Human Risk · Glossar

Was Angreifer wissen.
Was Sie wissen müssen.

Alle relevanten Begriffe rund um Human Risk, Social Engineering und Cybersecurity-Compliance — erklärt für Entscheider, nicht für Techniker.

Kein Begriff gefunden.
A
Security Awareness Sicherheitsbewusstsein als messbarer Organisationswert

Security Awareness bezeichnet das Wissen, die Einstellung und das tatsächliche Verhalten von Mitarbeitern gegenüber Informationssicherheit. Echte Awareness geht ueber Wissensvermittlung hinaus — sie veraendert Verhalten in realen Stresssituationen nachweislich. NIS2 und NISG 2026 verlangen regelmaessige, nachweisbare Awareness-Maßnahmen. Awareness die nicht gemessen und regelmaessig erneuert wird, verfaellt.

Was Awareness nicht ist: Ein einmaliges Pflicht-Video im Intranet ist keine Massnahme die vor Behoerden standhaelt — auch wenn ein Haken gesetzt wurde.
Nachweis durch VITT
Simulationsbasiertes TrainingAuditierbarer ReportJaehrlicher Vergleich
Art. 21 NIS2-Richtlinie Kernartikel zu Risikomanagement-Maßnahmen

Art. 21 der NIS2-Richtlinie (EU) 2022/2555 verpflichtet wesentliche und wichtige Einrichtungen zu angemessenen technischen, operativen und organisatorischen Risikomanagement-Maßnahmen. Dazu zählt ausdrücklich Schulung im Bereich Cybersicherheit und Cyberhygiene für Mitarbeiter — der Human-Faktor ist damit kein optionales Add-on, sondern gesetzlich verankert.

Praxisbezug: Ein VITTNESS Audit liefert die Dokumentation, die als Nachweis für die Erfüllung von Art. 21 lit. g (Cyberhygiene und Schulung) dient.
Nachweis durch VITT
Risikomanagement-DokumentationSchulungsnachweisAuditierbarer Report
B
Baiting Köder-Angriff ueber physische oder digitale Medien

Beim Baiting wird dem Opfer ein verlockendes Angebot präsentiert — ein USB-Stick mit der Aufschrift 'Gehaltstabelle 2024' im Pausenraum, ein Download-Link fuer kostenlose Software, oder ein 'Sie haben gewonnen'-Popup. Das Ziel: natuerliche Neugier oder Gier ausnutzen um Schadsoftware einzuschleusen oder Zugangsdaten zu stehlen.

Praxisbeispiel: Ein Angreifer laesst drei USB-Sticks mit Firmen-Logo im Eingangsbereich liegen. Zwei Mitarbeiter stecken sie ein. Der Stick installiert im Hintergrund einen Keylogger.
Schutzmassnahmen
USB-RichtlinieMitarbeiter-SchulungEndpoint Protection
Business Email Compromise (BEC) Gefaelschte E-Mails von vermeintlichen Fuehrungskraeften

BEC-Angriffe kompromittieren oder faelschen E-Mail-Adressen von Fuehrungskraeften um Mitarbeiter zu dringenden Aktionen zu verleiten — meist Überweisungen oder Datenweitergabe. Laut FBI ist BEC die finanziell schaedlichste Cyberkrimininalitaetsform mit weltweiten Schaeden von ueber 50 Milliarden Dollar.

Praxisbeispiel: Ein Mitarbeiter in der Buchhaltung erhaelt eine E-Mail scheinbar vom Geschaeftsfuehrer: 'Ich bin im Meeting, bitte ueberweise sofort 38.000 EUR auf folgendes Konto. Vertraulich halten.'
Schutzmassnahmen
Dual-Control bei ÜberweisungenRueckruf-ProzessE-Mail-Authentifizierung (DMARC)
BSI IT-Grundschutz Deutscher Standard für Informationssicherheit

Der IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein Vorgehensmodell zum Aufbau eines Informationssicherheits-Managementsystems (ISMS). In Österreich übernehmen vergleichbare Funktionen ISO/IEC 27001 sowie sektorspezifische Vorgaben — der IT-Grundschutz dient häufig als methodische Referenz, auch wenn er keine unmittelbare Rechtsverbindlichkeit in Österreich hat.

C
CEO Fraud Identitaetsbetrug durch gefaelschte Fuehrungskraef-Identitaet

CEO Fraud ist eine Unterform von BEC bei der explizit die Identitaet des Geschaeftsfuehrers imitiert wird. Angreifer nutzen OSINT um authentisch wirkende Kommunikation zu erzeugen. AI-generierte Stimm- und Video-Deepfakes haben diese Angriffe drastisch skalierbarer gemacht.

Praxisbeispiel: Mitarbeiterin erhaelt einen Anruf mit der vertrauten Stimme des CEOs (AI-Deepfake): 'Ich brauche sofort die Zugangsdaten zum Serverraum, unser Auditor wartet.'
Schutzmassnahmen
VerifikationsprozessDeepfake-AwarenessCodewort-Protokoll
Credential Stuffing Automatisierter Missbrauch geleakter Passwoerter

Credential Stuffing verwendet geleakte Benutzername-Passwort-Kombinationen aus frueheren Datenpannen um sich automatisiert bei anderen Diensten anzumelden. Da viele Menschen dasselbe Passwort fuer mehrere Dienste verwenden, ist die Erfolgsquote erschreckend hoch.

Praxisbeispiel: Ein Mitarbeiter verwendet sein LinkedIn-Passwort auch fuer den Firmen-VPN. Nach einem LinkedIn-Datenleck loggt sich ein Angreifer automatisch ein.
Schutzmassnahmen
MFA (Multi-Faktor)Passwort-ManagerDarkweb-Monitoring
Clean Desk Policy Organisatorische Regel gegen offen liegende Informationen

Eine Clean Desk Policy verpflichtet Mitarbeiter, sensible Unterlagen, Notizen und Zugangsdaten nicht offen am Arbeitsplatz liegen zu lassen. Sie ist eine einfache, aber häufig vernachlässigte organisatorische Maßnahme — handschriftliche Passwörter an Monitoren oder offene Verträge im Besprechungsraum sind in unautorisierten Audits eines der häufigsten Findings.

Häufiger Fund bei VITT Audits: Post-its mit Zugangsdaten an Bildschirmen, unverschlossene Aktenordner mit Kundendaten in Besucherbereichen.
Cyber Resilience Act (CRA) EU-Verordnung für Produkte mit digitalen Elementen

Die Verordnung (EU) 2024/2847 (Cyber Resilience Act) verpflichtet Hersteller, Importeure und Händler von Produkten mit digitalen Elementen zu verbindlichen Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus. Sie ergänzt NIS2 und gilt unmittelbar als Verordnung — ohne nationale Umsetzung. Meldepflichten für aktiv ausgenutzte Schwachstellen gelten ab 11. September 2026, vollständige Anforderungen ab 11. Dezember 2027.

D
Darkweb Exposure Geleakte Unternehmensdaten im Darkweb

Darkweb Exposure bezeichnet das Vorhandensein von Unternehmensdaten — E-Mail-Adressen, Passwoerter, interne Dokumente — in Darkweb-Foren oder Leak-Plattformen. Diese Daten stammen oft aus frueheren Datenpannen bei Drittanbietern und werden aktiv fuer gezielte Angriffe genutzt. Die meisten Unternehmen wissen nicht, was von ihnen geleakt wurde.

Praxisbeispiel: Ein OSINT-Check zeigt dass 12 Firmen-E-Mail-Adressen mit Passwoertern in einem Darkweb-Datensatz auftauchen — darunter der IT-Leiter.
Schutzmassnahmen
OSINT-AnalyseDarkweb-MonitoringPasswort-Reset-Prozess
Deepfake / Voice Cloning KI-generierte Stimm- oder Videofälschung zur Täuschung

Deepfakes nutzen KI-generierte Audio- oder Videoinhalte, um die Stimme oder das Erscheinungsbild einer realen Person — meist einer Führungskraft — täuschend echt zu imitieren. Voice Cloning benötigt mittlerweile nur wenige Sekunden Originalaudio, etwa aus einem öffentlich verfügbaren Interview oder Konferenzvideo, um eine überzeugende Stimmkopie zu erzeugen. Die Technologie macht klassisches CEO Fraud per Telefon erheblich glaubwürdiger.

Realer Fall: 2024 überwies ein Finanzangestellter in Hongkong umgerechnet 23 Mio. € nach einer Videokonferenz mit gefälschten Deepfake-Abbildern mehrerer Führungskräfte.
Wie VITT das testet
Voice-Cloning-SimulationVerifikationsprotokolle prüfenAwareness-Training
Dumpster Diving Informationsgewinnung aus weggeworfenen Unterlagen

Beim Dumpster Diving durchsucht ein Angreifer Müll- oder Altpapiercontainer eines Unternehmens nach verwertbaren Informationen — interne Memos, Organigramme, Rechnungen, ausgedruckte E-Mails mit Namen und Strukturen. Diese Informationen liefern wertvollen Kontext für nachfolgende Pretexting- oder Phishing-Angriffe und kosten den Angreifer nichts außer Zeit.

Wie VITT das testet
Physische Aufklärung im ScopeAktenvernichtung prüfen
DORA (Digital Operational Resilience Act) EU-Verordnung zur digitalen operationalen Resilienz im Finanzsektor

Die Verordnung (EU) 2022/2554 (DORA) reguliert IKT-Risikomanagement für Banken, Versicherungen und Finanzdienstleister EU-weit unmittelbar. DORA ist lex specialis zur NIS2-Richtlinie — wo DORA gilt, verdrängt sie die allgemeinen NIS2-Vorgaben, um Doppelregulierung zu vermeiden. Meldepflichten sind mit einer Erstmeldefrist von 4 Stunden deutlich strenger als die 24-Stunden-Frist der NIS2. Anwendbar seit 17. Januar 2025.

Abgrenzung: Ein Kreditinstitut unterliegt DORA, nicht dem NISG 2026 — die Pflicht zu Cybersicherheitsmaßnahmen bleibt jedoch in der Sache vergleichbar.
H
Human Risk Das durch menschliches Verhalten entstehende Sicherheitsrisiko

Human Risk bezeichnet das Gesamtrisiko das durch das Verhalten, die Entscheidungen und die Fehler von Mitarbeitern entsteht. Es laesst sich nicht durch Software-Patches beheben — es erfordert Verhaltensveraenderung, Schulung und kontinuierliche Messung. Human Risk ist der am häufigsten unterschaetzte Faktor in modernen Sicherheitsstrategien.

Warum es wichtig ist: 74% aller Datenschutzverletzungen haben eine menschliche Komponente. Human Risk ist damit statistisch das groesste Einzelrisiko jeder Organisation.
Wie VITT hilft
VITTNESS CheckHuman Risk AuditKontinuierliches Monitoring
Honeytrap Anbahnung einer persönlichen Beziehung zur Informationsgewinnung

Bei einem Honeytrap-Angriff baut der Angreifer eine vermeintlich romantische oder freundschaftliche Beziehung zum Ziel auf — online oder persönlich — um über Vertrauen sukzessive an sensible Informationen oder Zugänge zu gelangen. Die Methode wird klassisch in der Spionage eingesetzt, kommt aber auch im Unternehmenskontext vor, etwa über gefälschte Social-Media-Profile.

I
Identity Spoofing Vortäuschung einer fremden Identitaet

Identity Spoofing bezeichnet das gezielte Vortäuschen einer fremden Identitaet um Vertrauen zu erschleichen. Das kann technisch (gefaelschte E-Mail-Absender, geklonte Websites) oder auf menschlicher Ebene (als Techniker, Behoerdenvertreter oder Kollege ausgeben) stattfinden. Es ist die Basis fast aller Social Engineering Angriffe.

Praxisbeispiel: Ein Angreifer ruft die Rezeption an: 'Ich bin von der IT-Abteilung, wir haben ein Problem mit Ihrem Account — koennen Sie mir kurz Ihr Passwort bestaetigen?'
Schutzmassnahmen
IdentitaetsverifikationSchulungRueckruf-Protokoll
N
NIS2 / NISG 2026 EU-Richtlinie zur Netzwerk- und Informationssicherheit

NIS2 (Network and Information Security Directive 2) ist die EU-weite Richtlinie zur Cybersicherheit. In Österreich wird sie durch das NISG 2026 umgesetzt. Ab 1. Oktober 2026 muessen betroffene Unternehmen nachweisbare Awareness-Maßnahmen dokumentieren. Rund 5.000 Unternehmen sind direkt, weitere 50.000 indirekt ueber ihre Lieferkette betroffen.

Konkrete Pflichten: Regelmaessige Schulungen, dokumentierte Sicherheitsmassnahmen, Incident-Reporting innerhalb von 24 Stunden, persoenliche Haftung der Geschaeftsfuehrung bei Verstoss.
Strafen bei Verstoss
Bis 10 Mio. EUR Geldstrafe2% des JahresumsatzesGF-Haftung persoenlich
O
On-Site Breach Physisches Eindringen in Unternehmensräumlichkeiten

Ein On-Site Breach bezeichnet das physische Eindringen eines Angreifers ohne Berechtigung — durch Social Engineering an der Rezeption, durch Tailgating, oder durch Vortäuschung einer legitimen Rolle (Handwerker, Lieferant, Auditor). Physischer Zugang ermoeoelicht direkten Zugriff auf Hardware, Netzwerke und vertrauliche Dokumente.

Praxisbeispiel: Ein Angreifer betritt in Warnweste das Buerogebaeude, geht direkt zur Serverraum-Tür und wartet bis ein Mitarbeiter aufschliesst — und haelt die Tür auf.
Schutzmassnahmen
ZugangskontrolleBesucher-ProtokollMitarbeiter-SchulungOn-Site Simulation
OSINT Open Source Intelligence — oeffentlich verfuegbare Informationen

OSINT bezeichnet die systematische Sammlung von oeffentlich verfuegbaren Informationen ueber eine Person oder Organisation. Angreifer nutzen LinkedIn-Profile, Unternehmenswebsites, Pressemitteilungen und Social Media um Social Engineering Angriffe vorzubereiten — ohne einen einzigen Hack. VITT fuehrt OSINT-Analysen im Rahmen jedes VITTNESS Checks durch.

Was Angreifer finden: Organigramme aus LinkedIn, E-Mail-Muster aus Pressemitteilungen, Technologie-Stack aus Jobanzeigen, persoenliche Infos aus Social Media — alles legal und kostenlos.
Schutzmassnahmen
OSINT-AuditSocial Media PolicyInformationsminimierung
P
Password Spray Massenhafte Anmeldeversuche mit häufigen Passwoertern

Password Spray testet ein oder wenige häufig verwendete Passwoerter (z.B. 'Sommer2024!') gegen viele Benutzerkonten gleichzeitig. Im Gegensatz zu Brute-Force umgeht diese Technik Account-Sperrmechanismen, da pro Account nur wenige Versuche unternommen werden.

Praxisbeispiel: Ein Angreifer testet 'Herbst2024!' gegen alle 200 E-Mail-Adressen eines Unternehmens. Drei Mitarbeiter haben exakt dieses Passwort.
Schutzmassnahmen
MFAPasswort-RichtliniePasswort-Manager
Phishing Taeuschen de E-Mails zur Erlangung von Zugangsdaten

Phishing bezeichnet den Versuch durch gefaelschte E-Mails, Websites oder Nachrichten Zugangsdaten oder sensible Daten zu stehlen. Moderne Phishing-Angriffe sind oft taeuschen d echt und nutzen aktuelle Ereignisse, Logos und Sprache des imitierten Unternehmens. AI-generierte Phishing-Mails sind mittlerweile von echten E-Mails kaum noch zu unterscheiden.

Praxisbeispiel: Mitarbeiter erhaelt eine E-Mail scheinbar von Microsoft: 'Ihre MFA-Einrichtung ist abgelaufen — klicken Sie hier.' Der Link fuehrt auf eine taeuschen d echte Login-Seite.
Schutzmassnahmen
Phishing-SimulationE-Mail-FilterMFASchulung
Pretexting Aufbau einer erfundenen Hintergrundgeschichte zur Taeuschen ung

Pretexting schafft einen erfundenen Kontext um Vertrauen aufzubauen und Informationen zu erschleichen. Der Angreifer gibt sich eine vollstaendige Hintergrundgeschichte: Name, Unternehmen, Rolle, Zweck. Pretexting ist die Grundlage der meisten Social Engineering Angriffe.

Praxisbeispiel: 'Guten Tag, ich bin Markus Huber vom Wirtschaftspruefer Ernst & Young, wir sind aktuell bei Ihnen im Mandat — koennen Sie mir den Kontakt zum IT-Leiter geben?'
Schutzmassnahmen
VerifikationsprozesseSchulungKontaktrichtlinie
Pharming Umleitung auf gefälschte Websites ohne aktiven Klick

Pharming manipuliert DNS-Auflösung oder die Hosts-Datei eines Geräts, sodass Nutzer beim Eingeben einer korrekten, legitimen Webadresse trotzdem auf eine gefälschte Seite umgeleitet werden — ohne auf einen Phishing-Link klicken zu müssen. Das macht Pharming tückischer als klassisches Phishing, da selbst aufmerksame Nutzer die Adresszeile korrekt sehen.

Piggybacking Zutritt mit aktivem Einverständnis eines Mitarbeiters

Piggybacking ähnelt Tailgating, unterscheidet sich aber im Detail: Beim Piggybacking täuscht der Angreifer einen Mitarbeiter aktiv, etwa mit vollen Händen oder einem überzeugenden Vorwand, sodass dieser dem Angreifer bewusst die Tür aufhält oder den Zutritt ermöglicht — im Gegensatz zum unbemerkten Tailgating geschieht das mit (erschlichener) Zustimmung.

Wie VITT das testet
On-Site Breach SimulationZutrittsprotokoll-Audit
Q
Quid Pro Quo Angriff ueber ein vorgetaeuschtes Gegenleistungsangebot

Quid Pro Quo nutzt das Prinzip der Gegenseitigkeit: der Angreifer bietet eine Gegenleistung um Zugang oder Informationen zu erhalten. Häufigste Form: falscher IT-Support der anbietet ein Problem zu beheben — und dafuer Remote-Zugriff oder Zugangsdaten benoetigt.

Praxisbeispiel: 'Hallo, ich bin der neue IT-Support. Ich habe gesehen dass Ihr Rechner langsam ist — ich kann das in 5 Minuten beheben wenn Sie mir kurz Ihren Bildschirm teilen.'
Schutzmassnahmen
IT-Support-ProzessMitarbeiter-SchulungIdentitaetsverifikation
S
Smishing Phishing ueber SMS oder Messaging-Dienste

Smishing (SMS + Phishing) bezeichnet Phishing-Angriffe ueber SMS, WhatsApp oder andere Messenger. Da Menschen SMS eine hoehere Vertrauenswuerdigkeit als E-Mails zuschreiben, sind Smishing-Angriffe oft erfolgreicher. Typische Szenarien: falsche Paketbenachrichtigungen, Bankwarnungen, Nachrichten von scheinbaren Bekannten.

Praxisbeispiel: 'Ihre DHL-Sendung wurde gestoppt — bestaetigen Sie Ihre Adresse: [link]' — der Link fuehrt auf eine Phishing-Seite die Zugangsdaten abfragt.
Schutzmassnahmen
Mitarbeiter-SchulungMobile Device PolicySmishing-Simulation
Social Engineering Psychologische Manipulation zur Umgehung von Sicherheitsmassnahmen

Social Engineering ist der Oberbegriff fuer alle Techniken die menschliche Psychologie ausnutzen um Sicherheitsmassnahmen zu umgehen. Es nutzt universelle Prinzipien: Autoritaet, Dringlichkeit, Sympathie, soziale Bewaehrtheit und Reziprozitaet. Social Engineering ist so effektiv weil es den Menschen direkt angreift, nicht die Technik.

Warum es funktioniert: Das menschliche Gehirn ist auf Kooperation und Vertrauen optimiert. Skepsis gegenüber scheinbar bekannten Personen fühlt sich unhoeflich an — genau das nutzen Angreifer aus.
Schutzmassnahmen
Social Engineering SimulationPsychologie-SchulungVier-Augen-Prinzip
Spear Phishing Gezieltes Phishing auf einzelne Personen oder Gruppen

Spear Phishing ist eine hochgradig personalisierte Form des Phishings fuer einzelne Personen oder Gruppen. Es nutzt OSINT-Recherche um authentisch wirkende Nachrichten zu erstellen — mit dem Namen des Opfers, aktuellen Projekten und spezifischen Details. Die Erfolgsrate ist deutlich hoeher als bei allgemeinem Phishing.

Praxisbeispiel: 'Hallo Frau Mueller, ich bin Ihr neuer Ansprechpartner bei der Volksbank bezueglich Ihrer Finanzierung fuer Projekt Gamma — bitte öffnen Sie das angehängte Dokument.'
Schutzmassnahmen
OSINT-AwarenessSpear-Phishing-SimulationE-Mail-Verifikation
Scareware Täuschung durch vorgetäuschte Bedrohungsmeldungen

Scareware erzeugt künstliche Dringlichkeit durch gefälschte Warnmeldungen — etwa angebliche Vireninfektionen oder Systemfehler — und drängt Nutzer dazu, schädliche Software zu installieren oder für nutzlose „Lösungen" zu bezahlen. Im Unternehmenskontext tritt Scareware häufig als Pop-up während des Surfens oder als Teil komplexerer Phishing-Kampagnen auf.

Shoulder Surfing Direktes Beobachten von Eingaben und Bildschirminhalten

Shoulder Surfing bezeichnet das gezielte Beobachten einer Person bei der Eingabe von Passwörtern, PINs oder beim Lesen vertraulicher Inhalte — im öffentlichen Raum, in Großraumbüros oder sogar aus der Distanz mit Fernglas oder Kamera. Die Methode erfordert keine Technik, nur Gelegenheit und Aufmerksamkeit.

T
Tailgating Unberechtigtes Mitpassieren durch gesicherte Zugänge

Tailgating (auch 'Piggybacking') bezeichnet das Mitpassieren durch eine gesicherte Tür unmittelbar hinter einem berechtigten Mitarbeiter. Es nutzt soziale Hoeflichkeit aus — niemand laesst gerne eine Tür vor jemandem fallen. Tailgating ist einer der einfachsten physischen Angriffsvektoren und erfordert keinerlei technisches Wissen.

Praxisbeispiel: Ein Angreifer mit Laptop-Tasche und Kaffeebecher wartet neben der Eingangstuer und geht einfach mit als ein Mitarbeiter aufschliesst — der Mitarbeiter haelt die Tür auf.
Schutzmassnahmen
SchulungMantrap/SchleuseBesucherausweis-Pflicht
V
Vishing Phishing ueber Telefonanrufe

Vishing (Voice + Phishing) bezeichnet Betrugsversuche ueber Telefonanrufe. Der Angreifer gibt sich als Bankberater, IT-Support, Behoerde oder Kollege aus und erzeugt Dringlichkeit. AI-Deepfake-Technologie ermoeoelicht mittlerweile taeuschen d echte Stimmimitationen — auch von bekannten Personen.

Praxisbeispiel: 'Guten Tag, ich bin von der IT-Security Ihres Unternehmens. Wir haben ungewoehnliche Aktivitäten festgestellt — koennen Sie zur Verifikation kurz Ihren PIN bestaetigen?'
Schutzmassnahmen
Vishing-SimulationVerifikationsprotokollDeepfake-Awareness
W
Watering Hole Attack Kompromittierung einer von der Zielgruppe häufig besuchten Website

Bei einem Watering-Hole-Angriff kompromittiert der Angreifer nicht das Ziel direkt, sondern eine Website, die die Zielgruppe regelmäßig besucht — etwa ein Branchenportal oder Lieferanten-Login. Besucher infizieren sich beim nächsten Besuch unwissentlich, ohne dass eine gezielte Phishing-Mail nötig war. Der Name stammt vom Bild eines Raubtiers, das am Wasserloch auf Beute wartet, statt sie aktiv zu jagen.

Whaling Spear Phishing gezielt gegen Führungskräfte

Whaling ist eine Unterform des Spear Phishing, die sich ausschließlich gegen hochrangige Ziele richtet — Geschäftsführer, Vorstände, Finanzverantwortliche. Der Name spielt auf „große Fische" an: Der potenzielle Schaden und die Glaubwürdigkeit der Angriffe sind bei Whaling überdurchschnittlich hoch, da Führungskräfte oft öffentlich exponiert sind (LinkedIn, Presse, Konferenzauftritte) und gleichzeitig weitreichende Befugnisse haben.

Wie VITT das testet
Executive-Phishing-SimulationCEO-Fraud-Szenarien