Was ist Social Hacking? Von der Schwachstelle zum Sicherheitsfaktor

Naters, 24.03.2025

Ein Beitrag von Maxim Makedonsky

In einer Zeit, in der Cyberbedrohungen immer raffinierter werden, stellt Social Hacking eine besonders tückische Gefahr für Schweizer KMUs dar. Während technische Sicherheitsmaßnahmen wie Firewalls und Antivirenprogramme zum Standard gehören, bleibt eine entscheidende Schwachstelle oft unzureichend geschützt: der Mensch. Cyberkriminelle setzen gezielt auf die Manipulation von Mitarbeitenden, um Zugang zu sensiblen Unternehmensdaten zu erlangen. Dieser Artikel beleuchtet, wie Social Hacking funktioniert, warum besonders KMUs gefährdet sind, und welche Schutzmaßnahmen wirksam implementiert werden können. Mit dem Schwerpunkt auf den Ansatz von "Mr. Unknown" und IT4iNT zeigen wir, wie kombinierte virtuelle und physische Sicherheitsüberprüfungen das Sicherheitsniveau in Schweizer Unternehmen nachhaltig verbessern können.

Was ist Social Hacking und warum ist es so gefährlich? In der Schweiz, einem Land das für seine digitale Infrastruktur und internationalen Wirtschaftsverbindungen bekannt ist, werden KMUs zunehmend zur Zielscheibe von Cyberkriminellen. Eine besonders gefährliche Methode ist dabei das Social Hacking – eine Angriffsstrategie, die nicht primär auf technische Schwachstellen, sondern auf die Manipulation von Menschen abzielt. Laut aktuellen Zahlen des Digitalverbands Bitkom sind mittlerweile fast 45 Prozent aller Unternehmen von Social-Engineering-Vorfällen betroffen, und besorgniserregend ist, dass 15 Prozent der Betriebe sogar von häufigen Angriffen berichten.

Was macht Social Hacking so gefährlich? Im Gegensatz zu rein technischen Angriffen umgeht diese Methode traditionelle Sicherheitsmaßnahmen wie Firewalls oder Virenschutz, indem sie die menschliche Komponente ins Visier nimmt. Social Hacker nutzen psychologische Taktiken, um Vertrauen zu gewinnen, Ängste zu schüren oder Neugierde zu wecken – alles mit dem Ziel, an sensible Informationen zu gelangen oder Zugang zu Systemen zu erhalten.

Psychologische Grundlagen des Social Hacking

System 1 vs. System 2: Wie Angreifer das schnelle Denken ausnutzen

Ein wichtiger psychologischer Mechanismus, den Social Hacker ausnutzen, ist die Aktivierung des sogenannten System 1-Denkens. Dieses System, vom Nobelpreisträger Daniel Kahneman erforscht, arbeitet automatisch, schnell und intuitiv. Es unterstützt Menschen bei allen wiederkehrenden Aufgaben des täglichen Ablaufs und wird besonders aktiv, wenn Menschen unter Druck stehen oder routinierte Tätigkeiten ausführen.

Die Macht der Autorität

Ein besonders effektives Werkzeug im Arsenal von Social Hackern ist die Ausnutzung von Autoritätshörigkeit. Menschen neigen dazu, Anweisungen von vermeintlichen Autoritätspersonen zu befolgen, selbst wenn sie Zweifel haben. In Unternehmen kann dies ausgenutzt werden, indem sich Angreifer als Vorgesetzte, IT-Mitarbeiter oder externe Prüfer ausgeben.

Ausgenutzte menschliche Eigenschaften

Social Engineers oder Social Hacker machen sich grundlegende menschliche Eigenschaften und Verhaltensweisen geschickt zunutze. Sie spielen dabei sowohl mit positiven als auch mit negativen Emotionen, darunter:

• Vertrauen und Sympathie

• Hilfsbereitschaft

• Angst und Unsicherheit

• Gehorsam und Autoritätshörigkeit

• Neugierde

• Stress oder Zeitdruck

Diese Eigenschaften werden gezielt ausgenutzt, um Menschen zu manipulieren und zu unüberlegten Handlungen zu bewegen. Besonders wirksam ist dabei die Kombination mehrerer Faktoren, die sich gegenseitig verstärken können.

Warum Schweizer KMUs besonders gefährdet sind

Schweizer KMUs sind oft das perfekte Ziel, weil sie:

• Begrenzte Ressourcen für IT-Sicherheit haben.

• Weniger geschulte Mitarbeiter im Umgang mit Cyberbedrohungen.

• Wertvolle Daten besitzen, die für Angreifer attraktiv sind.

• Vertrauensbasierte Beziehungen pflegen, die Angreifer ausnutzen können.

Effektive Trainingskonzepte für Schweizer KMUs

Aufbau eines ganzheitlichen Schulungsprogramms

Ein wirksames Schulungsprogramm gegen Social Hacking muss mehrere Dimensionen abdecken. Die Erfahrungen der IT4NT im Zusammenschluss Schweizer Unternehmen, zeigen folgende Erfolgsfaktoren:

Bedarfsanalyse: Vor Implementierung eines Schulungsprogramms sollte eine Bestandsaufnahme der spezifischen Risiken erfolgen. Die Pharmafirma Novartis nutzt dafür simulierte Phishing-Kampagnen, um Schwachstellen zu identifizieren.

Multimodales Lernen: Erfolgreiche Programme kombinieren verschiedene Lernformate wie Präsenzschulungen, E-Learning und praktische Übungen. Die Zürcher Kantonalbank konnte durch diesen Ansatz die Erkennungsrate von Phishing-E-Mails um 47% steigern.

Kontinuierliches Training: Einmalige Schulungen zeigen nur kurzzeitige Wirkung. Langfristiger Erfolg erfordert regelmäßige Auffrischungen und Updates.

Aufbau einer positiven Sicherheitskultur

Der nachhaltigste Schutz entsteht durch eine positive Sicherheitskultur im Unternehmen:

• Sicherheit als gemeinsame Verantwortung aller Mitarbeiter

• Offener Umgang mit Sicherheitsvorfällen ohne Schuldzuweisungen

• Anerkennung für sicherheitsbewusstes Verhalten

Die Swisscom hat diesen Ansatz mit ihrem "Security Champions"-Programm erfolgreich umgesetzt und konnte die Melderate für verdächtige Vorfälle um 126% steigern.

Der unterschätzte physische Zugriff

Während viele Unternehmen den Fokus auf digitale Sicherheit legen, wird die Gefahr physischer Angriffe oft unterschätzt. Typische Methoden umfassen:

• Das Platzieren manipulierter USB-Sticks auf Firmenparkplätzen

• Das Ausnutzen von Mitarbeitern, die aus Höflichkeit Türen aufhalten ("Tailgating")

• Das Abhören von Gesprächen in öffentlichen Bereichen

• Das Erlangen von Zugang zu ungesicherten Netzwerkdosen

Ein besonders alarmierendes Szenario beschreibt die IT4iNT GmbH: "Stellen Sie sich vor: Jemand verschafft sich unbemerkt Zutritt zu Ihrem Gebäude, geht zum Serverraum, verbindet unauffällig ein Gerät mit Ihrem Netzwerk und plötzlich haben Cyberkriminelle Zugriff auf sensible Daten. Das ist keine Fiktion, sondern eine reale Bedrohung für Schweizer KMUs."

Der Ansatz von Mr. Unknown und IT4iNT: Kombinierte Sicherheitsüberprüfungen

Die IT4iNT GmbH hat mit Mr. Unknown einen innovativen Ansatz entwickelt, der die Grenzen zwischen digitaler und physischer Sicherheit überwindet. Anders als herkömmliche Sicherheitsüberprüfungen, die sich entweder auf IT-Systeme oder auf physische Sicherheit konzentrieren, kombiniert dieser Ansatz beide Welten.

In diesem Artikel behandeln wir die Säule und das Thema: Social Hacking & physische Sicherheitsrisiken

Diese umfassende Überprüfung kombiniert IT-Schwachstellenanalysen mit physischen Interaktionstests. Das Team simuliert Versuche, physisch in Unternehmensräume einzudringen, Zugang zu Servern zu erlangen oder interne Angriffe mittels USB-Sticks durchzuführen. Der Fokus liegt dabei nicht auf der IT selbst, sondern auf der Reaktion der Mitarbeitenden.

Von der Schwachstelle zum Sicherheitsfaktor: Mitarbeitende als erste Verteidigungslinie

Der Ansatz von IT4iNT transformiert Mitarbeitende von potenziellen Schwachstellen zu aktiven Sicherheitsfaktoren. Anstatt sie lediglich als Risikofaktor zu betrachten, werden sie zu einer effektiven ersten Verteidigungslinie ausgebildet.

Der Mensch bleibt das Herzstück jedes Unternehmens und damit auch seiner Sicherheit. Das Ziel ist es, Mitarbeitende zu befähigen, potenzielle Bedrohungen zu erkennen und angemessen zu reagieren – sei es bei verdächtigen E-Mails, ungewöhnlichen Telefonanrufen oder fremden Personen im Büro.

Dieser Kulturwandel hin zu mehr Sicherheitsbewusstsein ist ein langfristiger Prozess, der kontinuierliche Aufmerksamkeit erfordert. Regelmäßige Schulungen, praxisnahe Übungen und offene Kommunikation über Sicherheitsthemen sind dabei entscheidende Erfolgsfaktoren.

Das praxiserprobte Vorgehen der IT4NT

Grundidee von Mr.Unknowns Security Package

Social Hacking stellt eine der größten Bedrohungen für die Informationssicherheit von Schweizer KMUs dar. Im Gegensatz zu rein technischen Angriffen zielt es auf den Menschen ab – mit seinen natürlichen Verhaltensweisen und Emotionen.

Der von IT4iNT entwickelte Ansatz mit Mr. Unknown bietet eine praxisnahe Lösung, die speziell auf die Bedürfnisse und Ressourcen von Schweizer KMUs zugeschnitten ist. Durch die Kombination virtueller und physischer Sicherheitsüberprüfungen werden Schwachstellen identifiziert, bevor Cyberkriminelle sie ausnutzen können.