des Angreifers und testen die Reaktionen der Mitarbeitenden.

  • Verhaltensökonomie nutzen: Kleine Nudges, wie Pop-up-Warnungen beim Öffnen verdächtiger Anhänge, können Nutzer im Alltag effektiv bremsen.

Fazit

Die größte Sicherheitslücke ist oft nicht die IT-Infrastruktur, sondern der Mensch, der davor sitzt. Psychologische Prinzipien wie Autorität, Knappheit oder Neugier machen uns anfällig für Manipulation. Angriffe wie Phishing sind deshalb so erfolgreich, weil sie weniger die Technik, sondern unser Verhalten ausnutzen. Wer IT-Sicherheit ernst nimmt, muss daher immer auch die psychologische Dimension betrachten und in die Stärkung der menschlichen “Firewall” investieren. Sicherheit entsteht dann, wenn Technik und Bewusstsein zusammenspielen – und wenn Unternehmen ihren Mitarbeitenden die richtigen Werkzeuge, Schulungen und Freiräume geben, um auch im Alltag wachsam zu bleiben. Technik wie Firewalls, Endpoint Protection, Deep Package Inspektion, SIEMs, Spamfilterm etc. können auch ein falsch Gefpühl von sicherheit vermitteln. Immerhin hängeren viele Schritte oder Aktionen von Menschen ab welche sich manipulieren lassen (Illusion of Safety).

Gleichzeitig muss man sich bewusst sein, dass trotz bester Trainings und Übungen irgendwann ein Mitarbeitender auf eine Phishing-Mail hereinfallen wird. Je nach Art der Phishing-Mail können unterschiedliche Schäden entstehen. Während eine Überweisung von 1.000 Euro an einen fiktiven Dienstleister noch vergleichsweise harmlos wirkt, kann eine Ransomware-Attacke mit Verschlüsselung von Daten und Festplatten deutlich gravierender sein. Die Infrastruktur und Prozesse müssen daher so gestaltet sein, dass der Schaden möglichst gering bleibt. Überweisungen (ab einer bestimmten Summe) sollten immer von einer zweiten Person auf Plausibilität geprüft werden. MFA kann Zugriffe verhindern, wenn ein Passwort kompromittiert wurde. Entsprechende Log-Regeln im SIEM können einen Alarm auslösen oder einen Account automatisch blockieren, wenn sich ein Nutzer von einer ungewöhnlichen IP-Adresse, Location oder Uhrzeit anmeldet. Zero Trust, Assume Breach, Netzwerk segmentierung ,eingeschränkte Zugriffsrechte (Principle of Least Privilege, PoLP) und solide Backuppläne können den Schaden durch Ransomware begrenzen.

Quellen

  • Milgram, S. (1963). Behavioral study of obedience. The Journal of Abnormal and Social Psychology, 67(4)
  • Verizon (2022). Data Breach Investigations Report.
  • Cialdini, R. (2009). Influence: Science and Practice. Pearson.
  • Lain, D., Kostiainen, K. & Čapkun, S. (2021). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study.
  • Cost of a Data Breach Report 2025 The AI Oversight Gap (https://www.bakerdonelson.com/webfiles/Publications/20250822_Cost-of-a-Data-Breach-Report-2025.pdf)