Social Engineering: Wie erkennst du CEO-Betrug und Vishing?

Nicht jeder Angriff kommt per E-Mail. Telefon, SMS, LinkedIn-Nachricht — modernes Social Engineering nutzt alle Kanäle. Drei Muster und ihre Gegenmittel.

Phishing läuft per E-Mail. Vishing per Telefon. SMishing per SMS. Social Engineering ist der Oberbegriff — Menschen manipulieren, damit sie etwas tun, was sie normalerweise nicht tun würden.

CEO-Betrug

„Hier spricht der CEO. Dringend — ich brauche für einen Deal Gutscheinkarten, 5.000 €, sofort. Halte das bis morgen still, PR-Moment." Immer gefälscht. Immer.

Gegenmittel: Prozess — Gutscheine/Ausgaben über einem Schwellenwert müssen über einen offiziellen Kanal genehmigt werden. Keine Ausnahmen, keine Dringlichkeit.

Vishing-CEO-Betrug

Anruf (kann 2026 eine Deep-Fake-Stimme sein). „Hier ist die Bank von [Unternehmen] — wir haben verdächtige Transaktionen festgestellt, können Sie kurz Ihre Zugangsdaten bestätigen?" Banken fragen das nie.

Gegenmittel: auflegen, über die offizielle Nummer zurückrufen. Niemals Zugangsdaten am Telefon weitergeben.

LinkedIn / Hilfeanfrage

„Ich bin neu bei [deinem Unternehmen], kannst du mir beim Einloggen helfen? Meine Onboarding-Mail ist nicht angekommen." Kann von einem ehemaligen Mitarbeiter oder Wettbewerber stammen, der es einfach versucht.

Gegenmittel: über die HR-Abteilung verifizieren. Keine Hilfe ohne Verifizierung.

Rechnungsbetrug

„Ihr Lieferant hat eine neue Kontonummer. Bitte überweisen Sie die offene Rechnung dorthin." Meist per (gefälschter) E-Mail aus dem echten Postfach des Lieferanten.

Gegenmittel: Kontonummer-Änderungen immer telefonisch über eine bekannte Nummer bestätigen (nicht die aus der E-Mail).

Schulung

Siehe Phishing erkennen — aber auch Simulationen per Telefon und SMS, nicht nur per E-Mail.

Siehe auch: Security-Pillar.