Social Engineering ist die gängige Methode von Cyberkriminellen, Menschen anzugreifen. Diese Form der Manipulation ist nicht neu – doch mit dem Einzug von generativer KI hat sich die Lage dramatisch verschärft.

Menschen für Phishing-Mails zu sensibilisieren, indem sie auf fehlerhaftes Deutsch und schlecht gemachte Logos achten sollen, hilft nicht viel. Heute imitieren Angreifende täuschend echt und mit wenig Aufwand Kommunikationsstil, Stimmen und Gesichter aus dem Umfeld der Zielperson.

Organisationen stehen vor der dringenden Aufgabe, ihre Verteidigungsstrategien neu zu denken – weg von klassischen Security-Awareness-Trainings hin zu einer Resilienz der Mitarbeitenden gegenüber Manipulation. Keine leichte Aufgabe, aber vielleicht auch eine, die ganz neue Chancen birgt.

Seit der Verbreitung von generativer KI sind gezielte Social-Engineering-Angriffe präziser, automatisierter und vor allem viel schwieriger zu erkennen. Willkommen im Zeitalter des Deep Doubt, wie 'Wired' titelt, in dem es immer schwieriger wird, zwischen echten und gefälschten Inhalten zu unterscheiden.

Dank KI-generierter Inhalte wie Deepfakes oder synthetischer Stimmen können Cyberkriminelle Identitäten immer glaubwürdiger imitieren. Hinzu kommt, dass mit generativer KI Gesichter erzeugt werden können, die von echten Gesichtern nicht mehr zu unterscheiden sind – und noch schlimmer: sogar als vertrauenswürdiger wahrgenommen werden.

Dadurch werden bekannte Täuschungsmethoden deutlich wirkungsvoller und schwerer erkennbar: In Hongkong wurde eine Mitarbeiterin mittels Deepfake-Videokonferenz dazu gebracht, rund 20 Millionen Pfund an Betrüger zu überweisen, die sich als ihre Vorgesetzten ausgaben.

Klassische Security-Awareness-Trainings konzentrieren sich meist auf bekannte Social-Engineering-Angriffsmuster – insbesondere auf das klassische Phishing per E-Mail. Dabei werden häufig starre Regeln vermittelt, deren Umsetzung von den Mitarbeitenden viel Aufmerksamkeit für Details erfordert.

Selbst wenn wir, die Mitarbeitenden, in der Lage sind, verlässlich die Domain einer URL zu identifizieren, sind unsere Augen und Aufmerksamkeit nicht dafür geschaffen, jeden kleinsten Typosquat zu erkennen. Vor allem nicht, wenn es unser Job ist, täglich 300 (externe) E-Mails möglichst schnell zu beantworten.

Zugleich basiert der Ansatz von Security-Awareness-Massnahmen oft auf der überholten Annahme, dass Menschen in entscheidenden Momenten stets auf ihr analytisches Denkvermögen zurückgreifen können.

Tatsächlich jedoch werden viele Entscheidungen – insbesondere schnelle, die zu konkreten Handlungen im Alltag führen – weit häufiger von Emotionen und intuitivem Denken bestimmt als von rationaler Analyse. Genau dieses Spannungsfeld zwischen Bauchgefühl und Verstand erforscht die Verhaltensökonomie, die von Forschenden wie Daniel Kahneman, Richard Thaler und Cass Sunstein geprägt wurde. Bislang fand dieser Ansatz im Design von Massnahmen zur Verhaltensänderung im Bereich der Cybersicherheit kaum Beachtung. In Zukunft sollte der Fokus weniger auf der Vermittlung neuer Erkennungsmethoden liegen, sondern auf der Vermittlung der – im Kern nicht technischen – Angriffsmethode als Ganzes und wie man sich davor schützen kann.

Social-Engineering-Angriffe folgen in der Regel einem klaren Ablauf. Die Angreifenden recherchieren zunächst öffentlich zugängliche Informationen (OSINT) über Organisationen, Personen und Rollen. Auf dieser Basis entwickeln sie glaubwürdige Szenarien, um bei der Zielperson Vertrauen aufzubauen oder gezielt Druck zu erzeugen. Wer versteht, wie automatisiert und effizient detaillierte Personenprofile erstellt werden können, hinterfragt dringliche Anfragen vermeintlicher Kolleginnen und Kollegen kritischer.

Angreifende nutzen gezielt Prinzipien der Beeinflussung, wie sie von Bestsellerautor Robert Cialdini beschrieben wurden: Autorität ("Der CEO verlangt sofortige Zahlung!"), soziale Bewährtheit ("Alle investieren gerade in diese Kryptowährung!") oder Sympathie ("Dein Vortrag hat mir sehr gut gefallen!"). Diese Techniken sind nicht nur im Verkauf weit verbreitet. Sie werden auch im Darknet gezielt vermittelt, um Social-Engineering-Fähigkeiten zu verfeinern. Wer diese psychologischen Muster erkennt, kann Manipulationsversuche besser einordnen und sich bewusster davon abgrenzen.

Genau hier setzt effektive Abwehr an: Ein zentraler Schutzmechanismus besteht darin, sensibel auf die eigene emotionale Reaktion zu achten – vor allem in Situationen, in denen eine schnelle Handlung gefordert wird. Sobald der emotionale Druck steigt, ist besondere Wachsamkeit gefragt. Hilfreiche Strategien sind: innehalten, den eigenen Zustand reflektieren ("Wie fühle ich mich gerade? Ist diese Anfrage plausibel?") eine zweite Meinung einholen, das Vier-Augen-Prinzip anwenden oder über einen alternativen Kanal rückfragen. In der Cyberpsychologie wird aktuell unter dem Begriff Cyber-Mindfulness dazu geforscht, wie Menschen ihre Aufmerksamkeit in digitalen Kontexten gezielter steuern können. Das fördert ein bewusstes Handeln, reduziert Impulsreaktionen und stärkt die Resilienz gegenüber Social-Engineering-Angriffen.

Manipulation und Täuschung erfordern kein technisches Verständnis. Sie sind so alt wie die Menschheit. Im Zeitalter generativer KI wird Social Engineering jedoch skalierbarer, täuschender und schwerer zu erkennen. Es geht im Organisationskontext deshalb nicht mehr darum, schlecht gefälschte E-Mails zu erkennen, sondern Manipulation zu entlarven, die täuschend echt daherkommt – ob als Gesicht, Stimme oder Textnachricht.

Klassische Security-Awareness-Trainings, die auf technischen Details und starren Regelkatalogen basieren, greifen deshalb zu kurz. Stattdessen braucht es ein neues Verständnis für die Angriffsmechanismen auf Metaebene – unabhängig vom Kanal – und Cyber-Mindfulness, also Achtsamkeitstraining zur Erkennung und Unterbrechung emotionaler Handlungstrigger wie sie in der Forschung bereits untersucht werden.