Digitale Schutzmaßnahmen wie Netzwerksegmentierung, Zero Trust und Mehrfaktor-Authentifizierung sind heute Standard. Dennoch gelingt es Angreifenden regelmäßig, Kontrollen zu umgehen, weil der Mensch als Angriffsvektor genutzt wird. Social Engineering adressiert Vertrauen, Gewohnheit und kognitive Abkürzungen. Im Gesundheitswesen führt dies zu Datenabflüssen, Betriebsunterbrechungen und im Extremfall zu Patientengefährdungen.
Social Engineering bedient sich psychologischer Prinzipien wie Autorität, Dringlichkeit, Knappheit, Reziprozität und sozialer Bewährtheit. Diese Mechanismen senken die Hemmschwelle, Links zu öffnen, Zugangsdaten weiterzugeben oder Handlungen unter Zeitdruck auszuführen. Das BSI beschreibt Social Engineering explizit als Ausnutzen menschlicher Eigenschaften wie Hilfsbereitschaft, Vertrauen und Respekt vor Autoritäten.
Das bekannte Muster: täuschend echte Nachrichten fordern zur Eingabe von Zugangsdaten auf gefälschten Webseiten auf.
Manipulierte QR-Codes leiten auf Phishing-Seiten um. Die visuelle Undurchsichtigkeit von QR-Codes erschwert die Prüfung der Zieladresse erheblich. Reale Studien belegen die Wirksamkeit dieser Methode und zeigen, dass professionelle Gestaltung und Incentives die Klickrate signifikant erhöhen.
SMS- und Telefonkampagnen nutzen Rollenimitation und Zeitdruck, um sensible Informationen zu erlangen oder Transaktionen auszulösen.
Sprach- und Videodeepfakes erhöhen die Glaubwürdigkeit. Medienberichte dokumentieren erfolgreiche Täuschungen bis hin zu mehrstelligen Millionenschäden.
Angriffe auf das Gesundheitswesen verbinden Vertraulichkeits-, Integritäts- und Verfügbarkeitsrisiken. Betroffen sind Patientendaten, medizinische Kernprozesse und das Vertrauen der Öffentlichkeit. Der europäische Threat-Landscape-Bericht ordnet Social Engineering weiterhin unter die zentralen Bedrohungen ein, parallel zu Ransomware und Datenangriffen.
Die Kombination aus einfachen Mitteln und psychologischen Mustern erklärt die hohe Erfolgsquote. Das gilt besonders dort, wo mobile Endgeräte, geteilte Arbeitsplätze, Schichtbetrieb und hohe Taktung die Aufmerksamkeit begrenzen.
Beobachtet werden unter anderem manipulierte Aushänge mit ausgetauschtem QR-Code, SMS mit Paket- oder Terminhinweisen auf gefälschte Portale sowie Anrufe angeblicher IT-Administratoren mit der Aufforderung zur sofortigen Passwortänderung. Ransomware-Ereignisse nach kompromittierten Konten führen zu verschobenen Operationen und eingeschränktem Betrieb.
Ein wirksames Schutzprogramm kombiniert technische Kontrollen, robuste Prozesse und kontinuierliche Befähigung der Mitarbeiter.
E-Mail-Filter, Anruferkennung, URL- und Inhaltsanalyse für QR-Ziele, Härtung mobiler Geräte, starke Authentifizierung und konsequente Protokollierung. Ergänzend sollten QR-Scanner verwendet werden, die Ziel-URLs vor dem Öffnen anzeigen und reputationsbasiert prüfen.
Klare Incident-Prozesse inklusive Meldewegen, Notfallplänen und Eskalationen. Regelmäßige Übungen erzeugen Handlungssicherheit und verkürzen Reaktionszeiten.
Awareness-Programme mit realistischen Phishing-Simulationen, niederschwelligen Meldekanälen und einer konstruktiven Fehlerkultur. Evidenzbasiertes Nudging und Gamification steigern Teilnahme und Behaltensleistung und erhöhen messbar die Melderate verdächtiger Nachrichten.
Risikoanalyse mit Fokus auf menschliche Schwachstellen, besonders an Schnittstellen mit Patienten, Lieferanten und administrativen Prozessen.
Technische Basiskontrollen konsolidieren und um QR-Sicherheitsprüfungen erweitern.
Standardisierte Reaktions- und Notfallprozesse definieren und regelmäßig testen.
Fortlaufende Awareness mit Simulationen, Feedback und Führungsvorbild etablieren.
Entwicklungen zu Social Engineering und KI-Missbrauch kontinuierlich beobachten und Lessons Learned ableiten.
Technische Maßnahmen sind notwendig, aber nicht hinreichend. Social Engineering adressiert systematisch den menschlichen Faktor und erfordert daher integrierte Abwehrstrategien. Wer Technik, Organisation und Mensch gleichermaßen stärkt, reduziert Ereigniswahrscheinlichkeit und Schadensausmaß messbar.
sepp.med, Vortrag: Quishing, Smishing & Co. Die unterschätzten Einfallstore in die medizinische Infrastruktur, 17.10.2025. Vortrag_CySecMed 2025
Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2024. BSI
BSI: Social Engineering. Grundlagen und Beispiele. BSI
ENISA Threat Landscape 2024. September 2024. Kapitel Social Engineering, Ransomware und Datenbedrohungen. securitydelta.nl
Geisler M. et al.: Hooked. A Real-World Study on QR Code Phishing, 2024. arXiv
Kowalewski M. et al.: Scanned and Scammed. Insecurity by ObsQRity, USENIX Security 2025. USENIX
Financial Times: Arup lost 25 mn in Hong Kong deepfake scam. 2024. Financial Times
The Guardian: CEO of WPP targeted by deepfake scam. 2024. The Guardian
Hinweis zur Datenlage: Die Folien zitieren einen BSI-Wert von 30 Prozent Social-Engineering-Anteil im Gesundheitswesen. Im veröffentlichten Lagebericht 2024 findet sich diese sektorale Aufschlüsselung nicht wörtlich, die zentrale Bedeutung von Social Engineering wird jedoch bestätigt. Eine präzise Prozentzahl für den Sektor Gesundheitswesen lässt sich aus den frei verfügbaren Quellen nicht eindeutig belegen.
Vorname:
Nachname:
E-Mail-Adresse:
Telefonnummer:
Betreff:
Ihre Nachricht:
Ja, ich bin einverstanden, dass meine personenbezogenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden nur zum Zweck der Beantwortung meiner Anfragen verwendet. Die Datenschutzhinweise habe ich zur Kenntnis genommen.
Sie sehen gerade einen Platzhalterinhalt von OpenStreetMap. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Sie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.