Rollenspiel: Spionage durch Social Engineering mit dem Versuch eines CEO-Fraud

Aufbau und Rollen Die Teilnehmenden übernehmen jeweils eine Rolle aus dem realen Unternehmens­alltag (Geschäftsführung, Assistenz, IT-Security, Controlling, HR). Jede Rollen­karte enthält persönliche Ziele, Beziehungen und Handlungsspielräume.
Kern des Formats ist der menschliche Faktor: Alle Informationen, die der „Angreifer“ nutzt, stammen aus öffentlich zugänglichen Quellen oder Small-Talk-Situationen. So erleben selbst erfahrene IT-Fachleute, wie subtil sich Vertrauen aufbauen und Druck erzeugen lässt – etwa indem der angebliche CEO per Telefon in großer Eile eine sechsstellige Überweisung fordert.
Drei Phasen

• Briefing
Die Moderation verteilt Rollen, erklärt Ablauf und Safety-Regeln.
• Rollenspiel
Telefonate, Chat-Nachrichten, Social-Media-Recherchen und interne Diskussionen entfalten ein realistisches Angriffsszenario. Das Team muss Abläufe überprüfen, Außen­kontakte verifizieren und Verdachtsmomente melden.
• Debriefing
Gemeinsam wird rekonstruiert, wo Informations­lecks entstanden, warum der Druck funktionierte und welche Gegen­maßnahmen sinnvoll gewesen wären. Der CSN-Experte gibt Praxis­tipps zu 4-Augen-Prinzip, Zahlungs­freigabe­prozessen und Awareness-Kampagnen.

Warum das Thema aktuell ist Laut Allianz-Risk-Barometer 2025 gehören Geschäftsmail-Compromise und CEO-Fraud weiterhin zu den drei teuersten Cyber-Schadens­arten; der weltweite Schaden wird auf über 2 Mrd. US-Dollar jährlich geschätzt. Deep-fake-Audio-Angriffe, bei denen eine KI die Stimme von Vorstands­mitgliedern imitiert, verleihen solchen Betrugs­versuchen zusätzliche Glaubwürdigkeit

Besondere Merkmale

• Hohe emotionale Beteiligung: Echtzeit-Rollenspiel erzeugt Stress und Zeitdruck wie im realen Vorfall.
• Flexible Erweiterbarkeit: Zusätzliche Rollen (z. B. IT-Dienstleister oder externe Auditorin) können integriert werden, um das Szenario auf größere Gruppen auszudehnen.
• Minimaler Aufwand: ohne Technik nötig, lediglich Ausdrucke und ein ruhiger Raum.

Mit seinem Fokus auf den menschlichen Schwachpunkt ergänzt das Rollenspiel klassische Phishing-Simulationen oder technische Red-Team-Übungen. Es eignet sich als eigenständiger Agenda-Punkt in Awareness-Wochen, lässt sich aber auch als Warm-up für tiefergehende Incident-Response-Trainings einsetzen. Alle Unterlagen stehen kostenlos auf der BSI-Website bereit, sodass Unternehmen, Behörden oder Bildungsträger das Szenario ohne Lizenzkosten in ihre Schulungspläne integrieren können.