In der modernen Cybersicherheitslandschaft sind die raffiniertesten Angriffe oft nicht die technisch komplexesten, sondern jene, die den Mensch am geschicktesten ausnutzen. Pretexting – eine Form des Social Engineering, bei der Angreifer eine falsche Identität oder ein erfundenes Szenario verwenden, um die Zielperson zu einer bestimmten Handlung zu bewegen – ist ein Paradebeispiel dafür. Diese Angriffe sind besonders tückisch, denn sie bauen auf einer scheinbar harmlosen Grundlage auf: Open Source Intelligence (OSINT). Angreifer investieren oft Tage, Wochen oder sogar Monate, um öffentlich zugängliche Informationen über ihre Ziele zu sammeln, bevor sie überhaupt den ersten Kontakt herstellen. In diesem Artikel werfen wir einen detaillierten Blick darauf, wie Angreifer OSINT nutzen, welche Quellen ihnen zur Verfügung stehen und wie aus harmlosen, öffentlichen Daten ein hochgradig überzeugender und gefährlicher Pretexting-Angriff entsteht.

Was ist Pretexting und warum ist OSINT so essenziell?

Als Pretexting bezeichnet man die Erfindung einer falschen Identität oder eines Szenarios, das als Grundlage für einen Social-Engineering-Angriff dient. Das Medium – sei es Telefon, E-Mail, SMS oder QR-Code – ist dabei nur Mittel zum Zweck. Je nach Motivation des Angreifers können die Szenarien entweder allgemein gehalten sein und sich auf weit verbreitete Dienste wie Microsoft, DocuSign oder Google beziehen, oder sie sind hochgradig individuell auf das Opfer zugeschnitten.

Individuell angepasste Szenarien sind naturgemäß deutlich schwerer zu erkennen. Eine verdächtige SMS von der Sparkasse fällt sofort auf, wenn man dort gar kein Kunde ist. Die Glaubwürdigkeit eines Pretexting-Szenarios hängt direkt von zwei Faktoren ab: der Qualität der gesammelten Informationen und der Kreativität sowie Seriosität, mit der der Angreifer diese nutzt. Hier wird OSINT zur unverzichtbaren Basis für einen erfolgreichen Betrug.

Es ist wichtig zu betonen, dass die Nutzung von OSINT per se nicht illegal ist. Informationen, die öffentlich verfügbar sind, dürfen grundsätzlich von jedem gesammelt und ausgewertet werden. Das tun nicht nur Angreifer, sondern auch Journalisten, Geheimdienste, Marketing-Unternehmen und Security-Forscher.

Die Grenze zur Illegalität wird überschritten, wenn die gesammelten Informationen für illegale Zwecke genutzt werden – und Pretexting mit dem Ziel, an sensible Informationen zu gelangen, Zugang zu Systemen zu erlangen oder finanzielle Schäden zu verursachen, ist in den meisten Ländern illegal. Es kann als Betrug, Computerbetrug, Identitätsdiebstahl oder unter anderen Straftatbeständen verfolgt werden.

Menschlicher oder technischer Angriff?

Social-Engineering-Angriffe können sowohl auf rein menschlicher als auch auf technischer Ebene stattfinden – oft werden beide Ansätze kombiniert, um die Erfolgswahrscheinlichkeit zu erhöhen.

Bei rein menschlichen Angriffen setzt der Angreifer ausschließlich auf psychologische Manipulation. Durch Druck, Angst, Autoritätsvortäuschung oder vorgetäuschte Dringlichkeit wird das Opfer zu Handlungen bewegt, die es unter normalen Umständen hinterfragen oder nicht machen würde: eine gefälschte Rechnung bezahlen, einen Fremden ohne Zugangskarte ins Büro lassen oder vertrauliche Informationen preisgeben. Solche Angriffe kommen völlig ohne technische Hilfsmittel aus und basieren allein auf der Fähigkeit des Angreifers, Vertrauen aufzubauen oder Emotionen zu manipulieren.

Häufiger jedoch werden Social-Engineering-Angriffe durch technische Komponenten unterstützt. Eine Phishing-E-Mail leitet beispielsweise auf eine gefälschte Website, die optisch identisch zur echten Seite aussieht. Die betrügerische URL wird dabei durch ähnliche Schreibweisen („amaz0n.com" statt „amazon.com"), alternative Top-Level-Domains („paypal-security.net" statt „paypal.com") oder Homograph-Angriffe mit ähnlich aussehenden Zeichen aus anderen Alphabeten verschleiert. Ziel solcher Seiten ist meist der Diebstahl von Login-Daten, Passwörtern oder Bankdaten – die psychologische Manipulation liegt dabei in der überzeugenden Gestaltung und der vorgetäuschten Legitimität.

Technisch aufwendiger sind Websites, die Schwachstellen in Webbrowsern, Plugins, E-Mail Clients oder anderer Software (Office Anwendunghen, PDF Viewer, etc.) ausnutzen, um Malware zu installieren. Dies erfordert jedoch präzises Vorwissen: Welche Software setzt das Opfer ein? Welche Version? Welche Exploits könnten erfolgreich sein? In solchen Fällen dient Social Engineering eher als Mittel zum Zweck – die E-Mail oder Nachricht ist lediglich der Köder, um das Opfer auf die präparierte Website zu locken. Häufig handelt es sich dabei um Massenangriffe in der Hoffnung, dass irgendwo jemand veraltete oder unsichere Software einsetzt. Sobald jedoch ein spezifisches Unternehmen oder eine Person gezielt angegriffen wird, kombinieren Angreifer detaillierte OSINT-Recherche mit maßgeschneiderten technischen Exploits.

In den meisten Fällen zielen Social-Engineering-Angriffe jedoch darauf ab, Daten durch Manipulation zu stehlen, anstatt technische Barrieren zu überwinden. Der Grund ist einfach: Es ist oft leichter, einen Menschen zu überreden, als eine Firewall zu überwinden. Selbst hochgesicherte Netzwerke mit Multi-Faktor-Authentifizierung, Intrusion-Detection-Systemen und regelmäßigen Penetrationstests können durch einen einzigen überzeugenden Anruf kompromittiert werden, wenn ein Mitarbeiter seine Zugangsdaten preisgibt. Technologie kann gepatcht, aktualisiert und gehärtet werden – menschliches Verhalten bleibt die größte Schwachstelle im Sicherheitskonzept.

Die Wahl der Opfer

Die Auswahl der Opfer erfolgt selten willkürlich. Oft wählen Angreifer sowohl Organisationen als auch bestimmte Mitarbeiter gezielt aus. Dabei bieten unterschiedliche Unternehmensgrößen verschiedene Angriffsflächen und Möglichkeiten.

Kleinere und mittelständische Unternehmen (KMU) locken Angreifer oft mit einer vermeintlich schwächer ausgeprägten IT-Sicherheitsstruktur. Vielleicht wurde die IT ausgelagert, wodurch keine direkten Ansprechpartner vor Ort mehr gibt. Auch wenn KMU durchaus wertvolle Daten wie Kundendaten oder Baupläne besitzen, sind ihre finanziellen Ressourcen oft begrenzter. Bei einem Ransomware-Angriff wäre hier potenziell weniger Lösegeld zu erpressen. Ein Vorteil von KMU kann ihre flachere Hierarchie und direktere Kommunikation sein. Diese kann auch ein Hindernis für Angreifer darstellen, da Betrugsversuche wie der CEO-Fraud in einem engeren, persönlicheren Umfeld schneller auffliegen.

Größere Unternehmen investieren in der Regel mehr in IT-Sicherheit und verfügen über spezialisierte Ansprechpartner oder ganze Teams. Allerdings sind ihre Prozesse oft komplex und starr, was dazu führen kann, dass Mitarbeiter sie umgehen und sogenannte Schattenprozesse entstehen. Zudem kennt in einem großen Konzern mit verteilten Standorten und Homeoffice nicht jeder jeden. Diese Anonymität erleichtert es Angreifern, sich als Kollege aus einer anderen Abteilung oder Niederlassung auszugeben, ohne Verdacht zu erregen.

Neben der Unternehmensgröße kann auch die Branchenzugehörigkeit eine entscheidende Rolle bei der Zielauswahl spielen. Das Gesundheitswesen ist aufgrund hochsensibler Patientendaten und oft veralteter IT-Systeme besonders attraktiv – zudem erhöht der potenzielle Ausfall lebenswichtiger Systeme die Zahlungsbereitschaft bei Ransomware-Angriffen erheblich. Im Finanzsektor locken direkter Zugang zu Geld und strenge Compliance-Anforderungen, die Reputationsschäden besonders kostspielig machen. Produzierende Unternehmen und kritische Infrastrukturen wie Energieversorger oder Wasserwerke sind ebenfalls bevorzugte Ziele, da Produktionsausfälle unmittelbare finanzielle Verluste bedeuten und Störungen weitreichende gesellschaftliche Folgen haben können. Ein zusätzlicher Vorteil für Angreifer: Branchenspezifisches Vorwissen macht Pretexting-Angriffe deutlich überzeugender, da typische Prozesse, Fachbegriffe und IT-Systeme bekannt sind.

OSINT

Bevor ein Angreifer überhaupt den ersten Anruf tätigt oder die erste E-Mail verschickt, beginnt eine Phase intensiver Recherche. Diese Reconnaissance-Phase ist oft der Schlüssel zum Erfolg und kann je nach Ziel und Ambition des Angreifers unterschiedlich lange dauern – von wenigen Stunden bei opportunistischen Angriffen bis zu mehreren Wochen bei gezielten Kampagnen gegen hochwertige Ziele.

Der Prozess läuft typischerweise in mehreren Schritten ab. Zunächst definiert der Angreifer sein Ziel: Welche Organisation will er infiltrieren? Welche Informationen oder Zugänge will er erlangen? Wer sind die Personen, die diese Informationen haben oder Zugang gewähren können? Auf Basis dieser Fragen beginnt die systematische Informationssammlung.

Im nächsten Schritt werden öffentliche Datenquellen durchsucht, um ein möglichst vollständiges Bild der Organisation und der Zielpersonen zu erhalten. Dabei geht es nicht nur um oberflächliche Informationen wie Namen und Jobtitel, sondern um ein tiefes Verständnis der Unternehmenskultur, der internen Prozesse, der verwendeten Technologien und der zwischenmenschlichen Beziehungen innerhalb der Organisation.

Die gesammelten Informationen werden dann systematisch analysiert und strukturiert. Moderne Angreifer nutzen oft spezialisierte OSINT-Frameworks und Tools, um Daten zu aggregieren, Verbindungen zu visualisieren und Muster zu erkennen. Aus diesen Daten entstehen detaillierte Profile der Zielpersonen und der Organisation, die als Grundlage für das Pretexting-Szenario dienen.

Am Ende dieser Phase verfügt der Angreifer über ein Arsenal an Informationen: Er kennt die Hierarchie und weiß, wer wem Anweisungen geben kann. Er kennt aktuelle Projekte und kann diese in seine Geschichte einbauen. Er weiß, welche IT-Systeme verwendet werden und kann technische Details einfließen lassen. Er kennt die Namen von Kollegen, Vorgesetzten und Geschäftspartnern und kann diese als Referenzen nutzen. Und er versteht den Kommunikationsstil und die Unternehmenskultur gut genug, um sich nahtlos einzufügen.

Soziale Netzwerke und Webseite

Soziale Netzwerke, vor allem berufliche Plattformen wie LinkedIn und Xing, sind für Angreifer oft die erste Anlaufstelle. Hier lässt sich einsehen, welche Mitarbeiter bei einer Firma tätig sind und in welcher Position – eine wertvolle Information, falls das Unternehmen diese Details nicht selbst auf seiner Website veröffentlicht hat. Der Angreifer erhält so praktisch ein Organigramm der Organisation. Diese Informationen können genutzt werden, um entsprechende Szenarien zu kreieren. Beispielsweise kann man sich in Phishing-Mails als Mitarbeiter aus der Finanzabteilung ausgeben oder Namen von Kollegen nennen, die etwas angeblich abgesegnet haben. Es wirkt so, als verfüge der Angreifer über Insiderwissen zu Personen und Prozessen innerhalb der Firma.

Von beruflichen Konten aus lassen sich oft auch schnell private Profile auf Facebook, X.com (ehemals Twitter), Instagram, GitHub oder privaten Blogs finden. Diese können dabei helfen, persönliche Informationen über eine Person zu sammeln. Welche Hobbys hat jemand? Wann ist eine Person krank oder im Urlaub? Hat sie ein Haustier, einen Partner oder Kinder? Solche Informationen können genutzt werden, um durch vermeintlich private Details Vertrauen aufzubauen. Jemand könnte sich beispielsweise als Vertretung für eine Person ausgeben, die gerade im Urlaub ist oder krank ist.

Oft posten sowohl Mitarbeiter als auch Unternehmen Informationen, die banal erscheinen, aber dennoch nützlich sein können. Das können Meldungen über ein neu eingeführtes Produkt, einen neuen Partner oder Kunden, ein anstehendes Audit oder eine Zertifizierung, ein Firmenevent oder ähnliche Ereignisse sein. Auch diese lassen sich als Aufhänger fürs Pretexting nutzen. Ein Angreifer kann sich als neuer Dienstleister ausgeben und eine gefälschte Rechnung senden. Bei einem neuen Partner kann er sich telefonisch als Support-Mitarbeiter des Dienstleisters melden und darum bitten, ein Update zu installieren – das in Wirklichkeit Malware ist.

Besonders aufschlussreich sind Jubiläumsposten oder Glückwünsche zu langjähriger Betriebszugehörigkeit. Postet ein Kollege beispielsweise „Herzlichen Glückwunsch an Max Müller zu 10 Jahren bei TechCorp!", weiß der Angreifer: Max ist ein langjähriger, vertrauenswürdiger Mitarbeiter. Ein Angreifer könnte sich diese Reputation zunutze machen und bei der Buchhaltung anrufen: „Hallo, hier ist Max Müller aus der IT. Ich bin gerade bei einem Kunden vor Ort und mein Laptop spinnt. Können Sie mir schnell mein Passwort zurücksetzen?" Die Buchhaltung vertraut Max aufgrund seiner bekannten Position und erfüllt die Bitte möglicherweise ohne Rückfrage.

Auch Informationen über Neueinstellungen sind wertvoll. Angreifer könnten sich bei neuen Mitarbeitern als IT-Support ausgeben und so Zugriff auf deren Rechner erlangen. Neue Mitarbeiter, die erst wenige Tage oder Wochen im Unternehmen sind, sind meist noch nicht mit allen Prozessen und Ansprechpartnern vertraut und können für solche Social-Engineering-Anfragen anfälliger sein als langjährige Mitarbeiter. Neben Neueinstellungen sind auch Informationen über Akquisitionen oder neue Bürostandorte relevant. Mitarbeiter in neu übernommenen Firmen oder frisch eröffneten Niederlassungen befinden sich ebenfalls in einer Übergangsphase, in der Strukturen und Ansprechpartner noch nicht vollständig etabliert sind – eine ideale Ausgangslage für Pretexting-Angriffe.

Öffentliche Stellenanzeigen können verraten, mit welchen Technologien oder Produkten eine Organisation arbeitet. Wer Mitarbeiter mit Salesforce-Kenntnissen sucht, wird höchstwahrscheinlich dieses Produkt einsetzen. Auch hier kann sich ein Angreifer als Mitarbeiter von Salesforce ausgeben oder gefälschte Rechnungen versenden. Werden in einer Stellenanzeige Kenntnisse in Kubernetes, AWS oder GitLab gefordert, weiß der Angreifer nicht nur, welche Systeme im Einsatz sind, sondern kann auch gezielt Phishing-Mails mit technischem Vokabular erstellen, die deutlich glaubwürdiger wirken.

Bewertungsportale – egal ob Kundenbewertungen für die Organisation oder Arbeitgeberbewertungen von ehemaligen Mitarbeitern auf Plattformen wie Kununu oder Glassdoor – sind ebenfalls hilfreich. Mitarbeiter, die das Unternehmen im Streit verlassen haben, sprechen oft über problematische Prozesse oder schlechte Arbeitsbedingungen, die ausgenutzt werden können. Vielleicht beschreibt ein Mitarbeiter ineffiziente Abläufe in der internen IT, etwa die schleppende Bearbeitung von Support-Anfragen. Dieses Wissen kann ein Angreifer nutzen, wenn er sich als IT-Support ausgibt: „Ich weiß, dass eure Tickets ewig dauern. Ich kann euch jetzt sofort helfen, wenn ihr mir kurz Zugriff gebt…" Die Frustration über bekannte Probleme erhöht die Bereitschaft, ungewöhnliche Anfragen zu akzeptieren.

Auch historische Daten können verfügbar und archiviert sein. Der bekannteste Service dürfte hier die Wayback Machine vom Internet Archive sein, die ältere Versionen von Webseiten speichert. Hier können Angreifer auf historische Daten zugreifen oder Informationen finden, die eigentlich gelöscht sein sollten – etwa Namen ehemaliger Mitarbeiter, alte Organisationsstrukturen oder frühere Geschäftspartner.

Verlorene USB-Sticks und andere Speichermedien

Der Trick, einen präparierten USB-Stick auf dem Firmengelände zu platzieren – sei es am Empfang, auf dem Parkplatz oder an einem anderen Ort – in der Hoffnung, dass ihn jemand findet und benutzt, ist so alt wie Speichermedien selbst. Dieses Vorgehen funktioniert grundsätzlich mit allen transportablen Datenträgern: Disketten, CDs, DVDs, SD-Karten, USB-Sticks oder externe Festplatten. In der Praxis werden jedoch hauptsächlich USB-Sticks eingesetzt, seltener SD-Karten oder externe Festplatten. Der Angreifer nutzt dabei die natürliche Neugier von Menschen aus welche wissen wollen was auf dem Datenträger gespeichert ist.

Ein USB-Stick oder anderes Speichermedium kann an zahlreichen Orten platziert werden. Parkplätze werden oft nicht oder nur sporadisch überwacht und bieten daher eine einfache Zugangsmöglichkeit. Ein USB-Stick lässt sich ebenfalls problemlos über einen Zaun werfen, nachts vor eine verschlossene Tür legen oder sogar unter einer Tür durchschieben. Doch auch das Eindringen in Büroräume ist oft erstaunlich einfach: Mit einem Paket unter dem Arm kann man sich als Lieferbote ausgeben und nach einer Person oder Adresse fragen – während man den Stick unauffällig fallenlässtz. Eine weitere Möglichkeit ist die Bewerbung auf eine ausgeschriebene Stelle: Beim Vorstellungsgespräch erhält man legitimen Zutritt zum Gebäude und kann den USB-Stick etwa in der Lobby, im Wartebereich oder auf einer Toilette zurücklassen.

Technisch gesehen gibt es verschiedene Möglichkeiten, wie Malware auf einem Speichermedium platziert werden kann. Ein Angreifer kann auf ungepatchte Systeme oder Exploits setzen – etwa die automatische Ausführung von Code über Autorun-Funktionen (in älteren Windows-Versionen). Office-Dokumente mit Makroviren sind ein klassischer älterer Angriffsvektor: Eine Excel-Datei namens „Bonuszahlungen_2024.xlsx" mit aktivierten Makros kann beim Öffnen Schadcode ausführen. Auch die Firmware von USB-Sticks kann manipuliert werden um automatisch Malware auszuführen (Stichtwort BadUSB, Quelle: https://www.itsb.ruhr-uni-bochum.de/themen/badusb.html)

Weitaus raffinierter sind jedoch spezialisierte USB-Geräte, die gezielt für Angriffe entwickelt wurden. Diese tarnen sich als gewöhnliche USB-Sticks, sind in Wirklichkeit jedoch kleine Einplatinencomputer. Nach dem Einstecken melden sie sich am System als USB-Tastatur an und führen automatisiert Tastatureingaben aus – oft so schnell, dass das Opfer die Aktivität kaum bemerkt. Innerhalb weniger Sekunden können Befehle ausgeführt, Backdoors installiert oder Daten exfiltriert werden. Der wohl bekannteste Vertreter dieser Kategorie ist der Rubber Ducky von Hak5, der mit einer einfachen Skriptsprache programmiert werden kann.

Etwas destruktiver, aber nicht weniger gefährlich, sind sogenannte USB-Killer. Diese Geräte tarnen sich ebenfalls als USB-Stick, enthalten jedoch Kondensatoren, die sich beim Einstecken aufladen und anschließend eine Hochspannungsentladung zurück in den USB-Port des Rechners jagen. Die resultierende Überspannung zerstört oder beschädigt die Hardware irreparabel – oft sind Mainboard, USB-Controller und weitere Komponenten betroffen. Auch wenn USB-Killer rein destruktiv sind und keine Daten stehlen, können sie Teil eines größeren Angriffsszenarios sein: Während die IT-Abteilung mit Hardware-Ausfällen beschäftigt ist und Ersatz beschaffen muss, können andere Angriffe unbemerkt durchgeführt werden. Die entstehende Panik und der Zeitdruck machen Mitarbeiter zudem anfälliger für Social-Engineering-Angriffe wie gefälschte IT-Support-Anrufe oder Phishing-Mails.

Besonders raffiniert wird der Angriff, wenn Angreifer legitim aussehende Werbegeschenke als Tarnung nutzen. Bei Online-Anbietern lassen sich bereits ab kleinen Mengen USB-Sticks mit individuellem Firmenlogo bedrucken – für wenige Euro pro Stück. Das Vorgehen ist dabei denkbar einfach: Das Gehäuse wird geöffnet, der normale USB-Speicher entfernt und durch einen Rubber Ducky, BadUSB-Chip oder USB-Killer ersetzt. Nach dem Verschließen ist der Stick von einem echten Werbegeschenk kaum zu unterscheiden. Die psychologische Wirkung ist enorm: Mitarbeiter vertrauen USB-Sticks mit dem eigenen Firmenlogo deutlich eher als generischen Sticks. „Das muss von der Marketing-Abteilung sein" oder „Ein Kollege hat das wohl verloren" sind typische Gedankengänge, die kritisches Hinterfragen verhindern. Zur weiteren Tarnung können auf dem Stick einige harmlose Daten abgelegt werden – etwa Pressemitteilungen von der Unternehmenswebsite, öffentlich verfügbare Finanzberichte oder Präsentationen. Dies verstärkt die Illusion, dass es sich lediglich um einen harmlosen USB-Stick handelt, den ein Mitarbeiter versehentlich verloren hat.

Während Phishing-Mails häufig als normales „Internet-Rauschen" wahrgenommen und merkwürdige Anrufe schnell wieder vergessen werden, haben manipulierte USB-Sticks, die auf dem Firmengelände auftauchen, eine ganz andere Qualität: Sie sind ein eindeutiges Indiz dafür, dass ein Angreifer das Unternehmen gezielt ins Visier genommen hat – und dass er bereit war, physisch vor Ort zu gehen oder das Gelände auszukundschaften. Diese Eskalationsstufe sollte ernst genommen werden.

Finanzberichte, Unternehmensregister und öffentliche Datenbanken

In den meisten Ländern sind Finanzberichte und Informationen aus Unternehmensregistern teilweise oder vollständig öffentlich verfügbar. In Deutschland sind Jahresabschlüsse im Bundesanzeiger einsehbar, Handelsregisterauszüge können beim zuständigen Amtsgericht abgerufen werden, und das Transparenzregister gibt Auskunft über wirtschaftlich Berechtigte. Diese Quellen bieten Angreifern wertvolle Einblicke in die Organisationsstruktur, finanzielle Situation und personelle Zusammensetzung eines Unternehmens.Besonders interessant sind dabei Namen und Funktionen von Geschäftsführern, Vorständen und Prokuristen. Information, die sich hervorragend für CEO-Fraud-Angriffe eignen. In veröffentlichten Dokumenten finden sich zudem häufig Unterschriften, die als Vorlage für Fälschungen dienen können. Ein Angreifer könnte beispielsweise eine gefälschte Zahlungsanweisung mit einer kopierten Unterschrift des Geschäftsführers versehen und diese per Fax oder E-Mail an die Buchhaltung senden.

Plattformen wie NorthData (northdata.de) aggregieren Daten aus Handelsregister und weiteren öffentlichen Quellen und bieten erweiterte Suchfunktionen. Hier lässt sich nicht nur einsehen, wer eine Firma gegründet hat und welche Gesellschafter oder Geschäfsführer es gibt oder in der Vergangenheit gab, sondern auch bei welchen anderen Unternehmen Geschäftsführer tätig sind oder waren. Diese Personennetzwerke sind für Angreifer besonders wertvoll: Ist ein Geschäftsführer bei mehreren Firmen aktiv, kann ein Angreifer sich als Mitarbeiter einer dieser Firmen ausgeben und so Vertrauen aufbauen. Auch Tochtergesellschaften, Beteiligungen und Konzernstrukturen lassen sich über solche Portale identifizieren – ein Angreifer könnte sich beispielsweise als Mitarbeiter der Muttergesellschaft ausgeben und mit dieser Autorität Zugriff auf sensible Informationen verlangen.

Öffentliche Ausschreibungen auf Plattformen wie bund.de oder branchenspezifischen Vergabeportalen offenbaren geplante Projekte, verwendete Technologien und die Namen der verantwortlichen Ansprechpartner. Ein Angreifer könnte nach Einsicht in eine Ausschreibung für eine Windows-11-Migration gezielt den IT-Leiter kontaktieren und sich als Microsoft-Partner ausgeben: „Guten Tag Herr Meyer, bezüglich Ihrer geplanten Windows-11-Migration hätten wir noch Rückfragen zur Lizenzierung. Können Sie mir kurz Zugriff auf Ihre aktuelle Systemkonfiguration geben?" Die Detailtiefe solcher Ausschreibungen – oft inklusive technischer Spezifikationen und Zeitplänen – macht solche Angriffe hochgradig glaubwürdig.

Ein weiteres unterschätztes Risiko sind Bonitätsauskünfte und Ratings von Auskunfteien wie Creditreform oder Bürgel, die teilweise auch über Plattformen wie NorthData verfügbar sind. Diese verraten nicht nur die finanzielle Situation eines Unternehmens, sondern auch Zahlungsausfälle, Insolvenzen oder wirtschaftliche Schwierigkeiten. Ein Angreifer könnte diese Informationen nutzen, um gezielt Druck aufzubauen: „Aufgrund Ihrer aktuellen Bonität müssen wir leider auf Vorkasse bestehen" – eine Aussage, die bei einem finanziell angeschlagenen Unternehmen Panik auslösen und zu übereilten Zahlungen führen kann. Zusätzlich sind Vergabebekanntmachungen und Zuschlagsmeldungen öffentlich einsehbar. Ein Angreifer könnte herausfinden, welcher Dienstleister einen Auftrag gewonnen hat, und sich anschließend als dieser Dienstleister ausgeben. Hat etwa die Firma „SecureIT GmbH" laut Vergabeportal den Zuschlag für die IT-Sicherheitsberatung erhalten, kann der Angreifer eine gefälschte Rechnung oder einen Anruf von „SecureIT" initiieren, noch bevor die echte Zusammenarbeit begonnen hat.

Besonders interessant sind für Angreifer auch Datenlecks und Breaches aus der Vergangenheit. Websites wie “Have I Been Pwned” zeigen, ob eine E-Mail-Adresse in bekannten Datenlecks auftaucht. In den Daten aus solchen Breaches finden sich oft nicht nur E-Mail-Adressen und Passwörter, sondern auch Sicherheitsfragen und -antworten, Telefonnummern, Adressen und andere persönliche Details. Diese Informationen können genutzt werden, um sich als legitimer Nutzer auszugeben oder um Zugang zu Accounts zu erlangen, deren Passwörter über mehrere Dienste hinweg wiederverwendet wurden.

Podcasts, Videos und öffentliche Auftritte

Mittlerweile ist es keine Seltenheit mehr, dass Unternehmen eigene Podcasts betreiben, Videos produzieren oder Mitarbeiter auf Konferenzen, Webinaren und Branchenevents auftreten. Diese Vorträge werden häufig aufgezeichnet und auf Plattformen wie YouTube, LinkedIn oder den Unternehmenswebsites veröffentlicht. Während solche Inhalte wertvolle Einblicke in die Unternehmenskultur, interne Prozesse oder technische Infrastrukturen bieten, stellen sie gleichzeitig eine oft unterschätzte Gefahr dar.

In Podcasts und Interviews plaudern Führungskräfte nicht selten aus dem Nähkästchen: Ein CEO erzählt von seiner täglichen Routine („Ich checke meine Mails immer schon um 5:30 Uhr morgens"), ein CTO erläutert stolz die verwendeten Technologien („Wir setzen voll auf Kubernetes und AWS"), oder ein HR-Manager spricht über die Unternehmenskultur („Bei uns duzen sich alle, auch den Vorstand"). Für Angreiffer sind solche Informationen viel Wert: Sie lernen, wie Entscheidungsträger kommunizieren, welche Begriffe sie verwenden und zu welchen Zeiten sie erreichbar sind. Ein Angreifer könnte beispielsweise eine CEO-Fraud-E-Mail genau um 5:35 Uhr morgens verschicken – die Authentizität wird durch das bekannte Verhaltensmuster deutlich erhöht.

Doch die größte Bedrohung liegt in der Nutzung von KI und Deepfakes. Mit modernen KI-Tools wie ElevenLabs, Synthesia oder Open-Source-Lösungen wie Coqui TTS lassen sich aus wenigen Minuten Audiomaterial täuschend echte Stimmimitationen erstellen. Ein 30-minütiger Podcast-Auftritt oder Interview eines Geschäftsführers liefert mehr als genug Material, um dessen Stimme zu klonen. Angreifer können dann Vishing-Angriffe (Voice Phishing) durchführen, bei denen sie sich telefonisch als Geschäftsführer ausgeben und Mitarbeiter zu Überweisungen oder der Herausgabe sensibler Informationen auffordern. Ebenso ermöglichen Video-Deepfake-Tools wie DeepFaceLab oder kommerzielle Dienste das Erstellen gefälschter Videoanrufe – der vermeintliche CEO meldet sich per Microsoft Teams oder Zoom und fordert dringende Maßnahmen.

Solche Szenarien sind keine Zukunftsvision, sondern bereits bittere Realität. 2019 wurde ein britisches Energieunternehmen Opfer eines KI-gestützten Voice-Deepfake-Angriffs, bei dem Betrüger die Stimme des Mutterkonzern-CEOs imitierten und eine Überweisung von 220.000 Euro erbeuteten (Quelle: https://futurezone.at/digital-life/mit-deepfake-die-stimme-vom-chef-imitiert-220000-euro-ergaunert/400597388). 2024 erbeutetze ein gefälschter Videoanruf eines vermeintlichen Finanzvorstandes bei einem britischen Ingenieursunternehmen 25 Millionen USD (Quelle: https://edition.cnn.com/2024/05/16/tech/arup-deepfake-scam-loss-hong-kong-intl-hnk).

Bereits vor dem aktuellen KI-Hype existierte Software zur Erstellung von Deepfakes. Tools wie DeepFaceLab, FaceSwap oder First Order Motion Model ermöglichten es technikaffinen Angreifern, überzeugende gefälschte Videos zu erstellen. Was früher jedoch spezialisiertes Wissen und erhebliche Rechenleistung erforderte, ist heute durch benutzerfreundliche KI-Dienste für nahezu jeden zugänglich geworden. Die Einstiegshürden für solche Angriffe sind dramatisch gesunken.

Konferenzen bieten Angreifern zudem die Möglichkeit, direkt mit Mitarbeitern in Kontakt zu treten und unter dem Vorwand technischen Interesses weitere Informationen über das Unternehmen oder die technische Infrastruktur zu erfragen. In den meisten Fällen freuen sich Menschen über das Interesse an ihrem Vortrag – insbesondere wenn der Angreifer diesen zuvor noch gelobt hat. Da wir Menschen evolutionär darauf gepolt sind zu helfen und Anerkennung zu suchen, berichtet die Zielperson möglicherweise stolz und bereitwillig über eigene Projekte, interne Abläufe oder technische Details, ohne die potenzielle Gefahr zu erkennen.

Domains, IP-Adressen, Quelltexte und DNS

Jede Organisation besitzt eine Website, Mailserver oder weitere Server, die im Internet erreichbar sind. Es ist ein Kinderspiel die dahinterliegenden IP-Adressen ausfindig zu machen – vor allem bei Websites oder Mailservern. In vielen Ländern sind die WHOIS-Informationen zu IP-Adressen und Domains mittlerweile stark eingeschränkt. Allerdings lässt sich über die IP-Adresse oder Domain zumindest der Hosting oder CDN (Content Delivery Network) Provider in Erfahrung bringen, was in bestimmten Situationen fürs Pretexting ausgenutzt werden kann. Besonders wertvoll sind Informationen über E-Mail-Dienstleister wie Google Workspace oder Microsoft 365 (Exchange Online). Weiß ein Angreifer, welcher Provider genutzt wird, kann er sich als dessen Support-Mitarbeiter ausgeben und ein Szenario vortäuschen: „Es gibt ein Problem mit Ihrem Konto. Bitte melden Sie sich über diesen Link an, um die Sicherheitseinstellungen zu überprüfen." Die manipulierte Website stiehlt dann die Anmeldedaten.

Auch DNS-Zonen enthalten in Form von TXT-Records zahlreiche Informationen über eine Organisation. Diese Records werden meist von Diensten angelegt, um zu verifizieren, dass man tatsächlich Inhaber der Domain ist. Typische Beispiele für solche TXT-Records sind:

  • Atlassian (Jira, Confluence)
  • Google Site Verification
  • DocuSign
  • Adobe
  • Twilio
  • Zendesk
  • HubSpot
  • Salesforce
  • uvm.

Es kann vorkommen, dass eine Organisation einen Dienst nicht mehr nutzt und ihre DNS-Zone längere Zeit nicht aufgeräumt hat. In der Regel ist die Wahrscheinlichkeit jedoch relativ hoch, dass die im DNS-Record aufgeführten Dienste noch aktiv im Einsatz sind.

Auch SPF-Records (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) können abgefragt werden. Findet man einen SPF-Record, der auf einen E-Mail Dienstleister verweist – beispielsweise durch ein include: oder redirect: auf SendGrid, Mailchimp, Amazon SES, Mailgun, SparkPost oder ähnliche Anbieter –, kann man daraus schließen, dass die Organisation diese zum Versand von E-Mails wie Newslettern oder transaktionalen Mails (Bestellbestätigungen, Passwort-Resets etc.) nutzt. Auch diese Informationen lassen sich für Social-Engineering-Angriffe verwenden. Ein Angreifer könnte beispielsweise gezielt Marketing-Mitarbeiter anschreiben, deren Namen er zuvor über LinkedIn identifiziert hat und eine gefälschte Rechnung für den genutzten E-Mail Dienstleister versenden.

Bestechung und Rache

Wirtschaftliche Schwierigkeiten führen häufig zu größeren Entlassungen, die bei den Betroffenen Frustration und Wut auslösen können. Vor allem wenn Führungskräfte verschont bleiben und in den folgenden Monaten weiterhin hohe Bonuszahlungen erhalten – dies verstärkt das Gefühl der Ungerechtigkeit erheblich. Größere Entlassungswellen werden regelmäßig in den Medien aufgegriffen, und in vielen Ländern sind börsennotierte Unternehmen gesetzlich verpflichtet, größere Entlassungen öffentlich bekanntzumachen. Über LinkedIn, Xing und andere Social-Media-Plattformen lässt sich leicht herausfinden, wer von diesen Entlassungen betroffen ist – oft posten Betroffene selbst über ihre Situation oder aktualisieren ihren Status auf “offen für neue Möglichkeiten”.

Solche Personen können für Angreifer besonders interessant sein. Die finanzielle Unsicherheit, gekoppelt mit dem Gefühl ungerecht behandelt worden zu sein, macht manche ehemalige Mitarbeiter empfänglich dafür, interne Informationen preiszugeben – mitunter auch gegen Bezahlung. Noch kritischer wird es, wenn diese Personen weiterhin über eingeschränkten Zugang zu Unternehmenssystemen verfügen, weil nicht alle Konten zeitnah deaktiviert wurden.

Die Motivation solcher Insider ist nicht immer finanziell. Oftmals spielt Rache eine zentrale Rolle: Der Wunsch, dem ehemaligen Arbeitgeber zu schaden, der einen entlassen hat, kann ausreichen, um vertrauliche Informationen weiterzugeben, Schwachstellen offenzulegen oder aktiv bei Angriffen zu kooperieren. Angreifer wissen das und durchforsten gezielt soziale Netzwerke nach frisch entlassenen Mitarbeitern, die öffentlich ihrer Frustration Luft machen. Ein einfacher Kontaktversuch über LinkedIn – “Ich habe von deiner Situation gehört. Vielleicht können wir uns gegenseitig helfen?” – kann der Einstieg in eine gefährliche Zusammenarbeit sein.

Ein Angreifer könnte auch ein gefälschtes LinkedIn-Profil erstellen und sich selbst als kürzlich entlassener Mitarbeiter ausgeben. Mit diesem Profil nimmt er Kontakt zu tatsächlich Betroffenen auf. Durch die vermeintliche gemeinsame Situation entsteht schnell Vertrauen und eine emotionale Verbindung. In diesem scheinbar vertraulichen Austausch unter „Leidensgenossen" könnte das Opfer unbemerkt wertvolle Informationen preisgeben – etwa über interne Strukturen, noch aktive Zugänge, Schwachstellen in Systemen oder Namen ehemaliger Kollegen, die ebenfalls frustriert sind. Der Angreifer muss dabei nicht einmal direkt nach Informationen fragen; oft reicht es, Frustration zu teilen und empathisch zu wirken, um das Opfer zum Reden zu bringen.

Vertrauen durch wiederholten Kontakt (Persistence)

Nicht jeder Anruf oder jede E-Mail muss direkt Schaden anrichten. Manchmal ist es vorteilhafter, zunächst Vertrauen zum Opfer aufzubauen, bevor der eigentliche Angriff erfolgt. Ein Anrufer könnte sich beispielsweise als neuer Kollege ausgeben und um Hilfe bei einem technischen Problem bitten. Tage später folgt eine Dankes-E-Mail mit einer weiteren, scheinbar harmlosen Frage. Solche Angriffe funktionieren, weil Menschen kompetent wirken und hilfsbereit sein möchten. Ist der Kontakt erst einmal etabliert, werden spätere Anfragen – selbst ungewöhnliche – als legitim wahrgenommen und ohne kritisches Hinterfragen erfüllt.

Technische Hilfsmittel

Neben Plattformen wie NorthData und der Wayback Machine gibt es eine Vielzahl spezialisierter Tools, die gezielt für die Informationsbeschaffung genutzt werden können. Grundsätzlich lassen sich alle technischen Tools, die auch im Penetration Testing eingesetzt werden, für OSINT und Pretexting verwenden. Die bekanntesten Vertreter sind Nmap, Nessus, OpenVAS, Burp Suite, OWASP ZAP, Nikto und Metasploit. Diese Tools helfen Angreifern, die technische Infrastruktur zu kartieren und potenzielle Schwachstellen zu identifizieren. Solche Informationen können direkt für Pretexting-Szenarien genutzt werden. Entdeckt ein Angreifer beispielsweise ein ungepatchtes oder veraltetes System, könnte er – anstatt nach einem technischen Exploit zu suchen – die IT-Abteilung über standardisierte E-Mail-Adressen (postmaster@, webmaster@, security@, abuse@) kontaktieren und sich als Behörde ausgeben: „Hier ist das BSI (Bundesamt für Sicherheit in der Informationstechnik). Wir haben eine kritische Schwachstelle in Ihrem System identifiziert. Bitte beheben Sie diese umgehend. Weitere Details finden Sie hier: [Link zu infizierter Website]." Die technische Präzision – konkrete IP-Adresse, Softwareversion, Port-Nummer – verleiht dem Betrug enorme Glaubwürdigkeit.

Auch klassische Suchmaschinen wie Google, Bing oder DuckDuckGo sind mächtige OSINT-Werkzeuge. Neben der normalen Suche gibt es erweiterte Operatoren, die bei Google als “Dorks” oder “Dorking” bezeichnet werden. Mit Befehlen wie site:unternehmen.net filetype:pdf lassen sich PDF-Dateien auf einer bestimmten Domain finden – darunter auch Dokumente, die nicht mehr verlinkt sind und eigentlich nicht mehr öffentlich sein sollten. Mit intext:“vertraulich” site:firma.de oder intitle:“index of” “backup” lassen sich versehentlich exponierte vertrauliche Dokumente oder Backup-Verzeichnisse aufspüren.

Ebenso wertvoll ist die Bildersuche oder Rückwärtsbildsuche (Google Images, TinEye, etc.). Fotos von Firmenevents, Büroräumen oder Mitarbeitern können Details wie Ausweissysteme, verwendete Hardware, Bürolayouts oder Sicherheitsmaßnahmen zeigen. Selbst Hintergrunddetails in Videocalls, die auf Social Media geteilt werden, können aufschlussreich sein – etwa Post-its mit Notizen, sichtbare Bildschirme, Netzwerkkabel oder spezifische Büroausstattung. Ein Badge, der für eine Sekunde im Hintergrund eines LinkedIn-Videos sichtbar ist, kann Angreifern verraten, welches Zutrittskontrollsystem verwendet wird.

Shodan ist eine Suchmaschine für mit dem Internet verbundene Geräte – von Webservern über IP-Kameras bis hin zu Industriesteuerungen. Sie zeigt, welche Services und Ports öffentlich erreichbar sind, welche Versionen von Software laufen und manchmal sogar, welche bekannten Sicherheitslücken (CVEs) existieren. Diese Informationen sind primär für technische Angriffe relevant, können aber auch in Pretexting-Szenarien genutzt werden: Ein Angreifer, der sich als externer IT-Dienstleister ausgibt und sehr spezifische technische Details kennt, erzeugt sofort Glaubwürdigkeit. Alternativen und Ergänzungen zu Shodan: Censys, ZoomEye, BinaryEdge, LeakIX, FOFA, Criminal IP usw.

Frameworks wie Maltego, SpiderFoot, Recon-ng oder OSINT Framework ermöglichen es, komplexe Beziehungen zwischen Entitäten zu visualisieren und zu analysieren. Ein Analyst kann mit einer Domain beginnen und automatisch zugehörige E-Mail-Adressen, Namen, Telefonnummern, Social-Media-Profile und weitere Domains entdecken lassen. Das Tool erstellt einen interaktiven Graphen, der die Verbindungen zwischen all diesen Datenpunkten darstellt – ein visuelles Netzwerk, das Schwachstellen und vielversprechende Angriffsvektoren aufzeigt. Maltego nutzt sogenannte “Transforms”, die Daten aus Dutzenden verschiedenen Quellen aggregieren.

Tools wie theHarvester automatisieren die Suche nach E-Mail-Adressen, Subdomains, Hostnamen und weiteren Informationen aus öffentlichen Quellen. Sie durchforsten Suchmaschinen, Social Media, PGP-Schlüsselserver, DNS-Records, Certificate Transparency Logs und weitere Datenbanken und liefern strukturierte Ergebnisse. theHarvester beispielsweise kann binnen Minuten alle öffentlich bekannten E-Mail-Adressen einer Domain sammeln – perfekt für gezielte Phishing-Kampagnen. Weitere Reconnaissance-Tools:

Für Social-Media-Analysen gibt es spezialisierte Tools wie Sherlock, das nach Benutzernamen über 300+ Plattformen hinweg sucht, oder Social Analyzer, das Profile über verschiedene Netzwerke hinweg aggregiert. Diese Tools helfen dabei, ein vollständiges Bild einer Person über alle ihre Online-Präsenzen hinweg zu erstellen.

Hunter.io (ehemals Email Hunter) findet E-Mail-Adressen zu Domains und erkennt E-Mail-Pattern (vorname.nachname@firma.de). Have I Been Pwned prüft, ob E-Mail-Adressen in bekannten Datenlecks vorkommen. DeHashed, IntelligenceX und Snusbase sind durchsuchbare Breach-Datenbanken, die Passwörter, E-Mails und Usernames aus Leaks zugänglich machen. Weitere E-Mail/Leak-Tools:

GitHub, GitLab und andere Code-Hosting-Plattformen sind wahre Goldgruben für OSINT. TruffleHog, GitLeaks und git-secrets scannen Git-Repositories nach versehentlich commiteten API-Keys, Passwörtern oder Credentials. grep.app durchsucht öffentlichen GitHub-Code in Sekundenschnelle. Angreifer finden hier oft Konfigurationsdateien, interne API-Endpunkte oder Entwickler-Kommentare mit wertvollen Informationen. Weitere Code-Repository-Tools:

Wichtig zu betonen ist: Die meisten dieser Tools sind legal und werden legitim von Security-Professionals, Penetrationstestern, Bug-Bounty-Jägern und Journalisten verwendet. Sie sind darauf ausgelegt, ausschließlich mit öffentlich verfügbaren Informationen zu arbeiten. Das Problem liegt nicht in den Tools selbst, sondern in ihrer Verwendung für böswillige Zwecke. Offensive OSINT für Pretexting oder Social Engineering ohne Einwilligung ist illegal und kann unter Betrug, Computersabotage oder Datenschutzverletzungen fallen. Diese Tools sollten ausschließlich für defensive Security-Assessments, Red-Team-Übungen mit schriftlicher Genehmigung oder legitime Recherchen eingesetzt werden.

Weiterführende Ressourcen: Frameworks und Literatur

Social Engineering als Disziplin hat sich in den letzten Jahrzehnten von einer Randnotiz der IT-Sicherheit zu einem eigenständigen Forschungsgebiet entwickelt. Für alle, die tiefer in die Materie einsteigen möchten – sei es aus defensiver Perspektive zur Absicherung von Organisationen oder als Red-Team – gibt es mittlerweile etablierte Frameworks, Standardwerke und Communities.

Das Social Engineering Framework von social-engineer.org ist eine der umfassendsten öffentlich verfügbaren Ressourcen zu diesem Thema. Es bietet eine strukturierte Übersicht über die verschiedenen Angriffsvektoren, psychologischen Prinzipien und Abwehrmechanismen. Das Framework kategorisiert Social Engineering in verschiedene Phasen – von der initialen Informationsbeschaffung über den Aufbau von Vertrauen bis hin zur Ausnutzung und dem sauberen Exit. Besonders wertvoll ist die Detailtiefe: Jede Technik wird nicht nur beschrieben, sondern auch in ihrem psychologischen Kontext erklärt. Die Website wird kontinuierlich aktualisiert und reflektiert den aktuellen Stand der Forschung und Praxis.

Keine Diskussion über Social Engineering wäre vollständig ohne Kevin Mitnick. Der ehemals meistgesuchte Computerkriminelle der USA wurde nach seiner Haftentlassung zu einem der gefragtesten Security-Consultants weltweit. Seine Bücher sind Pflichtlektüre für jeden, der Social Engineering verstehen will:

“The Art of Deception: Controlling the Human Element of Security” (2002) ist das Standardwerk schlechthin. Mitnick beschreibt darin anhand realer Fallstudien, wie Angreifer durch geschickte Manipulation an Informationen gelangen, die durch keine Firewall der Welt geschützt werden können. Das Buch macht deutlich: Die größte Schwachstelle in jedem System ist und bleibt der Mensch. Mitnick zeigt nicht nur die Angriffe, sondern liefert auch konkrete Gegenmaßnahmen für Unternehmen.

“The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders & Deceivers” (2005) geht noch tiefer und präsentiert weitere reale Fälle – diesmal nicht nur aus Mitnicks eigener Vergangenheit, sondern von verschiedenen Angreifern weltweit. Die Geschichten lesen sich spannend wie Kriminalromane, vermitteln aber gleichzeitig wertvolle Lektionen über die Kreativität und Hartnäckigkeit von Social Engineers.

Während Mitnick die praktische Anwendung beschreibt, liefert Robert Cialdini mit “Influence: The Psychology of Persuasion” (1984) die wissenschaftliche Grundlage. Cialdini identifiziert sieben fundamentale Prinzipien der Beeinflussung, die Social Engineers systematisch ausnutzen:

  • Reziprozität – Menschen fühlen sich verpflichtet, Gefälligkeiten zu erwidern
  • Commitment und Konsistenz – Einmal getroffene Entscheidungen werden verteidigt
  • Social Proof – Menschen orientieren sich am Verhalten anderer
  • Sympathie – Wir sagen eher Ja zu Menschen, die wir mögen
  • Autorität – Respekt vor Autoritätspersonen reduziert kritisches Denken
  • Knappheit – Limitierte Verfügbarkeit erhöht wahrgenommenen Wert
  • Einheit – Gemeinsame Identität schafft Vertrauen

Obwohl Cialdinis Buch nicht speziell für die IT-Sicherheit oder Social Engineering geschrieben wurde, ist es für das Verständnis von unverzichtbar. Jeder der von Mitnick beschriebenen Angriffe lässt sich auf eines oder mehrere dieser Prinzipien zurückführen. Wer versteht, warum Social Engineering funktioniert, kann sowohl bessere Angriffe entwickeln (im Red-Team-Kontext) als auch effektivere Abwehrmaßnahmen implementieren.

Von Daten zu Pretexting: Wie Informationen zu einem überzeugenden Angriff werden

Das Sammeln von Informationen ist nur die halbe Miete. Die wahre Kunst des OSINT-basierten Pretexting liegt darin, aus einzelnen gefundenen Informationen ein kohärentes, glaubwürdiges Szenario zu konstruieren. Hier zeigt sich, warum erfahrene Social Engineers so erfolgreich sind: Sie verstehen es, Informationen geschickt zu verwenden und psychologische Trigger zu nutzen. Das gewählte Szenario hängt meist davon ab welche Informationen gefunden welche, wo vermeidliche Schwachpunkte liegen, wie kreativ der ANgriffer ist und welche form des Kontakts er wählt.

Der erste Schritt ist die Synthese der gesammelten Daten. Angreifer erstellen detaillierte Profile ihrer Zielpersonen und der Organisation. Diese Profile enthalten nicht nur Fakten, sondern auch Hypothesen über Verhalten, Motivationen und Schwachstellen. Ist die Zielperson neu in ihrer Position und möglicherweise unsicher? Gibt es Anzeichen für Stress oder Überlastung, die ausgenutzt werden können? Welche Autoritätspersonen würde die Zielperson nicht in Frage stellen?

Anschließend wird das Pretexting-Szenario entwickelt. Ein gutes Pretext ist immer an die spezifische Situation angepasst. Es nutzt echte, verifizierbare Details, um Glaubwürdigkeit aufzubauen. Es spielt mit psychologischen Triggern wie Autorität, Dringlichkeit, Hilfsbereitschaft oder Angst. Und es hat ein klares Ziel: Was soll die Zielperson tun oder preisgeben?

Ein klassisches Beispiel: Ein Angreifer hat über LinkedIn herausgefunden, dass ein neuer IT-Support-Mitarbeiter vor zwei Wochen angefangen hat. Über die Unternehmenswebsite weiß er, dass das Unternehmen Okta für Single Sign-On nutzt (aus einer Stellenausschreibung). Ein früherer Mitarbeiter, dessen Name über LinkedIn bekannt ist, hat das Unternehmen vor einem Monat verlassen. Der Angreifer ruft den IT-Support an, gibt sich als dieser ehemalige Mitarbeiter aus und sagt: “Hi, ich bin Thomas Müller, ich habe bis letzten Monat in der Entwicklungsabteilung gearbeitet. Ich komme gerade nicht mehr an mein Okta-Konto ran, um auf einige alte Projektdokumente zuzugreifen, die ich für meinen neuen Arbeitgeber brauche. Kannst du mir schnell helfen, meinen Zugang wiederherzustellen?”

Für den neuen IT-Support-Mitarbeiter klingt das plausibel: Der Name ist ihm vielleicht bekannt, das System (Okta) stimmt, und die Anfrage klingt legitim. Er hat möglicherweise noch nicht gelernt, dass ehemalige Mitarbeiter sofort deaktiviert werden sollten, oder er möchte einfach hilfreich sein und kompetent wirken. Der Angreifer hat durch OSINT alle nötigen Details gesammelt, um dieses Szenario überzeugend zu spielen.

Ein anderes Szenario: Ein Angreifer weiß über eine Pressemitteilung, dass das Unternehmen gerade eine neue Partnerschaft mit einem Softwareanbieter eingegangen ist. Er weiß über LinkedIn, wer der verantwortliche Projektmanager für diese Integration ist. Er weiß über GitHub, welche Technologien das Unternehmen nutzt. Er ruft die Assistentin des CFO an und gibt sich als technischer Berater des Partnerunternehmens aus: “Guten Tag, mein Name ist Schmidt von TechPartner AG. Ich arbeite an der Integration mit Ihrem Team. Ihr Kollege Herr Meier aus dem IT-Projektmanagement hat mir gesagt, ich soll mich bei Ihnen melden, um die Rechnungsdetails für die erste Phase zu klären. Können wir kurz die Kontodaten durchgehen?” Der Angreifer kennt echte Namen, echte Projekte und echte technische Details – warum sollte die Assistentin misstrauisch sein?

Die Macht dieser Angriffe liegt in der Kombination aus echten Informationen und psychologischer Manipulation. Die OSINT-Details schaffen Vertrauen, die psychologischen Trigger (Autorität durch Namensnennung, Dringlichkeit durch Projektzeitpläne, soziale Normen) senken die Abwehrbereitschaft.