„Bitte setze dein Passwort zurück – hier klicken.“ 

So oder so ähnlich beginnen viele Social-Engineering-Angriffe – getarnt als harmlose Mails, als Kollege am Telefon oder als technischer Support. In Wahrheit sind es perfekt inszenierte Täuschungsversuche, die auf eine einzige Schwachstelle abzielen: den Menschen. 

Ein einziger Klick reicht aus. Ein Anruf, eine kurze Unaufmerksamkeit – und plötzlich haben Cyberkriminelle Zugang zu internen Systemen, Kundeninformationen oder finanziellen Ressourcen. Was wie ein banaler Vorfall wirkt, kann schnell in den Krisenmodus führen. 

In vielen Unternehmen liegt der Fokus auf technischen Schutzmaßnahmen. Firewalls, Patches, Endpoint Detection – das alles ist wichtig. Aber: 

Jede Sicherheitskette ist nur so stark wie ihr schwächstes Glied – und das ist oft der Mensch.

Pentesting mit Social Engineering Komponente decken genau diese menschlichen Schwachstellen auf – in Form von simulierten Angriffen, die typische Szenarien realitätsnah nachstellen: 

• Phishing-E-Mails mit Fake-Login-Seiten 

• Anrufe von angeblichen IT-Mitarbeitenden („Wir brauchen dein Passwort“) 

• CEO-Fraud-Szenarien („Bitte überweise dringend…“) 

• Gefälschte Kalender-Einladungen mit infizierten Anhängen 

Und das Beste: Die Mitarbeitenden werden nicht bloß geprüft – sie werden geschult. 

Warum werden Pentests so selten eingesetzt? 

Technischer Fokus
Technische Schutzmaßnahmen lassen sich automatisieren, dokumentieren und skalieren. Awareness hingegen braucht Zeit, Empathie und Kommunikation – das passt oft nicht ins IT-Budget.

Praktische Bedenken
Ein Pentest, bei dem das Helpdesk versehentlich einem Angreifer ein Passwort neu vergibt, kann reale Störungen verursachen. Phishing-Simulationen unterbrechen Arbeitsprozesse. Und manche Szenarien – etwa rund um familiäre Notfälle – können emotionale Triggerpunkte berühren. 

Doch genau diese Realität nutzen Angreifer aus. Wer sie nicht simuliert, wird Opfer des Überraschungseffekts und verliert im Ernstfall die Kontrolle. 

Greifbare Erfolge durch Aufklärung: Zahlreiche Studien und Erfahrungswerte aus der Praxis zeigen: 
Regelmäßige Awareness-Kampagnen reduzieren die Klickrate auf Phishing-Mails.

Beispiele für typische Angriffs-Muster:

• Zeitdruck: „dein Konto wird in 15 Minuten gelöscht – klicke hier.“ 

• Autoritätsdruck: „Der CEO hat dich beauftragt, diese Zahlung sofort zu veranlassen.“ 

• Emotionale Manipulation: „Dein Sohn war in einen Unfall verwickelt, wir benötigen deine Daten.“
   

Pentests konfrontieren deine Mitarbeitenden mit genau solchen Situationen. Und mit dem nötigen Training entwickeln sie ein Gespür für die Maschen – und stoppen sie frühzeitig. 

Social Engineering während eines Pentests ist mehr als nur eine Prüfung.
Es zeigt, ob interne Prozesse funktionieren:

• Wird die Identität eines Anrufers geprüft, bevor Passwörter zurückgesetzt werden? 

• Gibt es eine Mehr-Augen-Freigabe bei größeren Geldtransaktionen? 

• Wurden Mitarbeitende darauf geschult, Links zu hinterfragen? 

Beispiel aus der Praxis:
„Susanne aus der Buchhaltung erhält eine E-Mail mit der dringenden Bitte, 50 Amazon-Gutscheine zu bestellen. Das Logo wirkt originalgetreu, die Signatur authentisch. Doch Susanne bleibt ruhig – und ruft ihren Chef persönlich an.“ 

Solche Situationen können durch Training zum Alltag werden – und das schützt dein Unternehmen. 

Social Engineering ist keine abstrakte Bedrohung, sondern Realität im digitalen Alltag. Während deine Firewalls automatisch von der IT-Abteilung konfiguriert werden, entwickeln Angreifer immer neue Tricks. 

 Social Engineering Pentesting gibt dir die Kontrolle zurück. Es zeigt, wo Lücken klaffen – bevor echte Angreifer sie ausnutzen. 

Quelle:

Thomas Lamer
Head of Consulting WK IT GmbH

Ich bin Head of Consulting bei der WK IT. Gestartet in der Applikationsbetreuung, sammelte ich Erfahrung in Projektsteuerung, Test- und Qualitätsmanagement sowie IT-Projektleitung. Heute begleite ich unsere Kunden von der Idee bis zur Umsetzung und unterstütze sie in allen projektbezogenen Prozessen und Herausforderungen mit Leidenschaft und Kompetenz. 

Zu meinem LinkedIn Account