21. Mai 2026 • Cybersicherheit
Baiting ist eine der ältesten und wirksamsten Social-Engineering-Techniken in der Cybersicherheit – und zugleich eine der am wenigsten beachteten. Während Phishing die Dringlichkeit und Vishing das Vertrauen ausnutzt, setzt Baiting auf etwas noch Grundlegenderes: Neugier. Ein Angreifer legt etwas Verlockendes in den Weg eines potenziellen Opfers und wartet darauf, dass die menschliche Natur den Rest erledigt. Zu verstehen, was Baiting ist, wie es online und physisch funktioniert und warum es trotz des breiten Bewusstseins für Cyberbedrohungen weiterhin funktioniert, ist der erste Schritt, um Ihr Unternehmen davor zu schützen.
Was ist Baiting?
Baiting ist eine Social-Engineering-Attacke, bei der ein Angreifer einen verlockenden oder Neugier weckenden Köder, den „Bait“, einsetzt, um ein Ziel dazu zu verleiten, eine Handlung auszuführen, die dessen Sicherheit oder die Sicherheit seiner Organisation gefährdet. Der Köder kann digitaler oder physischer Natur sein, doch das Ziel ist immer dasselbe: das Ziel dazu zu bringen, etwas zu tun, was es sonst nicht tun würde.
Der Begriff leitet sich aus dem Angeln ab: Man befestigt einen Köder am Haken und wartet. In der Cybersicherheit ist der Haken Malware, eine Seite zum Ausspähen von Zugangsdaten oder ein Einstiegspunkt in ein Netzwerk. Der Köder ist alles, von dem der Angreifer glaubt, dass es für das Ziel unwiderstehlich ist: kostenlose Software, ein gefundenes USB-Stick, ein „exklusiver“ Download-Link, eine Gewinnbenachrichtigung.
Was Baiting von anderen Social-Engineering-Angriffen unterscheidet, ist, dass es keinen direkten Kontakt zwischen Angreifer und Opfer erfordert. Der Angreifer stellt die Falle und wartet ab. Dadurch ist diese Methode skalierbar – ein gut platzierter Köder kann Hunderte von Menschen erreichen – und lässt sich schwerer zurückverfolgen als Phishing oder Vishing.
Köder im Internet: So funktioniert Online-Köderung
Internet-Köder gibt es in vielen Formen. Ihnen allen ist gemeinsam, dass sie etwas anbieten, was das Zielpublikum haben möchte, und dann etwas liefern, um das das Zielpublikum gar nicht gebeten hat. Zu den gängigen Formen von Internet-Ködern gehören:
- Kostenlose Software- oder Medien-Downloads. Eine Website bietet eine kostenlose Version einer kostenpflichtigen Software, eines Films, eines Spiels oder eines Tools an. Der Download enthält Malware, die zusammen mit oder anstelle des versprochenen Inhalts gebündelt ist. Das Opfer installiert diese bereitwillig.
- Benachrichtigungen über Preise oder Prämien. Pop-ups oder E-Mails teilen dem Nutzer mit, dass er einen Preis gewonnen hat, Anspruch auf eine Rückerstattung hat oder der tausendste Besucher ist. Ein Klick darauf führt zu einer Seite, auf der Zugangsdaten abgefragt werden, oder löst den Download von Malware aus.
- Gefälschte Stellenangebote oder berufliche Angebote. Diese Köder richten sich an Berufstätige, insbesondere über LinkedIn oder per E-Mail, und versprechen Vorteile im Austausch dafür, dass man auf einen Link klickt, einen Anhang öffnet oder ein Formular ausfüllt, wodurch persönliche oder geschäftliche Zugangsdaten abgegriffen werden.
- Links, die Neugier wecken. Ein Link, der per E-Mail, über Messaging-Dienste oder in sozialen Medien geteilt wird und etwas Aufregendes, Exklusives oder persönlich Relevantes verspricht. „Dein Foto wurde geteilt“, „Sieh nach, wer dein Profil angesehen hat“, „Durchgesickertes Dokument über [dein Unternehmen]“. Das Ziel klickt darauf, weil die Neugier die Vorsicht übertrumpft.
- Gefälschte Sicherheitswarnungen. Ein Pop-up-Fenster warnt, dass das Gerät infiziert sei, und fordert den Nutzer auf, ein „Reparatur-Tool“ herunterzuladen. Dieses Tool ist die Malware.
Internet-Baiting funktioniert, weil es die Zielgruppe dort anspricht, wo sie sich ohnehin gerade aufhält – beim Surfen, Scrollen und Herunterladen – und ihr etwas bietet, das sich wie eine Belohnung anfühlt, nicht wie ein Risiko.
Physische Köder: Der USB-Drop und mehr
Nicht alle Phishing-Angriffe finden online statt. Das physische Phishing, bei dem infizierte Geräte oder Datenträger an Orten zurückgelassen werden, an denen die Zielpersonen sie finden, ist eine gut dokumentierte und durchweg wirksame Angriffstechnik. Die häufigste Form ist das „USB-Drop“.
Ein Angreifer hinterlässt einen oder mehrere USB-Sticks an einem Ort, an dem Mitarbeiter der Zielorganisation sie wahrscheinlich finden werden: auf einem Parkplatz, an der Rezeption, in einem Konferenzraum oder auf einer Toilette. Der Stick ist oft beschriftet, um die Neugier zu wecken, etwa mit „Gehaltsdaten Q3“, „Vertraulich“ oder „Fotos von der Feier“. Ein Mitarbeiter findet ihn, schließt ihn an ein Arbeitsgerät an, um zu sehen, was darauf ist, und führt die Schadsoftware des Angreifers aus.
Studien haben wiederholt gezeigt, dass ein erheblicher Anteil der Menschen, die einen unbekannten USB-Stick finden, diesen anschließen. Das Etikett erhöht diese Wahrscheinlichkeit noch weiter. Physische Köder sind gerade deshalb so wirksam, weil sie alle E-Mail-Sicherheitsmaßnahmen, Webfilter und Endpunktkontrollen umgehen, in die ein Unternehmen investiert hat, und sich allein darauf verlassen, dass eine Person das tut, was Menschen tun, wenn sie etwas finden, das interessant sein könnte.
Baiting vs. Phishing vs. andere Social-Engineering-Methoden: Die wichtigsten Unterschiede
| Technik | Hauptauslöser | Kontakt erforderlich | Kanal |
|---|---|---|---|
| Köderung | Neugier, Gier, Eigeninteresse | Nein, der Angreifer stellt eine Falle und wartet | Online (Download, Link) oder physisch (USB) |
| Phishing | Dringlichkeit, Angst, Autorität | Indirekt (E-Mail an den Empfänger gesendet) | E-Mail, Nachrichten |
| Vishing | Vertrauen, Autorität, Dringlichkeit | Ja, ein Live-Telefonat | Sprache / Telefon |
| Pretexting | Vertrauen in eine erfundene Identität | Ja, direkte Interaktion | Per E-Mail, telefonisch, persönlich |
| Gegenleistung | Gegenseitigkeit, eine Leistung für eine andere | Ja, der Angreifer unterbreitet ein Angebot | Telefon, E-Mail |
Einen Überblick über die verschiedenen Arten von Phishing-Angriffen finden Sie unter „Verschiedene Arten von Phishing-Angriffen“.
So schützen Sie Ihr Unternehmen vor Baiting
Technische Maßnahmen helfen zwar – etwa das Deaktivieren der USB-Autostart-Funktion, das Blockieren nicht vertrauenswürdiger Download-Quellen und Webfilter –, doch sie lösen nur einen Teil des Problems. Der Kern des Baiting liegt in einer menschlichen Entscheidung: etwas in die Hand nehmen, darauf klicken, einstecken. Der einzige verlässliche Schutz vor dieser Entscheidung ist ein Mitarbeiter, der vor dem Handeln innehält.
Dieses Innehalten ist ein erlerntes Verhalten. Schulungen zur Sensibilisierung für Sicherheitsfragen, die Köderszenarien behandeln, vermitteln den Mitarbeitern die Denkweise, mit der sie einen Köder – sei er online oder physisch – erkennen und hinterfragen können, anstatt impulsiv zu handeln. Wichtige Gewohnheiten, die es zu entwickeln gilt:
- Schließen Sie niemals ein unbekanntes USB-Gerät an. Ganz gleich, wo Sie es gefunden haben oder wie es beschriftet ist. Geben Sie es an die IT-Abteilung weiter.
- Seien Sie misstrauisch gegenüber Online-Angeboten, die „zu gut sind, um wahr zu sein“. Kostenlose Software, unerwartete Gewinnbenachrichtigungen und exklusive Downloads sind typische Lockangebote.
- Überprüfen Sie die Quelle vor dem Herunterladen. Mitarbeiter, die die Quelle eines Downloads anhand einer vertrauenswürdigen Liste überprüfen, laufen deutlich seltener Gefahr, durch Phishing-Angriffe Malware zu installieren.
- Melden Sie es, ignorieren Sie es nicht. Ein gefundenes USB-Stick oder eine verdächtige Download-Aufforderung sollten gemeldet werden. Wenn das Melden solcher Vorfälle zur Selbstverständlichkeit wird, erhalten Sicherheitsteams frühzeitig eine Warnung.
„Baiting“ nutzt das aus, was Menschen in anderen Situationen erfolgreich macht: Neugier, Offenheit und Hilfsbereitschaft. Das Sensibilisierungstraining versucht nicht, diese Eigenschaften zu unterdrücken. Es vermittelt den Menschen vielmehr, wann sie eine zusätzliche Portion Skepsis walten lassen sollten, bevor sie darauf reagieren.
Schulen Sie die Mitarbeiter darin, den Köder zu erkennen
Bevor Neugierde zu einem Verstoß wird.