---

---

02/17/2026 17:01

Dr. Sergej Schultenkämper von der HSBI verrät, wie man sich vor Cyberkriminellen schützt

Dr. Lars Kruse Ressort Hochschulkommunikation
Hochschule Bielefeld

Mit den immer vielfältiger werdenden Möglichkeiten von KI wächst auch das Risiko durch Phishing und andere Internet-Betrugsmaschen. Wer viel von sich in Sozialen Netzwerken preisgibt, ist besonders anfällig für Spear-Phishing und den daraus womöglich resultierenden Identitätsdiebstahl. Sergej Schultenkämper, wissenschaftlicher Mitarbeiter im Fachbereich Wirtschaft der Hochschule Bielefeld, hat zu diesem Thema eine Doktorarbeit geschrieben – ein wichtiger Beitrag zum präventiven Datenschutz für alle, die in Social Media unterwegs sind. Hier gibt er wertvolle Tipps, wie man Angriffen aus dem Netz vorbeugen kann.

Bielefeld (hsbi). Wer kennt sie nicht: E-Mails von angeblichen Finanzinstituten oder Versanddienstleistern, die dreist zu Zahlungen auffordern, nach Kreditkartendaten oder Passwörtern fragen. Meistens ist die betrügerische Absicht leicht zu durchschauen: Es fehlt die persönliche Anrede, das verwendete Deutsch ist schlecht, das Design schief und krumm, und die Versenderadresse passt nicht. „99 Prozent der Phishing-Versuche sind auch heute noch sehr schlecht gemacht“, sagt Sergej Schultenkämper, wissenschaftlicher Mitarbeiter im Fachbereich Wirtschaft der Hochschule Bielefeld (HSBI). „Aber die Gefahr, dass uns Phishing-E-Mails immer authentischer und gezielter treffen, nimmt aufgrund von KI gerade stark zu.“

Schultenkämper hat sich in den vergangenen vier Jahren intensiv mit dem Thema Cyberangriffe beschäftigt. Wie leichtfertig Menschen mit persönlichen Daten und Bildern auf Social Media umgehen, wie die daraus entstehenden Risiken zu bewerten sind und wie man sich letztlich vor Gefahren aus dem Netz schützen kann – davon handelt nun seine Promotion, die er jüngst mit der Note summa cum laude abgeschlossen hat.

Spear-Phishing-E-Mails täuschen mit persönlichen Details Vertrautheit vor
Sein besonderes Augenmerk richtet Schultenkämper auf das Spear-Phishing. „Dabei verwenden Angreifer individuell zugeschnittene Nachrichten, um ihre Opfer zu täuschen und dazu zu bringen, Passwörter oder andere sensible Daten preiszugeben“, sagt er. Sind sie damit erfolgreich, droht die nächste Eskalationsstufe: Identitätsdiebstahl. „Ziel der Täter ist es meistens, finanzielle Vorteile zu erlangen“, so Schultenkämper. So werden unter dem Namen des Opfers Kredite aufgenommen, Konten eröffnet oder Online-Käufe getätigt. Manchmal geht es aber auch um Rufschädigung oder Erpressung.

Spear-Phishing ist deshalb so tückisch, weil in den E-Mails Vertrautheit vorgetäuscht wird – nicht selten im Tarnkleid unternehmensinterner Kommunikation. Die dafür nötigen Informationen finden die Cyberkriminellen bevorzugt in Sozialen Netzwerken wie Facebook, LinkedIn oder Instagram. „Das Gefährliche liegt in der Kombination dieser Daten von den verschiedenen Plattformen, die eine Person nutzt“, erklärt Schultenkämper. „Wenn etwa berufliche Informationen, Hinweise zu Freizeitaktivitäten und sehr private Fotos ein aussagekräftiges Geflecht ergeben.“

„Was wir vor zehn Jahren gepostet haben, muss heute sicher nicht mehr online stehen.“
Was können wir tun, um uns davor zu schützen? Der Experte der HSBI nennt fünf Punkte, die alle, die im Internet unterwegs sind, unbedingt beachten sollten. „Erstens: Wir machen eine Bestandsaufnahme und schauen, was es über uns im Netz überhaupt gibt“, sagt Sergej Schultenkämper. „Dazu googelt man einfach einmal seinen Namen. Bei den meisten stellt sich dann heraus: Das sind ja ganz schön viele Fotos! Und es sind auf jeden Fall mehr Informationen, als ich gedacht habe.“ Zur Bestandsaufnahme gehöre außerdem zusammenzutragen, in welchen Sozialen Netzwerken überhaupt Profile bestehen, auch wenn diese schon lange nicht mehr genutzt werden.

„Hier sind wir schon beim zweiten Punkt: dem Aufräumen“, sagt Schultenkämper. „Dazu gehen wir ältere Beiträge und gepostete Fotos systematisch durch und prüfen kritisch, welche Informationen wir dabei eigentlich preisgegeben haben. Und wenn wir auf relevante Inhalte stoßen, versuchen wir, diese zu löschen oder zumindest ihre Sichtbarkeit für andere einzuschränken.“ Der Wissenschaftler rät dazu, etwa bei Facebook ruhig ganz bis zum Anfang der Timeline zurückzuscrollen. „Was wir vor 10 oder 15 Jahren gepostet haben, geschah ja in einem völlig anderen Bewusstsein – vieles davon muss heute sicher nicht mehr online stehen.“

Potenzielle Täter finden zum Foto von einem Haus auch die passende Adresse
Inhalte zu löschen, kann sich allerdings von Fall zu Fall als schwierig erweisen. „Wenn wir etwas nicht selbst entfernen können, lohnt es sich durchaus, den Plattformbetreiber anzuschreiben und um die Löschung zu bitten“, empfiehlt Schultenkämper. Bei einem jahrelang ungenutzten Account zum Bespiel können da schon mal unerwartete Hürden auftauchen. „Teilweise wird man dann aufgefordert, sich mit seinem Ausweis zu identifizieren“, weiß der Forscher. „Da denkt sich dann sicher mancher genervt: Lasse ich es halt so stehen.“

Schultenkämpers dritter Punkt auf der Checkliste: Vor dem Posten noch einmal kurz darüber nachdenken, wie dieser Content unmittelbar missbraucht werden könnte. „Das ist alles andere als lapidar“, unterstreicht er. „Die Klassiker in dieser Kategorie sind immer noch Fotos, die direkt aus dem Urlaub gepostet werden. Das sollte heutzutage wirklich niemand mehr tun. Das Einbruchsrisiko erhöht sich dadurch einfach immens.“ Denn potenzielle Täter finden zu einem Namen auch eine passende Adresse – genau wie zu einem online gestellten Foto vom eigenen Haus. „Mit der passenden KI lässt sich das inzwischen recht gut identifizieren.“

Zeit nehmen ist wichtig, denn E-Mail-Fälschungen werden fast von Woche zu Woche besser
Punkt vier: Sensible Informationen schützen! „Ich denke dabei insbesondere an alles, was mit der Familie zu tun hat. Und vor allem an Kinderfotos“, sagt Sergej Schultenkämper. „In manchen Kreisen ist es zum Glück ja mittlerweile üblich, dass man das Gesicht oder am besten den ganzen Körper verpixelt oder anderweitig unkenntlich macht, bevor man so ein Bild postet. Anderen fehlt dafür aber weiterhin das Bewusstsein oder schlicht das technische Know-how.“ Vorsicht sei generell angebracht, wenn sich Dritte auf Fotos wiederfinden, selbst wenn diese „nur“ über WhatsApp verbreitet werden. „Man muss immer damit rechnen, dass Chatgruppen-Teilnehmer ein Foto weiterleiten – und dieses dann eben doch irgendwo im Internet landet.“

Punkt fünf der Checkliste: Gehen Sie noch bewusster mit Links in Nachrichten um! „In Phishing-Mails wird ja nicht umsonst oft ‚dringendes Handeln‘ gefordert. Es geht darum, Druck aufzubauen“, erklärt Schultenkämper. „Inzwischen lohnt es sich aber, etwa eine DHL-Mail tatsächlich von oben bis unten im Hinblick auf ihre Plausibilität durchzusehen, bevor man auf einen Tracking-Button klickt. Die Fälschungen werden fast von Woche zu Woche besser. Im Einzelfall sollte man sich sogar die Zeit nehmen, verdächtige Nachrichten im Freundes- und Familienkreis zu besprechen oder sie von der Verbraucherzentrale prüfen zu lassen.“

Die Arbeit mit Künstlicher Intelligenz rührt immer auch an ethische Fragen
Im Laufe der Arbeit an seiner Dissertation hat sich Sergej Schultenkämper durch etliche Terabyte an Daten gegraben. Dabei hat er unter anderem 4.500 Digitale Zwillinge von realen Personen aufgrund ihrer Präsenz in Sozialen Netzwerken erstellt. „90 Prozent dieser Menschen können laut der von mir entwickelten Risikometriken als anfällig gelten für Spear-Phishing und Identitätsdiebstahl“, sagt er. „Mein Ansatz der Gefährdungsanalyse kann solchen Personen konkrete Hinweise geben, welche Kombination von öffentlich sichtbaren Angaben im Netz problematisch sind.“ Ebenfalls ein Novum in der Forschung auf diesem Gebiet ist ein von Schultenkämper prototypisch umgesetztes Dashboard, das User aktiv beim Schutz ihrer Daten unterstützt. „Man kann sich das auch als Browser-Add-on vorstellen, das uns für die Risiken geteilter Informationen in Echtzeit sensibilisiert.“

Die Doktorarbeit entstand im Rahmen des Forschungsprojekts ADRIAN (Authority-Dependent Risk Identification and Analysis in Online Networks), einer Kooperation zwischen der Hochschule Bielefeld (HSBI) und der Universität der Bundeswehr München. „Betreut wurde ich an der HSBI von Prof. Dr. Frederik Bäumer, die Promotion erfolgte unter der wissenschaftlichen Leitung von Prof. Dr. Michaela Geierhos an der Fakultät für Informatik der Universität der Bundeswehr München“, erklärt Schultenkämper.

Für ihn ist es wichtig, als Forscher auch aufklärend tätig zu sein. „Das Highlight für mich bei der Dissertation war jedoch, dass ich wirklich sehr, sehr viel mit Künstlicher Intelligenz arbeiten durfte.“ Nicht selten hat sich Schultenkämper dabei in die Rolle des Angreifers versetzt und sich gefragt: Wie komme ich am besten an diese ganzen sensiblen Informationen ran? „Letztlich arbeiten die Täter dort draußen mit denselben Technologien wie wir. Und das wirft durchaus ethische Fragen auf, die wir als Forschende nie vergessen dürfen.“
_____

5 Tipps gegen Spear Fishing

- Bestandsaufnahme: Welche Informationen kursieren über mich im Netz und in den Sozialen Medien?
- Aufräumen: Gepostete Inhalte kritisch betrachten und gegebenenfalls Löschen (lassen)!
- Postings immer reflektieren vor Veröffentlichung: Können enthaltene Informationen missbraucht werden z.B. dass ich im Urlaub bin (und meine Wohnung ungeschützt ist)?
- Sensible Informationen schützen, z.B. Informationen und Bilder aus der Familie! Auch Whatsapp-Gruppen kritisch betrachten!
- Links in Nachrichten und E-Mails nur nach genauer Prüfung anklicken! Nicht unter Druck setzen lassen, sondern solche Schreiben gründlich lesen und eventuell auch Vertrauenspersonen zu Rate ziehen!

---

More information:

https://www.hsbi.de/presse/pressemitteilungen/spear-phishing-und-identitaetsdieb... Pressemitteilung auf www.hsbi.de

---

<
Sergej Schultenkämper, wissenschaftlicher Mitarbeiter im Fachbereich Wirtschaft der HSBI, hat sich i ...

Copyright: K. Schradi/HSBI

---

Criteria of this press release:
Journalists
Economics / business administration, Information technology
transregional, national
Research projects, Research results
German

---