Resilienz gegen Social Engineering im KI-Zeitalter

Social Engineering ist die gängige Methode von Cyberkriminellen, Menschen anzugreifen. Diese Form der Manipulation ist nicht neu – doch mit dem Einzug von generativer KI hat sich die Lage dramatisch verschärft.

Text: Cornelia Puhze, publiziert am 29. April 2025

Menschen für Phishing-Mails zu sensibilisieren, indem sie auf fehlerhaftes Deutsch und schlecht gemachte Logos achten sollen, hilft nicht viel. Heute imitieren Angreifende täuschend echt und mit wenig Aufwand Kommunikationsstil, Stimmen und Gesichter aus dem Umfeld der Zielperson. 

Organisationen stehen vor der dringenden Aufgabe, ihre Verteidigungsstrategien neu zu denken – weg von klassischen Security-Awareness-Trainings hin zu einer Resilienz der Mitarbeitenden gegenüber Manipulation. Keine leichte Aufgabe, aber vielleicht auch eine, die ganz neue Chancen birgt.
 

Wir können nur raten: Was ist echt? Was nicht?

Seit der Verbreitung von generativer KI sind gezielte Social-Engineering-Angriffe präziser, automatisierter und vor allem viel schwieriger zu erkennen. Willkommen im Zeitalter des Deep Doubt, wie WIRED titelt, in dem es immer schwieriger wird, zwischen echten und gefälschten Inhalten zu unterscheiden. 

Dank KI-generierter Inhalte wie Deepfakes oder synthetischer Stimmen können Cyberkriminelle Identitäten immer glaubwürdiger imitieren. Hinzu kommt, dass mit generativer KI Gesichter erzeugt werden können, die von echten Gesichtern nicht mehr zu unterscheiden sind – und noch schlimmer: sogar als vertrauenswürdiger wahrgenommen werden. 

Dadurch werden bekannte Täuschungsmethoden deutlich wirkungsvoller und schwerer erkennbar: In Hongkong wurde eine Mitarbeiterin mittels Deepfake-Videokonferenz dazu gebracht, rund 20 Millionen Pfund an Betrüger zu überweisen, die sich als ihre Vorgesetzten ausgaben.  
 

Warum traditionelle Schulungen scheitern

Klassische Security-Awareness-Trainings konzentrieren sich meist auf bekannte Social-Engineering-Angriffsmuster – insbesondere auf das klassische Phishing per E-Mail. Dabei werden häufig starre Regeln vermittelt, deren Umsetzung von den Mitarbeitenden viel Aufmerksamkeit für Details erfordert. 

Selbst wenn wir, die Mitarbeitenden, in der Lage sind, verlässlich die Domain einer URL zu identifizieren, sind unsere Augen und Aufmerksamkeit nicht dafür geschaffen, jeden kleinsten Typosquat zu erkennen. Vor allem nicht, wenn es unser Job ist, täglich 300 (externe) E-Mails möglichst schnell zu beantworten. 

Zugleich basiert der Ansatz von Security-Awareness-Massnahmen oft auf der überholten Annahme, dass Menschen in entscheidenden Momenten stets auf ihr analytisches Denkvermögen zurückgreifen können.

Tatsächlich jedoch werden viele Entscheidungen – insbesondere schnelle, die zu konkreten Handlungen im Alltag führen – weit häufiger von Emotionen und intuitivem Denken bestimmt als von rationaler Analyse. Genau dieses Spannungsfeld zwischen Bauchgefühl und Verstand erforscht die Verhaltensökonomie, die von Forschenden wie Daniel Kahneman, Richard Thaler und Cass Sunstein geprägt wurde. Bislang fand dieser Ansatz im Design von Massnahmen zur Verhaltensänderung im Bereich der Cybersicherheit kaum Beachtung. In Zukunft sollte der Fokus weniger auf der Vermittlung neuer Erkennungsmethoden liegen, sondern auf der Vermittlung der –im Kern nicht technischen – Angriffsmethode als Ganzes und wie man sich davor schützen kann. 

Angriffsmethode verstehen und Resilienz gegen Handlungstrigger trainieren

Social-Engineering-Angriffe folgen in der Regel einem klaren Ablauf. Die Angreifenden recherchieren zunächst öffentlich zugängliche Informationen (OSINT) über Organisationen, Rollen und Personen. Auf dieser Basis entwickeln sie glaubwürdige Szenarien, um bei der Zielperson Vertrauen aufzubauen oder gezielt Druck zu erzeugen. Wer versteht, wie automatisiert und effizient detaillierte Personenprofile erstellt werden können, hinterfragt dringliche Anfragen vermeintlicher Kolleginnen und Kollegen kritischer. 

Angreifende nutzen gezielt Prinzipien der Beeinflussung, wie sie von Bestsellerautor Robert Cialdini beschrieben wurden: Autorität («Der CEO verlangt sofortige Zahlung!»), soziale Bewährtheit («Alle investieren gerade in diese Kryptowährung!») oder Sympathie («Dein Vortrag hat mir sehr gut gefallen!»). Diese Techniken sind nicht nur im Verkauf weit verbreitet. Sie werden auch im Darknet gezielt vermittelt, um Social-Engineering-Fähigkeiten zu verfeinern. Wer diese psychologischen Muster erkennt, kann Manipulationsversuche besser einordnen und sich bewusster davon abgrenzen.

Genau hier setzt effektive Abwehr an: Ein zentraler Schutzmechanismus besteht darin, sensibel auf die eigene emotionale Reaktion zu achten – vor allem in Situationen, in denen eine schnelle Handlung gefordert wird. Sobald der emotionale Druck steigt, ist besondere Wachsamkeit gefragt. Hilfreiche Strategien sind: innehalten, den eigenen Zustand reflektieren («Wie fühle ich mich gerade? Ist diese Anfrage plausibel?») eine zweite Meinung einholen, das 4-Augen-Prinzip anwenden oder über einen alternativen Kanal rückfragen. In der Cyberpsychologie wird aktuell unter dem Begriff Cyber-Mindfulness dazu geforscht, wie Menschen ihre Aufmerksamkeit in digitalen Kontexten gezielter steuern können. Das fördert ein bewusstes Handeln, reduziert Impulsreaktionen und stärkt die Resilienz gegenüber Social-Engineering-Angriffen.

Resilienz der Mitarbeitenden: Wie weiter?

Manipulation und Täuschung zu durchschauen erfordert kein technisches Fachwissen – solche Taktiken existieren, seit Menschen miteinander kommunizieren. Doch im Zeitalter generativer KI ist Social Engineering skalierbarer, überzeugender und deutlich schwerer zu erkennen geworden. In Organisationen reicht es längst nicht mehr aus, offensichtliche Phishing-Mails zu identifizieren; wir müssen auch in der Lage sein, subtile Manipulationen in Form realistischer Stimmen, Gesichter oder Nachrichten zu erkennen. Klassische Awareness-Trainings, die sich oft auf technische Details und starre Regeln konzentrieren, greifen hier zu kurz. Stattdessen braucht es ein tiefergehendes, kanalübergreifendes Verständnis darüber, wie Angriffe funktionieren – auf psychologischer oder „meta“-Ebene – sowie Schulungen in Cyber-Achtsamkeit: die Fähigkeit, emotionale Auslöser frühzeitig wahrzunehmen und zu unterbrechen, bevor sie zu impulsivem Handeln führen. Dieser Ansatz steht bereits im Zentrum aktueller Forschung und verspricht, das Verhalten gegenüber modernen Bedrohungen nachhaltig zu stärken.

Über die Autorin

Cornelia Puhze ist Security Awareness und Communications Expertin bei Switch und denkt Sicherheit vom Menschen her. Sie berät verschiedene Communities zum Thema Mensch in der Informationssicherheit, strategisch und praktisch. Gerüstet mit einem MA in Political Communications lernte sie ihr Handwerk in Privatwirtschaft, öffentlichem Sektor und NGOs. Dankbar schöpft sie zudem aus ihrem Fundus in der Erwachsenenbildung.

Cyber Security
Cornelia Puhze, Security Awareness Specialist at Switch

Cornelia Puhze

Security Awareness Specialist

Switch

Alle Beiträge ansehen

Insights aus unserem Alltag

Interview with Sebastian Sigloch from Switch about the EOSC Data Commons project.
Innovation

Ein digitales Ökosystem für eine vernetzte Forschung

Green Metro Campus Zurich
Corporate

Switch Cloud: Die Cloud der Bildung und Forschung

darja insight
Cyber Security

Cyberangriff auf ein Spital – Zwischen IT-Sicherheit und Strafverfolgung

A DNS firewall intervenes where a cyberattack begins. But how do you decide what the firewall should and should not block?
Cyber Security

Switch DNS Firewall – «A lot of bang for the buck»

Lecturers upload their educational resources with an open licence to the central exchange platform 'Switch OER'.
Corporate

Eine offene Bildung für die Schweiz

2024 Cyber study: IT security in Swiss SMEs, IT service companies and the Swiss population.
Cyber Security

Bevölkerung und KMU unterschätzen Cyberrisiken