Social Engineering bezeichnet Angriffe, die nicht primär auf technische Schwachstellen zielen, sondern auf menschliches Verhalten. Angreifer nutzen psychologische Hebel wie Hilfsbereitschaft, Autoritätsglauben, Zeitdruck, Gier oder Angst, um Personen zu Aktionen zu bewegen, die sie ohne Manipulation nicht ausgeführt hätten.
Bekannte Muster sind der angebliche Geschäftsführer, der per E-Mail eine eilige Überweisung anordnet (CEO-Fraud), der falsche IT-Support, der nach dem Passwort fragt, der Lieferant mit angeblich geänderter Kontonummer, der besorgte Anruf wegen Konto-Sperrung. Auch physische Varianten wie Tailgating (Mit-Hereinkommen durch Türen) oder USB-Drops gehören dazu. Generative KI macht solche Angriffe glaubwürdiger, weil Sprache, Stil und sogar Stimme imitierbar werden.
Schutz besteht aus klaren Prozessen, Schulung und gesundem Misstrauen. Vier-Augen-Prinzipien bei Geldflüssen, Rückrufe an verifizierte Nummern bei verdächtigen Anweisungen, klare Eskalationswege bei Auffälligkeiten und regelmäßige Trainings mit realistischen Simulationen reduzieren das Risiko spürbar. Eine Kultur, in der Mitarbeitende Verdachtsfälle melden dürfen, ohne Konsequenzen befürchten zu müssen, ist entscheidend.