Geht es in Archiven, Bibliotheken, Museen und anderen kulturbewahrenden Einrichtungen um Schutz und Sicherheit, denkt meist im Zentrum, dass keine wertvollen und oft einzigartigen Kulturgüter durch Diebstahl, Einbruch oder Raub abhandenkommen. Nicht selten aber geht es den Tätern „nur“ um Geld, Informationen, Zugriff auf Infrastruktur oder um Daten- und Identitätsdiebstahl.
Der Mensch wird gehackt, nicht die Technik
Alltägliche Situationen: Der Buchhaltung einer Bibliothek teilt Kollegin x per E-Mail mit, sie habe eine neue Bankverbindung, auf die ab dem kommenden Monat das Gehalt zu überweisen sei. Die neuen Daten werden übernommen, aber das Gehalt geht nicht an die Kollegin, sondern an ein Konto, von dem die Betroffene nichts weiß.
Oder: Da im Museum durch verschiedene Gewerke gebaut wird, fällt die Rechnung für Ersatzteile der Gebäudeleittechnik nicht auf, sondern sie wird zeitnah beglichen. Erst im Nachhinein zeigt sich, dass die bezahlten Leistungen weder bestellt, noch geliefert worden sind.
Die Ereignisse hängen nicht zusammen, aber in beiden Fällen haben die Täter im Vorfeld die Einrichtungen ausgespäht, Abläufe ausgewertet und Wissen abgeschöpft, um daraus plausibel klingende Betrugsmaschen zu entwickeln. Manche dafür notwendigen Informationen gewinnen die Täter aus Beobachtung, andere durch die Öffentlichkeitsarbeit der Einrichtung selbst und andere wiederum durch unverfänglichen Austausch mit Mitarbeiter/innen des betroffenen Hauses. Letztere Methode gehört zum sog. Social Engineering (engl. „angewandte Sozialwissenschaft“), wobei Personen beeinflusst, getäuscht bzw. manipuliert werden, um sie zu unüberlegten Handlungen zu bewegen, um bestimmte Verhaltensweisen hervorzurufen oder um ihnen vertrauliche Informationen zu entlocken. Vertrauen, Autorität, Hilfsbereitschaft oder Neugier werden genutzt, um Sicherheitsmaßnahmen zu umgehen, oft als Vorstufe für Cyberangriffe. Social Engineering zielt darauf ab, menschliche Schwächen auszunutzen, anstatt technische Sicherheitslücken direkt zu hacken. Dabei nutzen Täter tiefsitzende menschliche Dispositionen und Bedürfnisse aus, um ihre Ziele zu erreichen – etwa den Wunsch, anderen Menschen schnell und unbürokratisch zu helfen.
Schätzungen zufolge belief sich 2025 alleine in Deutschland die Schadenssumme durch Social Engineering bei Privatpersonen und Unternehmen auf mehr als 250 Milliarden Euro, wobei diese Methode als Haupteinfallstor für Cyberangriffe gilt. Laut Allianz Trade haben sich 2025 die Schäden bei Unternehmen um 60 Prozent erhöht.
„Jede Kette ist nur so stark wie ihr schwächstes Glied“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: „Beim Thema Cyber-Sicherheit geht es nicht allein um Computersysteme und Netzwerke. Mindestens ebenso wichtig sind die Nutzerinnen und Nutzer dieser Technologien: der Mensch mit all seinen Stärken und Schwächen. Beim Social Engineering nutzen Angreifer den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, um ihre kriminellen Absichten zu verwirklichen. (…) Vergleichbar mit dem Trickbetrug an der Haustür setzen auch Cyber-Kriminelle im Internet auf die Vortäuschung einer persönlichen Beziehung zum Opfer oder machen Gewinnversprechen. Viele weitere Varianten dieser „Social Engineering“ genannten Vorgehensweise sind denkbar und werden eingesetzt.“ (Anm. 1)
Studien zufolge gehen mehr als 90 Prozent aller Sicherheitsverletzungen in der Cybersecurity auf menschliches Fehlverhalten zurück, da Menschen sich schwer damit tun, Angriffe als solche zu erkennen. Die Einfallstore sind zahlreich, darunter Browser-Hijacking, Pharming, Vishing & Smishing und Keylogging. (Anm. 2) Die offenbar mit Abstand häufigste Form des Social-Engineerings ist das sog. Phishing, das u.a. mit gefälschten Webseiten und E-Mails arbeitet, um an bestimmte Daten und Informationen zu gelangen. Tatsächlich aber sind die Grenzen zwischen Social Engineering und Phishing durchlässig, da beide Methoden miteinander Hand in Hand gehen.
Wie und woran kann man Social Engineering erkennen?
Klar ist, dass die Täter ihre Methoden immer wieder überarbeiten und anpassen. Einen diesbezüglichen Stillstand wird es wohl nie geben. Aber: „Ein Hauptmerkmal von Social Engineering ist das Anspielen auf Ängste und Emotionen eines Nutzers. Der Angreifer will verhindern, dass der Nutzer genauer über die Anfrage nachdenkt und versucht deshalb, Angst und ein Gefühl der Dringlichkeit hervorzurufen.“ Hier einige Beispiele und Merkmale von Social-Engineering-Attacken: Erhöhte Emotionen (z.B. Verlust eines Accounts droht), gespoofte (gefälschte) Absenderadresse, ungewöhnliche Freundschaftsanfragen (z.B. kompromittierte und schädliche Spam), Catfishing (gefälschte Identitäten), unprofessionelle Website-Links, „Zu gut, um wahr zu sein“ (Versprechen von Geld), Weigerung, auf Fragen zu antworten oder ein nicht identifizierbarer Absender. (Anm. 3)
Wie kann man sich gegen Social Engineering schützen?
Um das Risiko von Social-Engineering-Betrügereien zu mindern, empfiehlt das BSI in jedem Fall die folgenden Grundregeln:
• „Gehen Sie verantwortungsvoll mit Sozialen Netzwerken um. Überlegen Sie genau, welche persönlichen Informationen Sie dort offenlegen, da diese von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden können.
• Geben Sie in privaten und beruflichen Sozialen Netzwerken keine vertraulichen Informationen über Ihren Arbeitgeber und Ihre Arbeit preis.
• Teilen Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit. Banken und seriöse Firmen fordern ihre Kunden nie per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf.
• Lassen Sie bei E-Mails von unbekannten Absendern besondere Vorsicht walten: Sollte auch nur ansatzweise der Verdacht bestehen, dass es sich um einen Angriffsversuch handeln könnte, reagieren Sie im Zweifelsfall besser überhaupt nicht. Wenn es sich um falschen Alarm handelt, wird sich ein Absender ggf. noch über einen anderen Kanal bei Ihnen melden. Nehmen Sie sich Zeit für den 3-Sekunden-Sicherheits-Check.
• Sollte eine Reaktion zwingend erforderlich sein, vergewissern Sie sich durch einen Anruf bei der Absenderin oder dem Absender, dass es sich um eine legitime E-Mail handelt.“ (Anm. 4)
Checks und Schulungen sind weitere Optionen
Unter Experten ist es nicht die Frage, ob man Opfer einer Cyber-Attacke wird, sondern nur, wann dieser Fall eintreten wird. Umso wichtiger ist die Prävention.
Ein Verfahren, um die Sicherheit der IT-Systeme zu verbessern, kann der sog. Penetrationstest (Pentest) sei, bei dem die eigenen Systeme einem simulierten Cyber-Angriff ausgesetzt werden. Auf diese Weise können Sicherheitsexperten (ethische Hacker) Schwachstellen identifizieren, bevor echte Angreifer diese ausnutzen. Ein Pentest dient der Analyse von Sicherheitslücken in Netzwerken, Anwendungen oder Cloud-Systemen und erhöht die Sicherheit durch gezielte Empfehlungen. Da aber im Umfeld des Social Engineerings der Mensch als das schwächste Glied in der Sicherheitskette angegriffen wird, stellt die sog. Human-Centric Security das Verhalten von Menschen in den Mittelpunkt der Sicherheitsstrategie und fokussiert sich nicht so sehr auf Netzwerke, Endgeräte oder Anwendungen. Ziel dieser Strategie ist es, Mitarbeiter und Daten zuverlässig zu schützen, die Systeme zu stärken und sichere Verhaltensweisen durch gezielte Aufklärung zu fördern. Hier sind sog. Awareness-Schulungen (Security Awareness Trainings) ein probates Instrument. Dabei wird das Personal für Cyberrisiken wie Phishing, Social Engineering und Datenschutzverletzungen sensibilisiert. Über reine Compliance-Checklisten hinaus schärfen E-Learnings, Simulationen und Workshops das Bewusstsein für Sicherheitsbedrohungen. Risikoadaptive Trainingsplattformen, die in den täglichen Arbeitsalltag integriert sein können, bieten in risikobehafteten Momenten – etwa beim Anklicken verdächtiger Links – kurze Lerneinheiten (Mikro-Lektionen), um sicheres Verhalten gezielt zu fördern. Ziel ist es, die Anfälligkeit der Mitarbeiter/innen gegenüber Social-Engineering-Angriffen zu senken, sodass der „Faktor Mensch“ vom Sicherheitsrisiko zu einem Bollwerk der Verteidigungslinie werden kann.
Last but not least: Was hat man aus den Machenschaften rund um die gefälschten Bankdaten in der oben genannten Bibliothek gelernt? Dort werden vertrauliche Informationen innerhalb des Hauses seither wieder als Umschlagbrief in Papierform weitergegeben.
Berthold Schmitt, Herausgeber der Fachzeitschrift KulturBetrieb
Anm. 1: Social Engineering – der Mensch als Schwachstelle, in: Bundesamt für Sicherheit in der Informationstechnik, Quelle: www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html; Abfrage: 18.02.2026
Anm. 2: Vgl. Berthold Schmitt, Was macht eigentlich Ihr Business Continuity Management? Kulturbetriebe sollten sich wappnen, bevor sie gehackt werden, in: KulturBetrieb, eins 2024, S. 56-58.
Anm. 3: Was ist Social Engineering?, in: Proofpoint, Quelle: www.proofpoint.com/de/threat-reference/social-engineering; Abfrage: 18.02.2026
Anm. 4: Social Engineering – der Mensch als Schwachstelle, a.a.O.
Dieser Beitrag wurde erstmals publiziert in KulturBetrieb, 2026, S. 52-53.
