Social Engineering kehrte im DBIR unter die drei häufigsten Angriffsmuster zurück. Gemeinsam mit Systemeinbrüchen und sonstigen Fehlern macht es laut Verizon 81 Prozent der untersuchten Sicherheitsvorfälle aus. Chao Cheng-Shorland, Mitgründerin und CEO von ShelterZoom, beobachtet seit etwa zwölf bis 18 Monaten, dass mehr Gesundheitseinrichtungen mit fortgeschrittenen Angriffen zu kämpfen haben, die KI-gestütztes Social Engineering einsetzen, um Beschäftigte unter Zeitdruck zu setzen.
„Angreifer haben klassisches Phishing eine Stufe weitergedreht, indem sie mit generativer KI hochgradig zielgerichtete, kontextbezogene Nachrichten und schädliche Dokumente in großem Umfang erstellen“, sagt Cheng-Shorland gegenüber Dark Reading.
Errol Weiss, CSO des Health Information Sharing and Analysis Center (Health-ISAC), bezeichnet Social Engineering als anhaltende und zugleich hochwirksame Bedrohung. Entscheidend sei, wie gut die Maschen den operativen Zeitdruck, komplexe Lieferantenbeziehungen und besonders lohnende Ziele wie Zugangsdaten und Patientendaten ausnutzen. „Wichtiger als das reine Volumen ist die Wirksamkeit“, so Weiss. Angreifer hätten auf verbesserte E-Mail-Sicherheit reagiert, indem sie ihre Vorwände verfeinern und Köder auf typische Abläufe im Gesundheitswesen zuschneiden – etwa Lieferantenrechnungen, Personalwesen, IT-Zugänge und sogar klinische Abläufe.
Sarah Sabotka, Threat-Researcherin bei Proofpoint, weist allerdings darauf hin, dass der scheinbare Anstieg auch auf bessere Meldungen zurückgehen könnte. Im DBIR 2025 sei „Everything Else“ wegen geringer Datenverfügbarkeit in Meldungen eines der drei häufigsten Muster gewesen; 2026 habe Social Engineering diesen Platz eingenommen. „Die Zahlen für 2026 spiegeln womöglich ebenso sehr eine bessere Sichtbarkeit wider wie einen tatsächlichen Anstieg der Aktivität“, sagt Sabotka.
Ein roter Faden im DBIR ist der Aufstieg des Pretexting – das Vortäuschen von Identitäten oder Szenarien, um ein Ziel zu Handlungen zu bewegen, die es sonst nicht ausführen würde. Mit Hilfe von KI rückte Pretexting bei Gesundheitsvorfällen auf Platz zwei der sozialen Handlungen, direkt hinter Phishing. In den DBIR-Ausgaben 2024 und 2025 wurde es im Zusammenhang mit dem Gesundheitswesen nicht erwähnt.
„Pretexting kann sehr erfolgreich sein, weil eine sorgfältig konstruierte Hintergrundgeschichte die Glaubwürdigkeit solcher Köder erhöht“, erklärt Sabotka. Anders als die meisten Köder, die auf Dringlichkeit setzen, ziele Pretexting darauf ab, Legitimität herzustellen und Vertrauen aufzubauen.
Die größte Sorge sei, dass Angreifer nicht mehr raten müssten, wie eine Organisation kommuniziert, so Cheng-Shorland. KI könne aus Dokumenten, Verträgen, Präsentationen und anderen Dateien lernen und Schreibstil, Terminologie, Lieferantenbeziehungen und Kommunikationsmuster analysieren, um täuschend echte Nachrichten zu verfassen. „In hochgradig kollaborativen Branchen entsteht so eine gefährliche Rückkopplungsschleife: Je mehr sensible Inhalte offengelegt werden, desto genauer können Angreifer Führungskräfte, Klinikpersonal, Geschäftspartner und vertrauenswürdige Lieferanten imitieren.“
Health-ISAC beobachtet eine Verschiebung hin zu gezielterer, identitätsbasierter und kanalübergreifender Manipulation. Die Entwicklung umfasse laut Weiss engere Personalisierung, mehr Imitation von Lieferanten, Führungskräften und Helpdesk sowie einen stärkeren Fokus auf Diebstahl von Zugangsdaten und Session-Hijacking.
Verizon empfiehlt, Phishing zur obersten Priorität zu machen, Mehr-Faktor-Authentifizierung auf den VPN-Zugang auszuweiten und kontinuierliche Sicherheitsschulungen einzuführen. Weiss plädiert für mehrschichtige Identitätskontrollen und strenge Verifizierungsverfahren, „weil Angreifer ebenso auf menschliches Vertrauen wie auf technische Schwächen abzielen“.
