27. Mai 2025 Wolfgang Franz

„Vertrauen ist die größte Schwachstelle“: Warum Social Engineering so gefährlich ist

Social Engineering gilt als eine der perfidesten Angriffsformen – nicht wegen technischer Raffinesse, sondern weil es den Menschen ins Visier nimmt. ITWelt.at sprach mit Florian Jira, Geschäftsführer von Infinigate Österreich und bekannt als „Mr. Security“, über menschliche Schwächen, KI-gestützte Täuschung – und warum IT-Reseller beim Thema Awareness mehr Verantwortung übernehmen müssen. [...]

Florian Jira, Geschäftsführer von Infinigate Österreich (c) Wolfgang Franz
Florian Jira, Geschäftsführer von Infinigate Österreich (c) Wolfgang Franz

Was unterscheidet einen Value-Added-Distributor wie Infinigate von klassischen Broadline-Distributoren, und welchen Mehrwert bietet das den Partnern?

Im Gegensatz zur Broadline-Distribution, die stark auf Volumen, Geschwindigkeit und klassische Großhandelslogik setzt, liegt unser Fokus auf der Kombination aus Produkt und Dienstleistung. Es geht nicht nur darum, die richtige Lösung zur richtigen Zeit am richtigen Ort bereitzustellen, sondern auch um die intensive inhaltliche Begleitung unserer Partner.

Die beratende Rolle fassen wir mit dem Begriff „Trusted Advisor“ zusammen. Unsere Partner profitieren davon, dass wir nicht nur geeignete Technologien identifizieren, sondern auch bei der technischen Umsetzung unterstützen. Darüber hinaus schulen wir deren Mitarbeitende, damit sie die Lösungen eigenständig erklären, implementieren und langfristig betreuen können. Dieser ganzheitliche Ansatz hebt uns von der klassischen Distribution ab und schafft echten Mehrwert für unsere Partner.

Warum gilt Social Engineering als eine der gefährlichsten Angriffsformen in der heutigen IT-Sicherheitslandschaft?

Was Social Engineering so perfide macht, ist die Tatsache, dass jeder Mensch individuell reagiert – es gibt keine einheitliche Schutzlösung gegen menschliches Fehlverhalten. Die Angriffsmethoden nutzen psychologische Schwächen wie Hilfsbereitschaft, Angst oder Autoritätsgläubigkeit aus. Und selbst geschulte Personen sind nicht davor gefeit, im entscheidenden Moment eine falsche Entscheidung zu treffen. Genau deshalb stellt Social Engineering eine besonders schwer zu kontrollierende Bedrohung dar.

Neben dem bekannten Phishing: Welche weiteren Formen des Social Engineerings sollten Unternehmen auf dem Radar haben – insbesondere jene, die weniger offensichtlich, aber nicht weniger gefährlich sind?

Phishing ist sicherlich die bekannteste Form von Social Engineering. Wesentlich raffinierter ist das sogenannte Spear-Phishing. Hier steht nicht die Masse im Vordergrund, sondern gezielte Vorbereitung. Der Angreifer weiß bereits sehr genau, wen er adressiert – oft durch Informationen, die im Vorfeld über soziale Netzwerke oder aus dem Darknet beschafft wurden. Das kann so weit gehen, dass die E-Mail täuschend echt auf eine individuelle Alltagssituation abgestimmt ist – etwa die Nachricht über ein Paket, das man tatsächlich erwartet. Gepaart mit zeitlichem Druck oder emotionaler Manipulation erhöht sich die Erfolgswahrscheinlichkeit erheblich.

Eine weitere, häufig unterschätzte Methode ist das sogenannte „Man-in-the-Middle“-Verfahren. Dabei platzieren sich Angreifer unbemerkt zwischen zwei Kommunikationspartnern – etwa zwischen einem Unternehmen und einem Geschäftspartner. Dieser gezielte Eingriff in bestehende Geschäftsprozesse ist für Unternehmen besonders gefährlich. Nicht nur wegen des finanziellen Schadens, sondern auch, weil in der Nachbearbeitung oft unklar ist, wer letztlich verantwortlich ist oder wer für den Verlust haftet. Das Thema Verantwortung und Haftung wird in diesem Zusammenhang künftig sicherlich noch an Bedeutung gewinnen.

Wie verändert künstliche Intelligenz das Gefahrenpotenzial von Social Engineering – und warum wird es zunehmend schwieriger, selbst für Profis, Angriffe rechtzeitig zu erkennen?

KI hat direkte Auswirkungen auf die Bedrohungslage: Die Hürde für Cyberkriminelle ist deutlich gesunken, während die Erkennung von Angriffen mit KI-Unterstützung gleichzeitig immer schwieriger wird. Niemand kann sich mehr in Sicherheit wiegen – auch Fachleute aus der Branche nicht. Umso wichtiger ist es, die eigene Awareness kontinuierlich zu schärfen, aktuelle Betrugsstrategien zu kennen und technische sowie organisatorische Schutzmaßnahmen regelmäßig zu überprüfen.

Gibt es Zielgruppen innerhalb von Unternehmen, die besonders anfällig für Social Engineering sind?

Ein weitverbreiteter Irrglaube ist, dass sich Social-Engineering-Angriffe ausschließlich auf hochrangige Entscheidungsträger oder technische Administratoren konzentrieren. Zwar sind deren Zugangsdaten für Angreifer zweifellos besonders wertvoll, doch gerade diese Personen sind in der Regel gut geschult und entsprechend vorsichtig im Umgang mit sensiblen Informationen. Das macht sie zwar nicht unangreifbar, aber schwerer zu täuschen.

Cyberkriminelle denken in solchen Fällen strategisch und weichen gezielt auf weniger offensichtliche Angriffspunkte aus – etwa auf Mitarbeitende aus der Buchhaltung, der Personalabteilung, dem Marketing oder auch auf administrative Assistenzen. Diese Personen stehen oft in engem Kontakt mit Schlüsselrollen im Unternehmen, sind aber deutlich seltener auf solche Szenarien vorbereitet oder durch spezielle Security-Trainings geschult.

Das zeigt: Nicht nur die prominenten Rollen im Unternehmen sind gefährdet, sondern die gesamte interne Kommunikationskette. Die Sicherheitsstrategie darf deshalb nicht nur auf einzelne „kritische“ Positionen abzielen, sondern muss flächendeckend greifen. Social Engineering nutzt genau jene Lücken, die durch ungleiche Sicherheitswahrnehmung entstehen – und trifft letztlich dort, wo es am wenigsten erwartet wird.

Ist Social Engineering über vermeintlich weniger kritische Partner vergleichbar mit Angriffen auf die Lieferkette – und warum sind gerade kleine Unternehmen ein attraktives Einfallstor für Cyberkriminelle?

Der Vergleich mit der Lieferkette trifft es sehr genau. Angreifer setzen gezielt bei Zulieferern oder Dienstleistern an, die in puncto Sicherheitsniveau oft nicht mithalten können. Über diese Umwege – scheinbar harmlose Partnerunternehmen – versuchen sie, sich Zugang zu vertraulichen Systemen oder Informationen der großen Organisation zu verschaffen. Entscheidend dabei ist, dass die Verbindung nach außen hin vertrauenswürdig wirkt. Denn Vertrauen ist die zentrale Schwachstelle, die beim Social Engineering ausgenutzt wird – unabhängig davon, ob es im digitalen Raum oder bei einem persönlichen Gespräch entsteht.

Ein funktionierender Angriff basiert fast immer auf dem Aufbau eines solchen Vertrauensverhältnisses. Das kann auf einer Netzwerkveranstaltung beginnen, über eine gut gepflegte Social-Media-Identität weitergeführt werden und letztlich im gezielten Missbrauch dieses Vertrauens enden. Genau deshalb fordern große Unternehmen heute vermehrt Sicherheitsnachweise von ihren Partnern – etwa durch ISO-Zertifizierungen oder die Erfüllung der NIS-Richtlinien. Diese Anforderungen sind keine bloßen bürokratischen Hürden, sondern praxisnahe Leitplanken, die helfen, Sicherheitsstandards entlang der gesamten Wertschöpfungskette zu etablieren.

Denn in einer digital vernetzten Welt ist niemand isoliert. Der Schutz der eigenen Systeme beginnt längst nicht mehr nur im eigenen Haus, sondern setzt voraus, dass auch das erweiterte Partnernetzwerk ein Mindestmaß an Sicherheit gewährleisten kann. Vertrauen bleibt eine Grundvoraussetzung für funktionierende Geschäftsbeziehungen – aber gerade deshalb ist es auch das, was Angreifer gezielt untergraben.

Wer trägt die Verantwortung für IT-Sicherheit? Kann man sie vollständig an ein Systemhaus oder einen IT-Partner auslagern, oder liegt die Pflicht zur Absicherung letztlich doch beim Unternehmen selbst?

Die Verantwortung für IT-Sicherheit lässt sich nicht vollständig auf ein Systemhaus oder einen externen IT-Partner übertragen – rechtlich nicht und auch nicht in der Praxis. Natürlich darf man als Unternehmen erwarten, dass ein IT-Dienstleister seine Aufgaben kompetent erfüllt. Dazu gehört auch, dass er nicht nur technische Lösungen liefert, sondern seine Kunden umfassend über Sicherheitsrisiken aufklärt. In gewisser Weise besteht also eine Aufklärungs- und Beratungspflicht – gerade weil das Vertrauen in die Kompetenz des Partners hoch ist.

In der Praxis bieten viele Reseller – etwa auch über Distributoren wie Infinigate – strukturierte Awareness-Trainings an. Diese bestehen aus mehreren Stufen: In einer ersten Phase wird grundlegendes Wissen vermittelt, etwa zur Erkennung von Phishing-Mails oder gefährlichen Dateianhängen. In einer zweiten Phase folgen simulierte Angriffe, bei denen getestet wird, wie gut die Mitarbeitenden auf solche Situationen reagieren. Und in einer dritten Phase wird mit Nachschulungen gezielt dort angesetzt, wo noch Unsicherheiten bestehen – vergleichbar mit Nachschulungen im Straßenverkehr. Ziel ist es, nachhaltiges Sicherheitsbewusstsein zu schaffen.

Die bittere Realität ist: Viele Unternehmen erkennen den Wert präventiver Maßnahmen erst, wenn sie selbst betroffen sind. Umso wichtiger ist es, Sicherheit als gemeinsamen Prozess zu verstehen. Der IT-Partner kann und soll unterstützen – aber die Verantwortung liegt immer auch beim Unternehmen selbst.

Können Cyberversicherungen Unternehmen tatsächlich vor den Folgen eines Social-Engineering-Angriffs schützen – und was ist dabei zu beachten?

Cyberversicherungen können grundsätzlich eine wertvolle Absicherung gegen die finanziellen Folgen von IT-Sicherheitsvorfällen sein – auch im Fall von Social Engineering. Aber sie sind kein Freifahrtschein. Denn ob eine Versicherung im Ernstfall zahlt, hängt stark davon ab, wie gut ein Unternehmen im Vorfeld organisatorisch und technisch aufgestellt ist.

Gleichzeitig gilt: Eine Cyberversicherung ersetzt keine funktionierende IT-Sicherheitsarchitektur und auch keine Awareness-Maßnahmen. Vielmehr wird heute sogar vorausgesetzt, dass Unternehmen grundlegende Sicherheitsmaßnahmen wie Patch-Management, Firewalls, Zugriffsrichtlinien und eben auch Awareness-Schulungen nachweisen können. Fehlt es daran, riskieren Versicherte im Schadensfall den Versicherungsschutz – insbesondere dann, wenn grobe Fahrlässigkeit im Spiel ist.

Die Empfehlung lautet daher: Ja, eine Cyberversicherung kann sich lohnen – aber nur, wenn sie als Teil eines ganzheitlichen Sicherheitskonzepts verstanden wird. Wer einfach nur eine Police abschließt, ohne technische und organisatorische Vorkehrungen zu treffen, zahlt im schlimmsten Fall doppelt: erst die Prämie und dann den Schaden selbst. Awareness-Schulungen gehören dabei zu den zentralen Elementen – nicht nur zur Risikominimierung, sondern auch, um die Bedingungen der Versicherung überhaupt erfüllen zu können.

Wie gut sind heimische IT-Reseller beim Thema Security-Awareness aufgestellt – und ist das bereits ein ernsthaftes Geschäftsfeld oder noch ein unterschätzter Bereich?

Awareness wird im österreichischen IT-Channel zunehmend erkannt, ist aber im Vergleich zu klassischen Kerndienstleistungen wie der Lieferung und Implementierung von Hard- und Software noch ein relativ junges Geschäftsfeld. Viele Reseller konzentrieren sich weiterhin stark auf die technische Seite – was durchaus verständlich ist, denn hier liegt traditionell ihre Kernkompetenz. Doch genau darin liegt auch die Herausforderung: Awareness erfordert andere Formate, kontinuierliche Betreuung und eine hohe Anpassungsfähigkeit an neue Bedrohungsszenarien.

Das österreichische IT-Reseller-Umfeld ist stark, kompetent und in der Lage, hochwertige Leistungen zu erbringen. Gerade deshalb wäre es wünschenswert, wenn das Thema Awareness noch stärker forciert würde. Es ist nicht nur ein Gebot der Stunde – es ist auch ein Geschäftsmodell mit Zukunft.

Welche Unterstützung bietet Infinigate IT-Resellern im Bereich Security-Awareness – und was erwartet Teilnehmende beim geplanten Webinar am 16. Juni?

Infinigate versteht sich auch im Bereich Security-Awareness als strategischer Partner und Trusted Advisor für IT-Reseller. Wir begleiten unsere Partner nicht nur bei der Auswahl technischer Lösungen, sondern auch bei der inhaltlichen und praktischen Umsetzung von Awareness-Maßnahmen. Das Thema ist hochdynamisch, die Anforderungen und Bedrohungsszenarien verändern sich laufend – entsprechend groß ist der Informationsbedarf aufseiten der Reseller. Und genau hier setzen wir an.

Am 16. Juni veranstalten wir dazu ein spezielles Webinar, das gezielt auf die Bedürfnisse von Resellern eingeht. Im Mittelpunkt steht dabei die Frage, wie moderne Awareness-Tools funktionieren, wie sie im Unternehmensalltag implementiert werden können und worauf es bei der Auswahl der passenden Lösung ankommt. Wir geben einen Überblick über die verfügbaren Angebote, zeigen Unterschiede in Qualität und Funktionalität auf und erläutern, was eine gute Lösung von einer weniger geeigneten unterscheidet. Ein besonderer Fokus liegt auf der langfristigen Wirkung: Awareness darf kein einmaliger Impuls sein, sondern muss regelmäßig trainiert werden, um effektiv zu bleiben.

Ein weiterer Aspekt des Webinars ist die konkrete Unterstützung, die wir unseren Partnern bieten – etwa bei der Erstimplementierung, bei Pilotprojekten oder auch bei der Argumentation gegenüber dem Endkunden. Die Einstiegshürden sind in der Regel niedrig, viele Tools lassen sich schnell und unkompliziert integrieren. Wir zeigen praxisnah, wie das funktioniert.

Das Webinar richtet sich an alle, die Awareness nicht nur als Pflicht sehen, sondern als Chance, ihre Kundenbeziehungen zu vertiefen und zusätzliche Mehrwerte zu schaffen. Denn wer Sicherheit vermittelt, verkauft nicht nur ein Produkt – er stärkt Vertrauen und langfristige Partnerschaft.

Was steckt hinter dem Titel „Mr. Security“ – und wie kam es dazu, dass Sie sich nicht nur als Geschäftsführer, sondern auch als Botschafter für IT-Sicherheit positionieren?

Der Titel „Mr. Security“ ist kein Etikett, das man sich selbst verleiht, sondern etwas, das sich über viele Jahre entwickelt hat – durch Erfahrung, Engagement und ein tiefes Verständnis für die Branche. Ich werde tatsächlich oft nach der Kappe gefragt, aber die Wahrheit ist: Mr. Security ist weniger ein Outfit, sondern vielmehr eine Haltung. Es ist eine Berufung, keine Rolle, die man einfach spielt.

In meinen Videos spreche ich über aktuelle Herausforderungen, über typische Angriffsformen, über Trends – und über das, was Unternehmen heute tun müssen, um sich abzusichern. Ich sehe mich dabei als eine Art Türöffner: Wer durch meine Inhalte erkennt, dass er betroffen sein könnte, hat den entscheidenden ersten Schritt gemacht. Der zweite Schritt sollte dann unbedingt der Gang zum Profi sein – zu den Resellern und IT-Dienstleistern, die das nötige technische Know-how mitbringen, um wirkungsvoll zu schützen.

Mr. Security ist also auch ein Beitrag zur Stärkung der heimischen IT-Branche. Denn die Kompetenz, die es für echte Sicherheit braucht, ist im Land vorhanden – sie muss nur sichtbar gemacht und zielgerichtet eingesetzt werden. Wenn ich dazu beitragen kann, dann hat sich der Titel gelohnt.

Wird es irgendwann eine IT-Security geben, in der der Mensch keine Rolle mehr spielt – ein vollständig automatisiertes System, das uns alle Risiken abnimmt?

Kurz- und mittelfristig sicher nicht. Solange der Mensch mit der digitalen Welt interagiert – beruflich wie privat –, bleibt er ein unverzichtbarer Teil des Systems. Und damit bleibt auch der menschliche Faktor eine potenzielle Schwachstelle. Nicht aus Böswilligkeit oder Unwissenheit, sondern einfach, weil wir Menschen eben unberechenbar sind. Wir handeln situativ, emotional, manchmal irrational – und genau das macht uns auch sympathisch. Aber es bedeutet eben auch, dass wir Fehler machen. Fehler, die sich automatisiert nicht immer vorhersagen oder abfangen lassen.

Awareness bleibt deshalb essenziell. Systeme werden besser, künstliche Intelligenz hilft uns heute schon dabei, Bedrohungen frühzeitig zu erkennen, aber sie kann menschliches Urteilsvermögen nicht vollständig ersetzen. Im Gegenteil: Gerade weil Systeme immer komplexer werden, braucht es Menschen, die verstehen, wie sie funktionieren – und wo ihre Grenzen liegen.

Fest steht: Heute – und auf absehbare Zeit – bleibt der Mensch der entscheidende Faktor in der IT-Sicherheit. Gut geschult, aufmerksam und eingebunden in ein intelligentes System aus Technik und Prozessen. Das ist nicht nur die realistischste, sondern auch die verantwortungsvollste Perspektive auf das Thema.

Das Webinar am 16. Juni ist eine großartige Gelegenheit, noch tiefer in das Thema einzusteigen.

Im Webinar „Social Engineerung, das lukrativste Geschäftsmodell der Welt“ zeigen Immanuel Bär, einer der renommiertesten Ethical Hacker Deutschlands, und Torben Hochmayr von Hornetsecurity, wie Social Engineering funktioniert – und wie IT-Systemhäuser sich und ihre Kunden schützen können.

Interessierte Reseller können sich zum Webinar am 16. Juni kostenfrei anmelden und lernen, wie sie aus der größten Schwachstelle im Unternehmen eine starke Verteidigungslinie machen: den Menschen.


Mehr Artikel

News

EncryptHub nutzt ChatGPT und enttarnt sich durch OPSEC-Fehler

13. Juni 2025

KI-Technologien eröffnen völlig neue Möglichkeiten. Gleichzeitig geraten diese Werkzeuge jedoch auch verstärkt ins Visier von Cyberkriminellen. Sie nutzen KI nicht nur zur Automatisierung technischer Angriffe, sondern auch zur Verschleierung ihrer Spuren oder für soziale Manipulation. Der Grat zwischen innovativer Technologie und kriminellem Missbrauch ist schmal – und mitunter fatal für die Täter selbst. […]

Kommentar

Grünes Reisen beginnt im Rechenzentrum

13. Juni 2025

Die Sommerzeit steht vor der Tür und die meisten Urlaube sind gebucht. Doch was sich im Hintergrund abspielt, bis die finale Urlaubsbuchung steht, bleibt für Externe ungesehen: Online-Suchen, Buchungs-Engines sowie Echtzeit-Empfehlungen, um nur ein paar Beispiele zu nennen. All diese Tätigkeiten finden online statt. Das kostet neben Energie- auch eine enorme Rechenleistung. Und das beginnt im Rechenzentrum. […]

News

Ständig erreichbar für den Job? Eine App setzt Grenzen

13. Juni 2025

Unternehmen stehen vor der Herausforderung, Kommunikation klar zu regeln und Grenzen zu ziehen. Digitale Technologien können dabei helfen, Erreichbarkeit gezielt zu steuern – etwa durch Apps und Zeitfensterregelungen. Gleichzeitig lassen sich so Datenschutzprobleme vermeiden, die durch die Nutzung privater Geräte im Berufsalltag entstehen. […]

News

Warum sichere Kommunikation der nächste Schritt für das österreichische Gesundheitswesen ist

13. Juni 2025

Das österreichische Gesundheitssystem steht am Anfang eines wichtigen Wandels. Seit Beginn des Jahres ist die Nutzung von Faxgeräten zur Übermittlung von Patientendaten verboten. Damit soll nicht nur der Datenschutz verbessert, sondern auch die Modernisierung der digitalen Infrastruktur vorangetrieben werden. Doch die Umstellung hat gezeigt, wie groß der Handlungsbedarf bei der sicheren Kommunikation ist. […]

News

Cybersicherheit: Die Rolle der Governance in dezentralisierten Unternehmen

12. Juni 2025 Uwe Gries *

In der schnelllebigen digitalen Welt ist die Business-Transformation – also die umfassende Veränderung von Geschäftsmodellen, Prozessen und Technologien – zu einem integralen Bestandteil der Unternehmensentwicklung geworden. Was oft als Notwendigkeit für Wachstum und Wettbewerbsfähigkeit angesehen wird, birgt jedoch auch eine Kehrseite: Sie verändert das Cybersicherheitsgefüge grundlegend und schafft neue, komplexe Herausforderungen. […]

News

Die wichtigsten Qualitätskriterien für Managed Service Provider

12. Juni 2025

IT-Technologie wird für Unternehmen als Wettbewerbsfaktor immer wichtiger. Doch die internen IT-Ressourcen sind zunehmend damit überlastet, die steigenden Anforderungen bei einem stetig knapper werdenden Talentpool zu bewältigen. Die digitale Transformation bleibt dabei oftmals stecken. Diese kritische Situation macht es notwendig, externe Alternativen zu prüfen. Eine strategische Partnerschaft im Rahmen von Managed Services gilt dabei als beste Lösung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*