Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

SOCIAL-ENGINEERING-TESTS

Social Engineering: der Angriff zielt auf Ihre Leute, nicht nur auf die Technik

Wir gehen über Phishing hinaus: Telefonate, Impersonation und Open-Source-Intelligence (OSINT). Wir testen, ob Ihre Verfahren und Menschen dem Druck eines gut vorbereiteten Angreifers standhalten.

Vishing, Pretexting und OSINT in einem SzenarioTest von Verfahren, nicht nur individueller WachsamkeitEin realistischer, ethischer AnsatzKonkrete Verfahrensempfehlungen

WARUM ES WICHTIG IST

Ein Angreifer knackt kein Passwort, wenn er einfach danach fragen kann

Die wirksamsten Angriffe haben oft nichts mit Technik zu tun. Ein Anruf beim Helpdesk mit einer gut vorbereiteten Geschichte kann Türen öffnen, die kein Exploit öffnet. Social Engineering testet genau diesen Vektor.

Wir verbinden Open-Source-Intelligence, Telefonate und Impersonation zu einem stimmigen Szenario, genau wie ein echter Angreifer. Wir testen weniger einzelne Personen als vielmehr, ob Ihre Verfahren Druck und Manipulation standhalten.

WAS WIR TUN

Die volle Bandbreite an Social-Engineering-Techniken

01
OSINT
Wir sammeln öffentlich verfügbare Informationen, die ein echter Angreifer für einen Angriff nutzen würde.
02
Vishing
Wir führen realistische Telefonate, die Verfahren und Wachsamkeit testen.
03
Pretexting
Wir bauen glaubwürdige Szenarien, in denen wir uns als Lieferanten, IT oder Kollegen ausgeben.
04
Verfahrenstest
Wir prüfen, ob Identitätsprüfung und Autorisierung unter Druck standhalten.

Alle Aktivitäten sind ethisch und innerhalb vereinbarter Grenzen. Wir berichten aggregiert, mit Fokus auf den Prozess.

UNSER ANSATZ

Wir testen den Prozess, nicht eine einzelne Person

Jeder lässt sich unter den richtigen Umständen manipulieren. Deshalb suchen wir nicht den schwächsten Mitarbeitenden, sondern prüfen, ob die Verfahren der Organisation Manipulation abfangen, egal wer den Anruf entgegennimmt.

Wir formulieren Erkenntnisse auf Prozessebene: wo die Identitätsprüfung fehlt, wo Autorisierung auf Vertrauen statt auf einer Regel beruht. Diese Lücken lassen sich dauerhaft schließen, nicht nur mit Wachsamkeit.

COMPLIANCE

Nachweis der Resilienz gegen Manipulation, nicht nur gegen Exploits

Social-Engineering-Tests ergänzen Anforderungen an Awareness und organisatorische Resilienz gegen reale Angriffsvektoren.

NIS2
Teil der Cyberhygiene und Resilienz gegen Social Engineering.
ISO 27001
Nachweis, dass Verfahren und Mitarbeiterawareness wirksam sind (A.6).
DORA
Unterstützung für Tests der Resilienz gegen reale Angriffsvektoren.

STANDARDS & ZERTIFIZIERUNGEN

Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl

Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.

Zertifizierungen des Teams
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
Methodiken
OSINTMITRE ATT&CKPTES
Zertifizierungen des Teams
OSEPOSCP

Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.

SO GEHEN WIR VOR

Ein Szenario in Phasen

01
Intelligence
Wir sammeln Open-Source-Informationen über die Organisation und ihre Menschen.
02
Szenario
Wir bauen glaubwürdige Geschichten und Pretexte für das Testziel.
03
Durchführung
Wir führen Anrufe und Interaktionen innerhalb vereinbarter Grenzen durch.
04
Analyse
Wir bewerten, wo Verfahren hielten und wo sie versagten.
05
Bericht
Wir liefern verfahrens- und schulungsbezogene Empfehlungen.

NACHWEISE

Zahlen hinter jedem Versprechen

Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.

500+
durchgeführte Sicherheitstests und Audits
5.0
Durchschnittsbewertung aus 10 verifizierten Clutch-Bewertungen
20+
offensive Zertifizierungen im Team
01
Zertifiziertes Team
20+ offensive Zertifizierungen im Team (OSCP, OSEP, OSWE, CREST). Tests führen unsere Leute durch, keine anonymen Subunternehmer.
02
Manuelle Tests
Wir arbeiten von Hand nach PTES und OWASP und führen scheinbar kleine Fehler zu einem realen, belegten Angriffspfad zusammen.
03
Nachweis statt Versprechen
Jeder Fund mit Reproduktionsschritten und einem funktionierenden Nachweis. Ein Bericht, der vor dem Auditor standhält.
04
Retest inklusive
Nach Umsetzung der Korrekturen bestätigen wir schriftlich, dass die Lücken geschlossen sind. Wir verschwinden nicht nach dem PDF.

WISSEN

Ein Social-Engineering-Test in der Praxis

Was ein Social-Engineering-Test ist

Ein Social-Engineering-Test prüft, ob sich Menschen in Ihrer Organisation zu einer Handlung bewegen lassen, die einem Angreifer den Weg zu den Systemen öffnet. Wir nutzen dieselben Manipulationstechniken wie ein echter Gegner: einen Anruf, eine Nachricht, das Vortäuschen einer vertrauten Person.

Er ergänzt technische Tests, denn die besten Schutzmaßnahmen helfen nicht, wenn jemand freiwillig ein Passwort herausgibt oder eine fremde Person hereinlässt. Wir testen das schwächste und am häufigsten übersehene Glied, den Menschen.

Wie wir den Test in vereinbarten Grenzen durchführen

Vor dem Start vereinbaren wir Umfang, zulässige Techniken und klare Regeln, damit der Test realistisch und doch sicher für Menschen und Unternehmen ist. Wir nutzen unter anderem Vishing, also Manipulation per Telefon, und Szenarien, die einen Lieferanten oder Kollegen vortäuschen.

Es geht nicht darum, eine bestimmte Person zu überraschen, sondern zu prüfen, ob Verfahren und Wachsamkeit in der Praxis funktionieren. Wir dokumentieren alles und behandeln die Mitarbeitenden mit Respekt.

Warum der Mensch der häufigste Weg hinein ist

Angreifer wählen zunehmend Manipulation statt das Brechen von Schutzmaßnahmen, weil sie schneller und günstiger ist. Ein einziger Anruf kann Zugang verschaffen, für den ein technischer Angriff Wochen bräuchte.

Der Test zeigt, wo Verfahren nur auf dem Papier existieren und wo sie wirklich schützen. Das ist Wissen, das kein Scanner und kein Konfigurationsaudit liefern kann.

Was Sie erhalten und wie Sie die Erkenntnisse nutzen

Der Bericht beschreibt die genutzten Szenarien, ihre Wirksamkeit und die konkreten Lücken in Verfahren und Bewusstsein. Wir weisen darauf hin, was in Prozessen zu ändern und was durch Schulung anzugehen ist.

Die Erkenntnisse setzen Sie am besten in ein Awareness-Programm und klare Verfahren zur Identitätsprüfung um. Ein Social-Engineering-Test zeigt den Ausgangspunkt, und nach einiger Zeit wiederholt, misst er die echte Verbesserung.

FAQ

Die häufigsten Fragen

Wie unterscheidet sich das von einer Phishing-Kampagne?

Phishing ist ein E-Mail-Vektor. Social-Engineering-Tests umfassen ein breiteres Spektrum an Techniken, darunter Telefonate, Impersonation und OSINT.

Zeichnen Sie Mitarbeitende auf?

Wir handeln ethisch und im Rahmen des Gesetzes. Den Umfang der Dokumentation stimmen wir mit Ihnen ab und berichten aggregiert, mit Fokus auf den Prozess.

Ist das nicht Manipulation unserer Leute?

Wir testen Verfahren, keine Einzelpersonen. Das Ziel ist, die Organisation zu stärken, daher dienen Ergebnisse der Prozessverbesserung und Schulung, nicht der Bewertung von Personen.

Wie wählen Sie Ziele aus?

Auf Basis eines realen Angriffsszenarios und OSINT, damit der Test abbildet, was ein echter Angreifer tun würde.

VERWANDT

Verwandte Beiträge

REFERENZEN

Referenzen in diesem Bereich

REFERENZEN

“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”

ERSTER SCHRITT

Starten Sie mit einer kostenlosen Beratung

Sagen Sie uns, was Sie testen möchten. Innerhalb von 24 Stunden erhalten Sie einen Vorschlag zum Umfang und zu den nächsten Schritten. Sie sprechen mit einem Berater, der die technische Seite versteht, nicht mit einem Verkäufer.

Kontakt aufnehmen
Unverbindlich · Antwort innerhalb von 24 Stunden · Ihre Daten bleiben vertraulich
Methodik
PTES · OWASP
Team
20+ Zertifizierungen
Bewertung
5.0 auf Clutch
Das erhalten Sie
Ein auf Ihr Risiko zugeschnittener Umfangsvorschlag
Ein Bericht mit Nachweisen und Reproduktionsschritten
Behebungsprioritäten nach realer Auswirkung
Ein Retest nach Umsetzung der Korrekturen
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Jemand aus unserem Team führt das Gespräch, und wir melden uns innerhalb von 24 Stunden. Keine Bots, kein Callcenter.