Dark Pattern – Wie Hacker manipulative Interaktionsmuster ausnutzen

Von |07.10.2025|
IT-Security
Dark Pattern - Wie Hacker manipulative Interaktionsmuster ausnutzen - Titelbild

Manipulative Designstrategien verleiten User zu Entscheidungen, die nicht in ihrem Interesse liegen. Auf legitimen Websites sind solche Praktiken zunehmend verboten, doch auch Hacker nutzen sie längst als Werkzeuge im Social Engineering.

Benutzeroberflächen sind nie völlig neutral. Ob User einen Knopf drücken oder eine bestimmte Entscheidung treffen, hängt stark vom Design ab. Designmuster, die Nutzer absichtlich irreführen – etwa, um wichtige Informationen zu verstecken, Kündigungen zu vermeiden oder Käufe zu erwirken – nennt man Dark Patterns. Sie nutzen psychologische Tricks, um die Entscheidungen von Nutzern gezielt zu beeinflussen.

Die ersten Muster dieser Art sind seit den frühen 2000er-Jahren dokumentiert. Mit dem Aufstieg des Smartphones, Cloud-Diensten und sozialen Netzwerken wurden sie ab 2010 deutlich raffinierter.

Viele der Muster stammen ursprünglich aus fragwürdigen E-Commerce-Praktiken oder wurden von legitimen Unternehmen in Online-Diensten und mobilen Apps eingesetzt. Heute machen sich aber auch Hacker Dark Patterns zunutze. Sie kombinieren die Muster unter anderem mit KI-generierten Inhalten, Deepfakes und personalisierten Angriffen.

Die häufigsten Formen von Dark Patterns

Dark Patterns treten in vielen verschiedenen Formen und Kombinationen auf. Die folgenden Muster gehören zu den am häufigsten eingesetzten Praktiken:

Roach Motel

Der Einstieg ist einfach, aber der Ausstieg sehr aufwändig. Dieses Muster findet sich beispielsweise häufig bei Abo-Diensten. Du kannst sie mit einem Klick starten, während die Option zur Kündigung sehr gut versteckt ist.

Hidden Costs

Dieses Muster tritt häufig im Zusammenhang mit Warenkörben auf. Die zusätzlichen Kosten werden erst am Ende des Kaufprozesses sichtbar. Dadurch erscheint das Angebot zunächst günstiger als es tatsächlich ist.

Forced Continuity

Der kostenlose Test eines Angebots endet in einem kostenpflichtigem Abo – und zwar ohne klare Warnung.

Confirmshaming

Du möchtest ein Angebot nicht wahrnehmen? Bei diesem Muster werden Ablehnungen mit Schuldgefühlen belegt – zum Beispiel indem ein Button mit „Nein danke, ich will keine besseren Angebote“ betitelt ist.

Trick Question

Um Nutzer in die Irre zu führen und zu bestimmten Klicks zu verleiten, sind manche Formulierungen bewusst als Fangfragen formuliert.

Sneak into Basket

Bei diesem Muster werden Produkte oder Services ungefragt dem Warenkorb hinzugefügt. Im harmlosesten Fall sind dies kostenlose Kataloge – manchmal aber auch weitere kostenpflichtige Produkte.

Privacy Zuckering

Nutzer werden dazu verleitet, mehr persönliche Daten preiszugeben als nötig – oft durch komplexe Opt-out-Prozesse.

Bait and Switch

Nutzer werden mit einem attraktiven Angebot geködert. Nach dem Klick wird ihnen aber ein völlig anderes Produkt präsentiert.

Gesetzliche Vorgaben gegen manipulative Designmuster werden strikter

Viele Dark Patterns bewegten sich lange Zeit in einer rechtlichen Grauzone. Der Gesetzgeber hat die Probleme aber mittlerweile erkannt und geht dagegen vor. So untersagt zum Beispiel die EU-Verordnung über digitale Dienste (Digital Services Act, kurz: DSA) explizit Designpraktiken, die Nutzer manipulieren oder täuschen. In Artikel 25, Abs.1 der Verordnung heißt es:

„Anbieter von Online-Plattformen dürfen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden“.

Seit Februar 2024 ist der DSA in Kraft. Große Online-Plattform mussten die Regeln bereits seit August 2023 umsetzen. Auch die U.S. Federal Trade Commission (FTC) hat betrügerische Online-Design-Praktiken ins Visier genommen und geht aktiv gegen Unternehmen vor, die sie einsetzen.

Dark Pattern im Social Engineering-Repertoire von Hackern

Hacker hingegen scheren sich wenig um gesetzliche Vorgaben. Ihnen eröffnet sich mit der großen Bandbreite an Dark Patterns, die teils durch legitime Firmen etabliert worden sind, ein enormes Repertoire für Social Engineering.

Dabei sind die eingesetzten Techniken zwar sehr ähnlich, aber die Ziele unterscheiden sich deutlich:

  • Firmen nutzen Dark Pattern, um das Konsumentenverhalten zu manipulieren.

  • Hacker nutzen ganz ähnliche psychologische Tricks, um Menschen zur Preisgabe sensibler Informationen oder Ausführung schädlicher Aktionen zu verleiten. Sie stehlen Zugangsdaten, kompromittieren Systeme und verursachen finanzielle Schäden.

Ähnlich wie beim Confirmshaming erzeugen Hacker zum Beispiel in Phishing-Mails gezielt emotionalen Druck, um User zu bestimmten Aktionen zu verleiten: „Sofort handeln… sonst wird dein Account gesperrt“. Oder sie nutzen visuelle Täuschungen wie Fake-Buttons oder Pop-Ups, um automatische Downloads zu triggern.

Fazit

Die Kenntnis von Dark Patterns ist für User gleich doppelt wichtig. Einerseits hilft sie dir dabei, manipulative – und mittlerweile größtenteils verbotene – Designpraktiken von Unternehmen zu erkennen. Andererseits kommen Dark Pattern in Social Engineering-Attacken von Cyberkriminellen zum Einsatz. Gerade in E-Mails sind solche psychologischen Tricks klare Warnzeichen für Phishing-Versuche.

Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren
Mehr Informationen
Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus ihrem Team melden sich umgehend.