SOCIAL-ENGINEERING-TESTS
Social Engineering: der Angriff zielt auf Ihre Leute, nicht nur auf die Technik
Wir gehen über Phishing hinaus: Telefonate, Impersonation und Open-Source-Intelligence (OSINT). Wir testen, ob Ihre Verfahren und Menschen dem Druck eines gut vorbereiteten Angreifers standhalten.
WARUM ES WICHTIG IST
Ein Angreifer knackt kein Passwort, wenn er einfach danach fragen kann
Die wirksamsten Angriffe haben oft nichts mit Technik zu tun. Ein Anruf beim Helpdesk mit einer gut vorbereiteten Geschichte kann Türen öffnen, die kein Exploit öffnet. Social Engineering testet genau diesen Vektor.
Wir verbinden Open-Source-Intelligence, Telefonate und Impersonation zu einem stimmigen Szenario, genau wie ein echter Angreifer. Wir testen weniger einzelne Personen als vielmehr, ob Ihre Verfahren Druck und Manipulation standhalten.
WAS WIR TUN
Die volle Bandbreite an Social-Engineering-Techniken
Alle Aktivitäten sind ethisch und innerhalb vereinbarter Grenzen. Wir berichten aggregiert, mit Fokus auf den Prozess.
UNSER ANSATZ
Wir testen den Prozess, nicht eine einzelne Person
Jeder lässt sich unter den richtigen Umständen manipulieren. Deshalb suchen wir nicht den schwächsten Mitarbeitenden, sondern prüfen, ob die Verfahren der Organisation Manipulation abfangen, egal wer den Anruf entgegennimmt.
Wir formulieren Erkenntnisse auf Prozessebene: wo die Identitätsprüfung fehlt, wo Autorisierung auf Vertrauen statt auf einer Regel beruht. Diese Lücken lassen sich dauerhaft schließen, nicht nur mit Wachsamkeit.
COMPLIANCE
Nachweis der Resilienz gegen Manipulation, nicht nur gegen Exploits
Social-Engineering-Tests ergänzen Anforderungen an Awareness und organisatorische Resilienz gegen reale Angriffsvektoren.
STANDARDS & ZERTIFIZIERUNGEN
Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl
Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.
Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.
SO GEHEN WIR VOR
Ein Szenario in Phasen
NACHWEISE
Zahlen hinter jedem Versprechen
Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.
WISSEN
Ein Social-Engineering-Test in der Praxis
Was ein Social-Engineering-Test ist
Ein Social-Engineering-Test prüft, ob sich Menschen in Ihrer Organisation zu einer Handlung bewegen lassen, die einem Angreifer den Weg zu den Systemen öffnet. Wir nutzen dieselben Manipulationstechniken wie ein echter Gegner: einen Anruf, eine Nachricht, das Vortäuschen einer vertrauten Person.
Er ergänzt technische Tests, denn die besten Schutzmaßnahmen helfen nicht, wenn jemand freiwillig ein Passwort herausgibt oder eine fremde Person hereinlässt. Wir testen das schwächste und am häufigsten übersehene Glied, den Menschen.
Wie wir den Test in vereinbarten Grenzen durchführen
Vor dem Start vereinbaren wir Umfang, zulässige Techniken und klare Regeln, damit der Test realistisch und doch sicher für Menschen und Unternehmen ist. Wir nutzen unter anderem Vishing, also Manipulation per Telefon, und Szenarien, die einen Lieferanten oder Kollegen vortäuschen.
Es geht nicht darum, eine bestimmte Person zu überraschen, sondern zu prüfen, ob Verfahren und Wachsamkeit in der Praxis funktionieren. Wir dokumentieren alles und behandeln die Mitarbeitenden mit Respekt.
Warum der Mensch der häufigste Weg hinein ist
Angreifer wählen zunehmend Manipulation statt das Brechen von Schutzmaßnahmen, weil sie schneller und günstiger ist. Ein einziger Anruf kann Zugang verschaffen, für den ein technischer Angriff Wochen bräuchte.
Der Test zeigt, wo Verfahren nur auf dem Papier existieren und wo sie wirklich schützen. Das ist Wissen, das kein Scanner und kein Konfigurationsaudit liefern kann.
Was Sie erhalten und wie Sie die Erkenntnisse nutzen
Der Bericht beschreibt die genutzten Szenarien, ihre Wirksamkeit und die konkreten Lücken in Verfahren und Bewusstsein. Wir weisen darauf hin, was in Prozessen zu ändern und was durch Schulung anzugehen ist.
Die Erkenntnisse setzen Sie am besten in ein Awareness-Programm und klare Verfahren zur Identitätsprüfung um. Ein Social-Engineering-Test zeigt den Ausgangspunkt, und nach einiger Zeit wiederholt, misst er die echte Verbesserung.
FAQ
Die häufigsten Fragen
Wie unterscheidet sich das von einer Phishing-Kampagne?
Zeichnen Sie Mitarbeitende auf?
Ist das nicht Manipulation unserer Leute?
Wie wählen Sie Ziele aus?
VERWANDT
Verwandte Beiträge
REFERENZEN
Referenzen in diesem Bereich
REFERENZEN
“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”
















