Security Awareness bezeichnet das Wissen, die Einstellung und das tatsächliche Verhalten von Mitarbeitern gegenüber Informationssicherheit. Echte Awareness geht ueber Wissensvermittlung hinaus — sie veraendert Verhalten in realen Stresssituationen nachweislich. NIS2 und NISG 2026 verlangen regelmaessige, nachweisbare Awareness-Maßnahmen. Awareness die nicht gemessen und regelmaessig erneuert wird, verfaellt.
Art. 21 der NIS2-Richtlinie (EU) 2022/2555 verpflichtet wesentliche und wichtige Einrichtungen zu angemessenen technischen, operativen und organisatorischen Risikomanagement-Maßnahmen. Dazu zählt ausdrücklich Schulung im Bereich Cybersicherheit und Cyberhygiene für Mitarbeiter — der Human-Faktor ist damit kein optionales Add-on, sondern gesetzlich verankert.
Beim Baiting wird dem Opfer ein verlockendes Angebot präsentiert — ein USB-Stick mit der Aufschrift 'Gehaltstabelle 2024' im Pausenraum, ein Download-Link fuer kostenlose Software, oder ein 'Sie haben gewonnen'-Popup. Das Ziel: natuerliche Neugier oder Gier ausnutzen um Schadsoftware einzuschleusen oder Zugangsdaten zu stehlen.
BEC-Angriffe kompromittieren oder faelschen E-Mail-Adressen von Fuehrungskraeften um Mitarbeiter zu dringenden Aktionen zu verleiten — meist Überweisungen oder Datenweitergabe. Laut FBI ist BEC die finanziell schaedlichste Cyberkrimininalitaetsform mit weltweiten Schaeden von ueber 50 Milliarden Dollar.
Der IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein Vorgehensmodell zum Aufbau eines Informationssicherheits-Managementsystems (ISMS). In Österreich übernehmen vergleichbare Funktionen ISO/IEC 27001 sowie sektorspezifische Vorgaben — der IT-Grundschutz dient häufig als methodische Referenz, auch wenn er keine unmittelbare Rechtsverbindlichkeit in Österreich hat.
CEO Fraud ist eine Unterform von BEC bei der explizit die Identitaet des Geschaeftsfuehrers imitiert wird. Angreifer nutzen OSINT um authentisch wirkende Kommunikation zu erzeugen. AI-generierte Stimm- und Video-Deepfakes haben diese Angriffe drastisch skalierbarer gemacht.
Credential Stuffing verwendet geleakte Benutzername-Passwort-Kombinationen aus frueheren Datenpannen um sich automatisiert bei anderen Diensten anzumelden. Da viele Menschen dasselbe Passwort fuer mehrere Dienste verwenden, ist die Erfolgsquote erschreckend hoch.
Eine Clean Desk Policy verpflichtet Mitarbeiter, sensible Unterlagen, Notizen und Zugangsdaten nicht offen am Arbeitsplatz liegen zu lassen. Sie ist eine einfache, aber häufig vernachlässigte organisatorische Maßnahme — handschriftliche Passwörter an Monitoren oder offene Verträge im Besprechungsraum sind in unautorisierten Audits eines der häufigsten Findings.
Die Verordnung (EU) 2024/2847 (Cyber Resilience Act) verpflichtet Hersteller, Importeure und Händler von Produkten mit digitalen Elementen zu verbindlichen Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus. Sie ergänzt NIS2 und gilt unmittelbar als Verordnung — ohne nationale Umsetzung. Meldepflichten für aktiv ausgenutzte Schwachstellen gelten ab 11. September 2026, vollständige Anforderungen ab 11. Dezember 2027.
Darkweb Exposure bezeichnet das Vorhandensein von Unternehmensdaten — E-Mail-Adressen, Passwoerter, interne Dokumente — in Darkweb-Foren oder Leak-Plattformen. Diese Daten stammen oft aus frueheren Datenpannen bei Drittanbietern und werden aktiv fuer gezielte Angriffe genutzt. Die meisten Unternehmen wissen nicht, was von ihnen geleakt wurde.
Deepfakes nutzen KI-generierte Audio- oder Videoinhalte, um die Stimme oder das Erscheinungsbild einer realen Person — meist einer Führungskraft — täuschend echt zu imitieren. Voice Cloning benötigt mittlerweile nur wenige Sekunden Originalaudio, etwa aus einem öffentlich verfügbaren Interview oder Konferenzvideo, um eine überzeugende Stimmkopie zu erzeugen. Die Technologie macht klassisches CEO Fraud per Telefon erheblich glaubwürdiger.
Beim Dumpster Diving durchsucht ein Angreifer Müll- oder Altpapiercontainer eines Unternehmens nach verwertbaren Informationen — interne Memos, Organigramme, Rechnungen, ausgedruckte E-Mails mit Namen und Strukturen. Diese Informationen liefern wertvollen Kontext für nachfolgende Pretexting- oder Phishing-Angriffe und kosten den Angreifer nichts außer Zeit.
Die Verordnung (EU) 2022/2554 (DORA) reguliert IKT-Risikomanagement für Banken, Versicherungen und Finanzdienstleister EU-weit unmittelbar. DORA ist lex specialis zur NIS2-Richtlinie — wo DORA gilt, verdrängt sie die allgemeinen NIS2-Vorgaben, um Doppelregulierung zu vermeiden. Meldepflichten sind mit einer Erstmeldefrist von 4 Stunden deutlich strenger als die 24-Stunden-Frist der NIS2. Anwendbar seit 17. Januar 2025.
Human Risk bezeichnet das Gesamtrisiko das durch das Verhalten, die Entscheidungen und die Fehler von Mitarbeitern entsteht. Es laesst sich nicht durch Software-Patches beheben — es erfordert Verhaltensveraenderung, Schulung und kontinuierliche Messung. Human Risk ist der am häufigsten unterschaetzte Faktor in modernen Sicherheitsstrategien.
Bei einem Honeytrap-Angriff baut der Angreifer eine vermeintlich romantische oder freundschaftliche Beziehung zum Ziel auf — online oder persönlich — um über Vertrauen sukzessive an sensible Informationen oder Zugänge zu gelangen. Die Methode wird klassisch in der Spionage eingesetzt, kommt aber auch im Unternehmenskontext vor, etwa über gefälschte Social-Media-Profile.
Identity Spoofing bezeichnet das gezielte Vortäuschen einer fremden Identitaet um Vertrauen zu erschleichen. Das kann technisch (gefaelschte E-Mail-Absender, geklonte Websites) oder auf menschlicher Ebene (als Techniker, Behoerdenvertreter oder Kollege ausgeben) stattfinden. Es ist die Basis fast aller Social Engineering Angriffe.
NIS2 (Network and Information Security Directive 2) ist die EU-weite Richtlinie zur Cybersicherheit. In Österreich wird sie durch das NISG 2026 umgesetzt. Ab 1. Oktober 2026 muessen betroffene Unternehmen nachweisbare Awareness-Maßnahmen dokumentieren. Rund 5.000 Unternehmen sind direkt, weitere 50.000 indirekt ueber ihre Lieferkette betroffen.
Ein On-Site Breach bezeichnet das physische Eindringen eines Angreifers ohne Berechtigung — durch Social Engineering an der Rezeption, durch Tailgating, oder durch Vortäuschung einer legitimen Rolle (Handwerker, Lieferant, Auditor). Physischer Zugang ermoeoelicht direkten Zugriff auf Hardware, Netzwerke und vertrauliche Dokumente.
OSINT bezeichnet die systematische Sammlung von oeffentlich verfuegbaren Informationen ueber eine Person oder Organisation. Angreifer nutzen LinkedIn-Profile, Unternehmenswebsites, Pressemitteilungen und Social Media um Social Engineering Angriffe vorzubereiten — ohne einen einzigen Hack. VITT fuehrt OSINT-Analysen im Rahmen jedes VITTNESS Checks durch.
Password Spray testet ein oder wenige häufig verwendete Passwoerter (z.B. 'Sommer2024!') gegen viele Benutzerkonten gleichzeitig. Im Gegensatz zu Brute-Force umgeht diese Technik Account-Sperrmechanismen, da pro Account nur wenige Versuche unternommen werden.
Phishing bezeichnet den Versuch durch gefaelschte E-Mails, Websites oder Nachrichten Zugangsdaten oder sensible Daten zu stehlen. Moderne Phishing-Angriffe sind oft taeuschen d echt und nutzen aktuelle Ereignisse, Logos und Sprache des imitierten Unternehmens. AI-generierte Phishing-Mails sind mittlerweile von echten E-Mails kaum noch zu unterscheiden.
Pretexting schafft einen erfundenen Kontext um Vertrauen aufzubauen und Informationen zu erschleichen. Der Angreifer gibt sich eine vollstaendige Hintergrundgeschichte: Name, Unternehmen, Rolle, Zweck. Pretexting ist die Grundlage der meisten Social Engineering Angriffe.
Pharming manipuliert DNS-Auflösung oder die Hosts-Datei eines Geräts, sodass Nutzer beim Eingeben einer korrekten, legitimen Webadresse trotzdem auf eine gefälschte Seite umgeleitet werden — ohne auf einen Phishing-Link klicken zu müssen. Das macht Pharming tückischer als klassisches Phishing, da selbst aufmerksame Nutzer die Adresszeile korrekt sehen.
Piggybacking ähnelt Tailgating, unterscheidet sich aber im Detail: Beim Piggybacking täuscht der Angreifer einen Mitarbeiter aktiv, etwa mit vollen Händen oder einem überzeugenden Vorwand, sodass dieser dem Angreifer bewusst die Tür aufhält oder den Zutritt ermöglicht — im Gegensatz zum unbemerkten Tailgating geschieht das mit (erschlichener) Zustimmung.
Quid Pro Quo nutzt das Prinzip der Gegenseitigkeit: der Angreifer bietet eine Gegenleistung um Zugang oder Informationen zu erhalten. Häufigste Form: falscher IT-Support der anbietet ein Problem zu beheben — und dafuer Remote-Zugriff oder Zugangsdaten benoetigt.
Smishing (SMS + Phishing) bezeichnet Phishing-Angriffe ueber SMS, WhatsApp oder andere Messenger. Da Menschen SMS eine hoehere Vertrauenswuerdigkeit als E-Mails zuschreiben, sind Smishing-Angriffe oft erfolgreicher. Typische Szenarien: falsche Paketbenachrichtigungen, Bankwarnungen, Nachrichten von scheinbaren Bekannten.
Spear Phishing ist eine hochgradig personalisierte Form des Phishings fuer einzelne Personen oder Gruppen. Es nutzt OSINT-Recherche um authentisch wirkende Nachrichten zu erstellen — mit dem Namen des Opfers, aktuellen Projekten und spezifischen Details. Die Erfolgsrate ist deutlich hoeher als bei allgemeinem Phishing.
Scareware erzeugt künstliche Dringlichkeit durch gefälschte Warnmeldungen — etwa angebliche Vireninfektionen oder Systemfehler — und drängt Nutzer dazu, schädliche Software zu installieren oder für nutzlose „Lösungen" zu bezahlen. Im Unternehmenskontext tritt Scareware häufig als Pop-up während des Surfens oder als Teil komplexerer Phishing-Kampagnen auf.
Shoulder Surfing bezeichnet das gezielte Beobachten einer Person bei der Eingabe von Passwörtern, PINs oder beim Lesen vertraulicher Inhalte — im öffentlichen Raum, in Großraumbüros oder sogar aus der Distanz mit Fernglas oder Kamera. Die Methode erfordert keine Technik, nur Gelegenheit und Aufmerksamkeit.
Tailgating (auch 'Piggybacking') bezeichnet das Mitpassieren durch eine gesicherte Tür unmittelbar hinter einem berechtigten Mitarbeiter. Es nutzt soziale Hoeflichkeit aus — niemand laesst gerne eine Tür vor jemandem fallen. Tailgating ist einer der einfachsten physischen Angriffsvektoren und erfordert keinerlei technisches Wissen.
Vishing (Voice + Phishing) bezeichnet Betrugsversuche ueber Telefonanrufe. Der Angreifer gibt sich als Bankberater, IT-Support, Behoerde oder Kollege aus und erzeugt Dringlichkeit. AI-Deepfake-Technologie ermoeoelicht mittlerweile taeuschen d echte Stimmimitationen — auch von bekannten Personen.
Bei einem Watering-Hole-Angriff kompromittiert der Angreifer nicht das Ziel direkt, sondern eine Website, die die Zielgruppe regelmäßig besucht — etwa ein Branchenportal oder Lieferanten-Login. Besucher infizieren sich beim nächsten Besuch unwissentlich, ohne dass eine gezielte Phishing-Mail nötig war. Der Name stammt vom Bild eines Raubtiers, das am Wasserloch auf Beute wartet, statt sie aktiv zu jagen.
Whaling ist eine Unterform des Spear Phishing, die sich ausschließlich gegen hochrangige Ziele richtet — Geschäftsführer, Vorstände, Finanzverantwortliche. Der Name spielt auf „große Fische" an: Der potenzielle Schaden und die Glaubwürdigkeit der Angriffe sind bei Whaling überdurchschnittlich hoch, da Führungskräfte oft öffentlich exponiert sind (LinkedIn, Presse, Konferenzauftritte) und gleichzeitig weitreichende Befugnisse haben.
Social Engineering ist der Oberbegriff fuer alle Techniken die menschliche Psychologie ausnutzen um Sicherheitsmassnahmen zu umgehen. Es nutzt universelle Prinzipien: Autoritaet, Dringlichkeit, Sympathie, soziale Bewaehrtheit und Reziprozitaet. Social Engineering ist so effektiv weil es den Menschen direkt angreift, nicht die Technik.