Skip to content

Welcher Vorwand ist für einen autorisierten Social-Engineering-Test akzeptabel?

Kurzantwort

Social-Engineering-Tests müssen innerhalb vereinbarter, ethischer Vorwände bleiben: realistisch genug, um nützlich zu sein, aber ohne Nötigung, ohne das Vortäuschen von Behörden und ohne das Ausnutzen persönlicher oder medizinischer Situationen. Ein generisches IT-Passwort-Reset, das in den Rules of Engagement vereinbart ist, ist zulässig. Sich als krankes Kind eines echten Mitarbeiters auszugeben oder jemandem mit Kündigung zu drohen verursacht echten psychischen Schaden. Sich als Strafverfolgungsbehörde auszugeben täuscht eine Behörde vor und ist selbst mit unterschriebenem Auftrag oft illegal.

Social Engineering ist gerade deshalb mächtig, weil es Menschen manipuliert, weshalb es die strengsten ethischen Leitplanken aller Pentest-Disziplinen verlangt. Ein unterschriebener Auftrag autorisiert einen Test — er autorisiert keine Grausamkeit.

Warum ein plausibler, vereinbarter, harmloser Vorwand richtig ist

Der richtige Vorwand ist realistisch genug, um die menschliche Angriffsfläche zu messen, aber harmlos für die Person: ein generisches IT-Passwort-Reset, ein routinemäßiges Lieferanten-Follow-up, eine harmlose Zustellbenachrichtigung — und entscheidend: vorab in den Rules of Engagement vereinbart. Vorwände innerhalb dokumentierter Grenzen zu halten bedeutet, dass der Kunde den Methoden zustimmt, die Zielpersonen nicht traumatisiert werden und Sie auf der richtigen Seite des Gesetzes bleiben. Ziel ist es, zu erfahren, wie die Organisation reagiert, nicht einzelne Mitarbeiter zu brechen.

Warum die anderen Optionen falsch sind

  • Sich als krankes Kind eines namentlich genannten Mitarbeiters ausgeben. Das instrumentalisiert die Familie einer realen Person und nutzt einen echten emotionalen Druckpunkt aus. Es verursacht echten Stress und beschädigt das Vertrauen in das Sicherheitsteam lange nach Testende.
  • Der Zielperson mit Kündigung drohen. Nötigung ist kein Social Engineering, sondern Einschüchterung. Sie schadet dem Mitarbeiter, repräsentiert nicht den typischen Angreiferhebel, den man ethisch messen wollte, und kann personalrechtliche und juristische Haftung erzeugen.
  • Sich als Strafverfolgungsbehörde ausgeben. Polizisten oder Amtsträger zu imitieren ist in vielen Rechtsordnungen eine schwere Straftat und in der Regel nichts, was ein Kunde rechtmäßig autorisieren kann. Es erzeugt zudem Angst, die die ethische Grenze überschreitet.

Worauf ein Interviewer achtet

Er will sehen, dass Sie verstehen, dass Einwilligung und Schadensminimierung für die Menschen im Scope gelten, nicht nur für Systeme. Ein starker Kandidat schlägt wirksame Vorwände vor und benennt zugleich die roten Linien — keine Behörden, keine Drohungen, kein Ausnutzen medizinischer oder familiärer Notlagen — und besteht darauf, dass diese Grenzen in den Rules of Engagement stehen.

Wahrscheinliche Anschlussfragen

  • Wo sollten die genehmigten Vorwände und etwaige harte Grenzen dokumentiert werden?
  • Wie schützen Sie das Wohlergehen und die Würde der anvisierten Mitarbeiter während des Tests?
  • Warum ist das Vortäuschen einer Strafverfolgungsbehörde selbst mit Freigabe des Kunden rechtlich riskant?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.