Case Study · Red Team & Social Engineering

Social Engineering in der Praxis: Wie ein einziger Besuch ein ganzes Unternehmen übernahm

Keine Zero-Day, kein aufwendiger Exploit – nur ein präparierter USB-Stick, eine gut getimte E-Mail, ein Telefonat und eine hilfsbereite Mitarbeiterin. Diese anonymisierte Case Study zeigt Schritt für Schritt, wie eine Red-Team-Angriffskette bei einem realen Kunden funktioniert hat – vom ersten Kontakt bis zur vollständigen Verschlüsselung des Netzwerks.

Veröffentlicht: 14.07.2026 · Lesezeit: 9 Min · Autor: Niclas Zillmanns

Hinweis: Der beschriebene Angriff fand im Rahmen eines beauftragten, vertraglich autorisierten Red-Team-Assessments statt. Alle Namen, Rollen und Details wurden anonymisiert; die Veröffentlichung erfolgt mit ausdrücklicher Freigabe des Kunden. Ziel des Beitrags ist die Sensibilisierung – nicht die Anleitung. Technische Details zu Schadsoftware bleiben bewusst oberflächlich.

Ausgangslage & Auftrag

Der Kunde – ein mittelständisches Unternehmen mit klassischer Büroorganisation (Sekretariat, Geschäftsführung, Recht/Compliance, Personal, Call Center, IT und Serverraum) – beauftragte uns mit einem Red-Team-Assessment. Die Frage war nicht „Sind unsere Server gepatcht?", sondern die unbequemere: Lässt sich unser Unternehmen über den Menschen kompromittieren?

Ein Red-Team-Assessment simuliert einen echten Angreifer mit einem klaren Ziel – hier: Zugriff auf das interne Netzwerk und die produktiven Systeme – ohne Vorgaben, welchen Weg wir dafür nehmen. Erlaubt war die Kombination aus digitalen und physischen Techniken. Genau diese Kombination macht Social Engineering so wirksam.

Die Akteure

Zur besseren Lesbarkeit anonymisiert:

  • „W" – unsere Operatorin, die im Angriff als angebliche externe Mitarbeiterin auftrat.
  • „A" – eine Mitarbeiterin im Sekretariat des Kunden, das Ziel der Manipulation.
  • „K" – eine (frei erfundene) erkrankte Kollegin, die als Vorwand für Dringlichkeit und Mitgefühl diente.

Die Angriffskette in fünf Schritten

Schritt 1 · Vorbereitung

Der präparierte USB-Stick

Der eigentliche „Payload-Träger" war ein handelsüblicher USB-Stick, der so vorbereitet wurde, dass beim Anstecken automatisch Schadcode ausgeführt wird – konzeptionell ein Rootkit, das sich tief im System einnistet und unauffällig bleibt. Der Stick ist bewusst unscheinbar: kein Aufkleber „Vertraulich", kein verdächtiger Inhalt. Er muss nur einmal in einen Firmen-PC gesteckt werden.

Schritt 2 · Pretext

Die Phishing-Mail

„W" schrieb eine E-Mail an „A". Der Vorwand: Sie vertrete die erkrankte Kollegin „K" und benötige dringend Zugriff auf eine gemeinsame Cloud – idealerweise durch persönliche Übergabe vor Ort. Die Mail baute Zeitdruck und Autorität auf und kündigte bereits den späteren physischen Besuch an. Sinngemäß und anonymisiert:

Betreff: Dringend – sofort benötigte Anmeldedaten Hallo Frau A,

ich hoffe, diese Nachricht erreicht Sie umgehend. Ich wende mich mit einer äußerst dringlichen Angelegenheit an Sie. Derzeit bin ich beauftragt, die erkrankte Frau K zu vertreten, und benötige umgehend Zugriff auf unsere gemeinsame Cloud. Dafür benötige ich Ihre Anmeldedaten (Benutzername & Passwort), um weiterarbeiten zu können.

Aus Sicherheitsgründen würden wir es bevorzugen, wenn dieser Datenaustausch physisch vor Ort auf unserem Datenträger stattfinden würde. Um 10 Uhr sind wir bei Ihnen, um den Datenaustausch abzuschließen!

Mit freundlichen Grüßen,
Frau W

Interessant: Die Mail war bewusst so formuliert, dass sie sich nahtlos in einen normalen Büroalltag einfügt – höflicher Ton, plausibler Anlass, ein konkreter Termin. Genau diese Unauffälligkeit ist die Stärke: Die Nachricht löst keinen Alarm aus, sondern wirkt wie eine legitime Bitte einer überlasteten Kollegin. Unter Zeitdruck überschreibt dieser vertraute Rahmen die rationale Prüfung, und die eigentliche Kernforderung – die Herausgabe von Zugangsdaten – rückt in den Hintergrund.

Schritt 3 · Vishing

Der Anruf direkt nach dem Öffnen

Kurz nachdem „A" die Mail geöffnet hatte, rief „W" an – ein bewusst gesetztes Timing, das die Mail „lebendig" und legitim wirken lässt. Im Gespräch verlagerten wir den Fokus weg von der eigentlichen Bitte und hin zu den gesundheitlichen Problemen der Kollegin „K", um eine emotionale Bindung aufzubauen. Wir vermittelten den Eindruck, ohne die Mitarbeit von „A" komme alles zum Erliegen, und wir selbst seien „ins kalte Wasser geworfen" worden. „A" wurde damit zur Retterin in einer Notlage stilisiert – und der bereits angekündigte Vor-Ort-Termin um 10 Uhr bestätigt.

Schritt 4 · Physischer Zutritt

Der Besuch vor Ort

Um 10 Uhr erschien „W" am Standort. Der Ablauf in drei Zügen:

  1. „A" lässt „W" ein. Der über Mail und Telefon aufgebaute Kontext wirkte: Aus der Fremden war eine erwartete, vertraute Kollegin geworden. Die Zutrittskontrolle (Schließsystem/Transponder) wurde durch die Mitarbeiterin selbst überbrückt.
  2. Übergabe im Sekretariat. „W" übergab „A" den präparierten USB-Stick unter dem Vorwand des „sicheren Datenaustauschs auf unserem Datenträger".
  3. Ziel erreicht. Sobald „A" den Stick in ihren Arbeitsplatz-PC steckte, war der erste Fuß im Netzwerk gesetzt. „W" verließ danach unauffällig wieder das Gebäude.
Schritt 5 · Auswirkung

Von einem PC zum ganzen Netzwerk

Der kompromittierte Arbeitsplatz-PC diente als Brückenkopf: Von dort verbreitete sich – im Assessment kontrolliert und mit klaren Grenzen – automatisiert ein sich selbst ausbreitender Schadcode über das interne Netzwerk. In einem echten Angriff hätte an diesem Punkt eine Ransomware sämtliche Arbeitsplätze und Server verschlüsselt und mit einer Erpressungsnachricht („Zahlen Sie X in Bitcoin, sonst …") abgeschlossen. Aus einem einzigen menschlichen Vertrauensvorschuss wurde damit ein unternehmensweiter Totalausfall.

Warum es funktioniert hat

Der Angriff nutzte keine Software-Schwachstelle, sondern gut dokumentierte psychologische Prinzipien der Beeinflussung – gestapelt und aufeinander abgestimmt:

  • Autorität & Legitimität: Die Behauptung, eine erkrankte Kollegin offiziell zu vertreten, verlieh der Bitte einen dienstlichen Rahmen.
  • Dringlichkeit & Zeitdruck: „umgehend", „um 10 Uhr" – wer unter Druck steht, prüft weniger und handelt schneller.
  • Sympathie & Mitgefühl: Die Krankheitsgeschichte von „K" erzeugte eine emotionale Bindung und das Bedürfnis zu helfen.
  • Konsistenz & Commitment: Wer erst eine Mail beantwortet und dann telefoniert hat, öffnet danach auch eher die Tür – jeder kleine Schritt macht den nächsten wahrscheinlicher.
  • Multi-Kanal-Bestätigung: Mail, Anruf und persönliches Erscheinen bestätigten sich gegenseitig und ließen die Legende in sich stimmig wirken.

Wo die Kette gerissen wäre

Eine Angriffskette ist nur so stark wie ihr schwächstes Glied – und genauso lässt sie sich brechen. An jedem einzelnen Punkt hätte eine einfache Kontrolle den Angriff gestoppt:

Gegen die Phishing-Mail (Schritt 2): Klare Regel, dass Zugangsdaten niemals weitergegeben werden – über keinen Kanal. Verifikation unbekannter Absender über einen zweiten, selbst gewählten Kommunikationsweg (Rückruf an eine bekannte interne Nummer, nicht an die in der Mail genannte).

Gegen den Vishing-Anruf (Schritt 3): Ein definierter Prozess für ungewöhnliche Anfragen, der emotionalen Druck als Warnsignal statt als Handlungsauslöser behandelt.

Gegen den physischen Zutritt (Schritt 4): Besuchermanagement mit Anmeldung, Ausweis und Begleitung; keine Türöffnung für nicht verifizierte Personen. Eine gelebte „Kein-Tailgating"-Kultur, in der Nachfragen nicht als unhöflich gilt.

Gegen den USB-Stick (Schritte 1, 4, 5): Technische Sperren für unbekannte USB-Geräte (Device Control), Deaktivierung von Autorun, Endpoint-Detection & -Response und eine Netzwerksegmentierung, die verhindert, dass ein einzelner PC das gesamte Netz erreicht.

Gegen die Ausbreitung (Schritt 5): Least-Privilege-Konten, Segmentierung, getestete und offline vorgehaltene Backups sowie ein eingeübter Incident-Response-Plan – damit aus einem kompromittierten Endpunkt kein Totalschaden wird.

Entscheidend: Die wirksamste Verteidigung ist keine einzelne Maßnahme, sondern die Kultur, in der Mitarbeitende Nachfragen dürfen und sollen – ohne Angst, dabei „im Weg zu stehen". Genau diese Kultur trainieren wir in unseren Awareness- und Social-Engineering-Programmen.

Fazit

Dieser Fall ist kein Ausreißer, sondern der Normalfall: Angreifer nehmen den einfachsten Weg, und der führt fast immer über Menschen, nicht über Firewalls. Die gute Nachricht ist, dass sich genau dieser Weg trainieren und absichern lässt. Ein Red-Team-Assessment zeigt schonungslos, aber ohne echten Schaden, wo Ihr Unternehmen verwundbar ist – bevor es jemand anderes tut.

Wollen Sie wissen, wie weit ein Angreifer bei Ihnen käme? Sprechen Sie uns an – wir planen ein Assessment, das zu Ihrem Risiko passt.

← Zurück zur Blog-Übersicht