Rollenspiel: Spionage durch Social Engineering mit dem Versuch eines CEO-Fraud

FeldInhalt
NameRollenspiel: Spionage durch Social Engineering – CEO‑Fraud
AnbieterBundesamt für Sicherheit in der Informationstechnik (BSI)
HerkunftslandDE
Kurzbeschreibung Realitätsnahes Rollenspiel zum Erkennen von Social‑Engineering‑Angriffen in Unternehmen. Teilnehmende übernehmen Rollen aus dem Arbeitsalltag und erleben live ein CEO‑Fraud‑Szenario.
KategorieRollenspiel
PlattformPräsenz
Zielgruppe Fachfremde, Führungskräfte
Spielerzahl5 – 8
Spieldauer30 – 60 Minuten
GroßgruppenformateJa
TechnikbedarfRaum, Beamer
Lernziele Erkennen und Einordnen von Social Engineering, CEO‑Fraud und Profiling; Reflexion psychologischer Angriffstechniken.
Besonderheiten Hoher Realismusgrad, starker Emotionaldruck; Materialien frei verfügbar; ideal für Workshops mit Reflexion.
URL https://www.bsi.bund.de/…/Rollenspiel_Social_Engineering.html
Moderation notwendigJa
Train‑the‑TrainerJa
Selbst umsetzbarJa

Das Cyber-Sicherheitsnetzwerk (CSN) des BSI hat mit diesem knapp 45-minütigen Präsenz­format ein Rollenspiel entwickelt, in dem ein gezielter CEO-Fraud auf ein fiktives mittel­ständisches Systemhaus – die „Lions IT GmbH“ – live nachgestellt wird. Ausgangslage: Eine Assistentin der Geschäfts­führung berichtet von einem merkwürdigen Telefonat, bei dem sie sensible Interna preisgegeben haben könnte; fast zeitgleich äußert ein Controller den Verdacht, dass eine ungewöhnliche Zahlungs­anweisung im Umlauf ist.

Aufbau und Rollen Die Teilnehmenden übernehmen jeweils eine Rolle aus dem realen Unternehmens­alltag (Geschäftsführung, Assistenz, IT-Security, Controlling, HR). Jede Rollen­karte enthält persönliche Ziele, Beziehungen und Handlungsspielräume.
Kern des Formats ist der menschliche Faktor: Alle Informationen, die der „Angreifer“ nutzt, stammen aus öffentlich zugänglichen Quellen oder Small-Talk-Situationen. So erleben selbst erfahrene IT-Fachleute, wie subtil sich Vertrauen aufbauen und Druck erzeugen lässt – etwa indem der angebliche CEO per Telefon in großer Eile eine sechsstellige Überweisung fordert.
Drei Phasen
  • Briefing
    • Die Moderation verteilt Rollen, erklärt Ablauf und Safety-Regeln.
  • Rollenspiel
    • Telefonate, Chat-Nachrichten, Social-Media-Recherchen und interne Diskussionen entfalten ein realistisches Angriffsszenario. Das Team muss Abläufe überprüfen, Außen­kontakte verifizieren und Verdachtsmomente melden.
  • Debriefing
    • Gemeinsam wird rekonstruiert, wo Informations­lecks entstanden, warum der Druck funktionierte und welche Gegen­maßnahmen sinnvoll gewesen wären. Der CSN-Experte gibt Praxis­tipps zu 4-Augen-Prinzip, Zahlungs­freigabe­prozessen und Awareness-Kampagnen.
Warum das Thema aktuell ist Laut Allianz-Risk-Barometer 2025 gehören Geschäftsmail-Compromise und CEO-Fraud weiterhin zu den drei teuersten Cyber-Schadens­arten; der weltweite Schaden wird auf über 2 Mrd. US-Dollar jährlich geschätzt. Deep-fake-Audio-Angriffe, bei denen eine KI die Stimme von Vorstands­mitgliedern imitiert, verleihen solchen Betrugs­versuchen zusätzliche Glaubwürdigkeit

Besondere Merkmale
  • Hohe emotionale Beteiligung: Echtzeit-Rollenspiel erzeugt Stress und Zeitdruck wie im realen Vorfall.
  • Flexible Erweiterbarkeit: Zusätzliche Rollen (z. B. IT-Dienstleister oder externe Auditorin) können integriert werden, um das Szenario auf größere Gruppen auszudehnen.
  • Minimaler Aufwand: ohne Technik nötig, lediglich Ausdrucke und ein ruhiger Raum.
Mit seinem Fokus auf den menschlichen Schwachpunkt ergänzt das Rollenspiel klassische Phishing-Simulationen oder technische Red-Team-Übungen. Es eignet sich als eigenständiger Agenda-Punkt in Awareness-Wochen, lässt sich aber auch als Warm-up für tiefergehende Incident-Response-Trainings einsetzen. Alle Unterlagen stehen kostenlos auf der BSI-Website bereit, sodass Unternehmen, Behörden oder Bildungsträger das Szenario ohne Lizenzkosten in ihre Schulungspläne integrieren können.
Hier geht es zur Liste der Serious Games
Marktplatz IT-Sicherheit: weitere Angebote
BEITRÄGE IT-SICHERHEIT
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
Use Cases - Whitepaper - Icon
Use Cases IT-Sicherheit
Use Cases zu IT-Sicherheitsthemen
RATGEBER IT-SICHERHEIT
Glühbirne - Ratgeber - Icon
Cyber-Risiko-Check
Hilfestellungen IT-Sicherheit
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch "Cyber-Sicherheit"
IT-Gesetze Icon
IT-Sicherheitsgesetze
Aktueller Gesetzesrahmen
secaware - icon
IT-Sicherheitszahlen
Aktuelle Kennzahlen
Tools - icon
IT-Sicherheitsthemen
Orientierung in der IT-Sicherheit
FORUM IT-SICHERHEIT
Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
Stand der Technik - icon
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
IT-Supply Chain Security
Diskussionsforum
IT-COUCH
TS-Couch-Sofa-Icon
Marktplatz Formate
Experten sehen & hören
ts-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören
its-couch-video-icon
Livestream IT-Sicherheit
Events & Material
INTERAKTIVE LISTEN
IT-Notfall
IT-Notfall
IT-Notfall
Penetrationstests
IT-Notfall
Informationssicherheitsbeauftragte (ISB)
IT-Notfall
Security Operations Center (SOC)
IT-Notfall
Datenschutzbeauftragte (DSB)
IT-Notfall
IT-Sicherheitsrecht
Juristische Beratung
IT-SICHERHEITSTOOLS
secaware - icon
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Tools - icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
ZERTIFIKATE IT-SICHERHEIT
Personenzertifikate - icon
Personenzertifikate
Interaktive Liste
unternehmenzertifikate - icon
Unternehmenszertifikate
Interaktive Liste
Produktzertifikate - icon
Produktzertifikate
Interaktive Liste
VERANSTALTUNGEN
ANBIETERVERZEICHNIS
Skip to content