Offenlegung
Die hier geäußerten Ansichten und Meinungen gehören ausschließlich dem Autor und spiegeln nicht die Ansichten und Meinungen der Redaktion von crypto.news wider.
Einleitung
Im vergangenen Jahr hatten die meisten der größten Ausnutzungen im Bereich Kryptowährungen eine gemeinsame Grundursache: Menschen. Allein in den letzten Monaten forderte Ledger die Nutzer auf, ihre On-Chain-Aktivitäten zu pausieren, nachdem bösartige Pakete über npm verbreitet wurden. Workday gab eine Social-Engineering-Kampagne bekannt, die auf Daten in einem Drittanbieter-CRM zugriff. Zudem setzten nordkoreanisch verknüpfte Betreiber gefälschte Stellenangebote ein, um Malware gegen Krypto-Teams zu verbreiten.
Die Anfälligkeit für soziale Ingenieuranriffe
Trotz der Milliarden, die in Cybersicherheit investiert werden, sind Unternehmen weiterhin anfällig für einfache soziale Ingenieuranriffe. Teams investieren Geld in technische Sicherheitsmaßnahmen, Audits und Code-Überprüfungen, während sie operative Sicherheit, Geräthygiene und grundlegende menschliche Faktoren vernachlässigen. Da immer mehr finanzielle Aktivitäten On-Chain verlagert werden, wird dieser blinde Fleck zu einem systemischen Risiko für die digitale Infrastruktur.
Der menschliche Faktor in der Cybersicherheit
Der Verizon Data Breach Investigations Report 2025 verknüpft das „menschliche Element“ der Cybersicherheit (Phishing, gestohlene Anmeldeinformationen und alltägliche Fehler) mit etwa 60 % der Datenverletzungen. Social Engineering funktioniert, weil es Menschen und nicht Code ins Visier nimmt und Vertrauen, Dringlichkeit, Vertrautheit und Routine ausnutzt. Diese Arten von Ausnutzungen können nicht durch ein Code-Audit eliminiert werden und sind schwer mit automatisierten Cybersicherheitswerkzeugen zu verteidigen.
„Eine Code-Überprüfung und andere gängige Cybersicherheitspraktiken können einen Mitarbeiter nicht daran hindern, eine betrügerische Anfrage zu genehmigen, die wie von einem Manager stammt, oder ein gefälschtes Zoom-Update herunterzuladen, das legitim erscheint.“
Die Risiken im Web3
Programmierbares Geld konzentriert Risiken. Im Web3 kann das Kompromittieren eines Seed-Phrasens oder eines API-Tokens dem Brechen eines Bankschließfachs gleichkommen. Die irreversible Natur von Krypto-Transaktionen verstärkt Fehler: Sobald Gelder bewegt werden, gibt es oft keine Möglichkeit, die Transaktion rückgängig zu machen. Ein einziger Fehler in der Gerätesicherheit oder im Umgang mit Schlüsseln kann Vermögenswerte vernichten.
Die Anpassung der Angreifer
Hacker, einschließlich staatlich unterstützter Söldner, haben die Effektivität von Social-Engineering-Angriffen erkannt und sich entsprechend angepasst. Operationen, die der nordkoreanischen Lazarus-Gruppe zugeschrieben werden, stützen sich stark auf Social Engineering: gefälschte Stellenangebote, vergiftete PDFs, bösartige Pakete und maßgeschneidertes Phishing, das menschliche Schwächen ausnutzt. Diese Ausnutzungen sind erschreckend effektiv und einfach auszuführen, und Technologieunternehmen scheinen nicht in der Lage zu sein, sich dagegen zu verteidigen.
Die Notwendigkeit für Veränderungen
Zu viele Organisationen betrachten Sicherheit immer noch als Compliance-Übung – eine Haltung, die durch nachsichtige regulatorische Standards verstärkt wird. Unternehmen bestehen routinemäßig Audits und veröffentlichen makellose Berichte, während sie gleichzeitig eklatante operationale Risiken in sich tragen: Administrator-Schlüssel, die auf persönlichen Laptops gespeichert sind, Anmeldeinformationen, die über Chat und E-Mail geteilt werden, veraltete Zugriffsrechte, die nie rotieren, und Reisek laptops, die als Entwicklungsmaschinen umfunktioniert werden.
Empfohlene Sicherheitsmaßnahmen
Diese Disziplinversagen zu beheben, erfordert explizite, durchgesetzte operative Sicherheit. Teams sollten verwaltete Geräte, starken Endpunktschutz und vollständige Festplattenverschlüsselung verwenden; Unternehmensanmeldungen sollten Passwortmanager und phishing-resistente MFA nutzen; und Systemmanager sollten Berechtigungen und Zugriffe sorgfältig verwalten. Diese Kontrollen sind kein Allheilmittel, aber sie tragen dazu bei, soziale Ingenieuranriffe schwieriger zu machen und die Auswirkungen potenzieller Ausnutzungen zu mindern.
Schulung und Sensibilisierung
Am wichtigsten ist, dass Teams in Schulungen zur operativen Sicherheit investieren müssen; Mitarbeiter (nicht Cybersicherheitsteams) sind die erste Verteidigungslinie gegen soziale Ingenieuranriffe. Unternehmen sollten Zeit damit verbringen, ihre Teams zu schulen, um wahrscheinliche Phishing-Angriffe zu erkennen, sichere Datenhygiene zu praktizieren und die Prinzipien der operativen Sicherheit zu verstehen.
Regulatorische Maßnahmen
Kritisch ist, dass wir nicht erwarten können, dass Organisationen freiwillig verstärkte Cybersicherheitsmaßnahmen übernehmen; Regulierungsbehörden müssen eingreifen und durchsetzbare operationale Baselines festlegen, die echte Sicherheit nicht optional machen. Compliance-Rahmen sollten über Dokumentation hinausgehen und nachweisbare Beweise für sichere Praktiken verlangen: verifiziertes Schlüsselmanagement, regelmäßige Zugriffsüberprüfungen, Endpunkt-Härtung und simulierte Phishing-Bereitschaft.
Die Rolle der KI
Generative KI hat die Wirtschaftlichkeit der Täuschung verändert. Angreifer können Phishing jetzt personalisieren, lokalisieren und automatisieren – und das in industriellem Maßstab. Kampagnen, die einst auf einen einzelnen Benutzer oder ein Unternehmen abzielten, können jetzt verwendet werden, um Tausende von Unternehmen mit minimalen zusätzlichen Kosten ins Visier zu nehmen.
Fazit
Social Engineering wird nicht verschwinden, aber wir können es viel weniger effektiv und viel weniger katastrophal machen, wenn Angriffe auftreten. Während die Branche sich gegen diese Angriffe absichert, wird Social Engineering für Hacker weniger lukrativ, und die Angriffsrate wird sinken, was schließlich zu einem echten Ende dieses atemlosen Zyklus von Ausnutzungen führt.
Jan Philipp Fritsche
