Zum Inhalt springen

Header

Zur Übersicht von Play SRF Audio-Übersicht

Social Engineering So manipulieren uns Kriminelle im Internet

Von «A» wie Autorität bis «Z» wie Zeitdruck: Betrüger nutzen gezielt unsere psychologischen Schwächen, um Daten und Geld zu erbeuten.

Die grösste Gefahr für die Cybersicherheit sitzt nicht im Computer, sondern davor: der Mensch. Kriminelle haben längst erkannt, dass technische Schutzmassnahmen oft zweitrangig sind. Viel einfacher ist es, uns dazu zu bringen, freiwillig sensible Daten preiszugeben, Geld zu überweisen oder unbedacht Links anzuklicken. Das tun sie durch gezielte Manipulation - sogenanntes «Social Engineering».

Ein Beispiel dafür sind die derzeit verbreiteten gefälschten SMS, die angeblich von Paketdiensten stammen. Sie behaupten, ein Paket könne nur noch wenige Tage gelagert werden, und fordern dazu auf, sofort einen Link anzuklicken, um die Zustellung zu sichern. Wir erschrecken und handeln vorschnell – auf diesen Reflex setzen die Betrüger. Hinter dem Link verstecken sich Schadsoftware oder täuschend echt aussehende Fake-Webseiten, die sensible Informationen abgreifen.

Respekt und Hilfsbereitschaft werden ausgenutzt

Der Erfolg solcher Methoden basiert auf tief verankerten psychologischen Mechanismen. Der amerikanische Sozialpsychologe Robert Cialdini identifizierte sechs Prinzipien der Beeinflussung, die unser Verhalten prägen und die Betrüger gezielt ausnutzen: Autorität, Knappheit, Gegenseitigkeit, Hilfsbereitschaft, soziale Bewährtheit und Sympathie.

  • Der Respekt vor Autorität lässt uns bekannten Unternehmen oder Institutionen fast automatisch vertrauen. Deshalb geben sich Betrüger gern als Polizei oder Chef aus.

Künstliche Intelligenz, dein Helfer und Betrüger

Box aufklappen Box zuklappen
Screenshot einer betrügerischen SMS.
Legende: SRF

Künstliche Intelligenz verändert die Welt der Cyberkriminalität rasant. Sie kann helfen, Betrugsversuche frühzeitig zu erkennen, indem sie Muster in Phishing-Mails oder gefälschten SMS automatisch identifiziert und blockiert. Gleichzeitig nutzen Kriminelle dieselben Technologien, um ihre Angriffe noch raffinierter zu gestalten.

Generative KI schreibt täuschend echte Phishing-Mails, erstellt personalisierte Fake-SMS und kann sogar Stimmen imitieren, um Telefonbetrug glaubwürdiger wirken zu lassen. Studien zeigen, dass KI-generierte Phishing-Mails ähnlich hohe Erfolgsquoten erzielen wie von Menschen erstellte.

Für Nutzerinnen und Nutzer wird es dadurch immer schwieriger, betrügerische Inhalte rechtzeitig zu erkennen.

  • Das Prinzip der Knappheit spielt mit unserer Angst, etwas zu verpassen: Ein Countdown oder ein exklusives Angebot setzen uns unter Druck und lassen uns vorschnell handeln.
  • Auch das Prinzip der Gegenseitigkeit wird instrumentalisiert. Schon eine kleine Aufmerksamkeit – ein vermeintlicher Gutschein im Attachment einer E-Mail – gibt uns das Gefühl, dem Absender gegenüber in der Pflicht zu stehen.
  • Unsere Hilfsbereitschaft nutzen Kriminelle, indem sie zunächst um einen kleinen Gefallen bitten und ihre Forderungen schrittweise steigern – bis wir am Ende sensible Informationen preisgeben.

Schokolade und Passwörter

Box aufklappen Box zuklappen
Ein gelber Notizzettel mit der Aufschrift «Passwort 12345678» liegt auf einem Laptop-Keyboard.
Legende: imago images

Wie leicht Menschen durch kleine Gefälligkeiten beeinflusst werden, zeigte eine grossangelegte Studie der Universität Luxemburg.

Die Forscher baten Passantinnen und Passanten, ein persönliches Passwort preiszugeben. Wenn die Frage ohne Geschenk gestellt wurde, gaben nur 29,8 Prozent das Passwort an.

Bekamen die Befragten vor der Frage eine kleine Schokolade, stieg der Anteil auf 43,5 Prozent . Wurde die Schokolade direkt bei der Frage angeboten, waren es sogar 47,9 Prozent.

Das Experiment verdeutlicht, wie stark das Prinzip der Gegenseitigkeit wirkt und wie leicht Cyberkriminelle diesen Mechanismus ausnutzen können.

  • Das Prinzip der sozialen Bewährtheit baut auf Gruppendruck: Wenn wir glauben, alle anderen hätten das auch getan, klicken wir eher auf verdächtige Links oder ändern Passwörter auf Fake-Seiten.
  • Und schliesslich spielt auch Sympathie eine Rolle: Wir helfen eher Menschen, die uns sympathisch erscheinen, was Betrüger gern ausnutzen.

Nicht schämen, sondern melden

Doch nicht nur Kriminelle bedienen sich solcher Mechanismen. Auch legale Webseiten nutzen immer häufiger manipulative Tricks, bekannt als «Dark Pattern Design». Online-Shops setzen etwa Countdown-Timer ein, um Kaufentscheidungen zu beschleunigen. Besonders verbreitet sind auch Abo-Fallen: Ein Abschluss ist mit einem Klick erledigt, während die Kündigung über mehrere verschachtelte Menüs führt.

Verboten aber doch Alltag

Box aufklappen Box zuklappen
Ein Mann hält ein Buch mit dem Titel «Europe: Digital Services Act».
Legende: imago images

Das Gesetz über digitale Dienste der EU verbietet seit 2022 den Einsatz von Dark Patterns. Demnach dürfen Online-Plattformen und -Märkte niemanden dazu bringen, ihre Dienste zu nutzen, indem sie zum Beispiel eine bestimmte Wahlmöglichkeit stärker hervorheben oder Empfänger durch Pop-ups dazu drängen, ihre Wahl zu ändern. Ausserdem sollte die Kündigung eines Abonnements für einen Dienst nicht schwieriger sein als das Abonnieren.

Eine Untersuchung der deutschen Verbraucherzentrale von 18 Social-Media-Plattformen und Online-Marktplätzen kommt aber zum Schluss, dass alle untersuchten Anbieter trotz Verbot weiter auf manipulative Designs setzen.

Das Problem: Solche Methoden bewegen sich oft in einem rechtlichen Graubereich, die Grenze zwischen unbewusst schlechtem Design, cleverem Marketing und gezielter Täuschung ist schwer zu ziehen. Viele Anbieter testen darum bewusst aus, wie weit sie gehen können.

Was also tun? Expertinnen und Experten raten, grundsätzlich skeptisch zu bleiben: Keine Links öffnen, die man nicht selbst angefordert hat, und sensible Daten nur auf eindeutig verifizierten Seiten eingeben. Wenn etwas zu dringend klingt oder zu gut, um wahr zu sein, lohnt sich ein zweiter Blick.

Und wer doch einmal hereinfällt, sollte sich nicht schämen, sondern den Vorfall schnellstmöglich melden – etwa beim Bundesamt für Cybersicherheit, bei der e-Police oder der kantonalen Polizei.

Radio SRF 1, Espresso, 04.09.2025, 08:20 Uhr

Meistgelesene Artikel