2. Juli 2026 • Cybersicherheit
Die meisten Menschen wurden darauf geschult oder zumindest gewarnt, E-Mails, in denen nach Passwörtern, Bankdaten oder dringenden Maßnahmen gefragt wird, mit Argwohn zu betrachten. Angreifer wissen das. Das ist einer der Gründe, warum Vishing immer häufiger vorkommt: Dabei wird statt E-Mails das Telefon genutzt, um Opfer zu manipulieren, wobei das Vertrauen und der Echtzeitdruck, die ein Live-Gespräch erzeugt, ausgenutzt werden. Zu verstehen, was Vishing ist, wie es funktioniert und warum es so effektiv ist, ist der erste Schritt, um Ihre Mitarbeiter dagegen zu wappnen.
Bedeutung von „Vishing“: Was bedeutet dieser Begriff?
„Vishing“ ist eine Wortschöpfung aus „Voice“ und„Phishing“. Der Begriff bezeichnet Social-Engineering-Angriffe, die telefonisch durchgeführt werden – sei es über einen herkömmlichen Anruf, einen VoIP-Anruf oder zunehmend auch über KI-generierte Sprachnachrichten –, mit dem Ziel, das Opfer dazu zu verleiten, vertrauliche Informationen preiszugeben, Geld zu überweisen oder Zugriff auf Systeme zu gewähren.
Die Bedeutung von „Vishing“ entspricht im Wesentlichen der von „Phishing“: Jemand wird dazu verleitet, etwas zu tun, was er nicht tun würde, wenn er wüsste, was wirklich vor sich geht. Der Unterschied liegt im Kommunikationskanal. Während bei Phishing E-Mails und bei Smishing SMS zum Einsatz kommen, nutzt Vishing die Sprache, und Sprache vermittelt eine gewisse wahrgenommene Legitimität, die Textnachrichten nicht haben.
Ein Anrufer, der selbstbewusst wirkt, die richtige Fachsprache verwendet und ein plausibles Szenario entwirft – etwa eine Sicherheitsüberprüfung durch die Bank, ein Anruf beim IT-Helpdesk oder ein Lieferant, der Zahlungsdetails bestätigt –, kann Mitarbeiter überzeugen, die dieselbe Anfrage in einer E-Mail innerhalb von Sekunden durchschaut hätten.
So funktioniert ein Vishing-Angriff
Vishing-Angriffe erfolgen selten willkürlich. In der Regel recherchieren Angreifer vor dem Anruf ihr Ziel – mithilfe von LinkedIn, Unternehmenswebsites, Daten aus früheren Datenlecks oder Informationen, die sie bei früheren Phishing-Versuchen gesammelt haben. Je mehr ein Angreifer über das Ziel und dessen Organisation weiß, desto überzeugender kann der Anruf ausfallen.
Ein typisches Vishing-Szenario folgt einem erkennbaren Muster:
- Identitätsbetrug. Der Anrufer gibt sich als eine Person aus, der die Zielperson Grund hat, zu vertrauen: ein Bankmitarbeiter, ein IT-Support-Mitarbeiter, ein Mitarbeiter der Steuerbehörde, ein leitender Kollege oder ein Lieferant.
- Dringlichkeit oder Autorität. Der Anrufer übt Druck aus, es gibt ein Problem, das sofort gelöst werden muss, oder er beruft sich auf seine Autorität („Ihr Vorgesetzter hat mich gebeten, anzurufen“). Dadurch wird der Instinkt des Gesprächspartners, inne zu halten und die Angaben zu überprüfen, umgangen.
- Anfrage. Der Anrufer bittet um etwas: ein Passwort, einen Einmalcode, die Bestätigung von Bankdaten, Zugriff auf ein System oder eine Überweisung.
- Beenden. Sobald die gewünschten Informationen oder die gewünschte Aktion erreicht sind, wird der Anruf umgehend beendet. Bis das Opfer merkt, dass etwas nicht stimmt, ist der Schaden bereits angerichtet.
Vishing funktioniert, weil es schwierig ist, in einem Live-Telefongespräch dieselben kritischen Filter anzuwenden, die man beim Lesen einer verdächtigen E-Mail nutzen würde. Der soziale Druck einer Interaktion in Echtzeit lässt die Vorsicht in den Hintergrund treten, und genau darauf setzen die Angreifer.
Vishing, Phishing und Smishing: Was ist der Unterschied?
Vishing ist eine von mehreren Social-Engineering-Techniken, die auf Telefonaten und Nachrichten basieren. Wenn man versteht, worin sich diese Techniken unterscheiden, können Unternehmen ihre Mitarbeiter darin schulen, jede einzelne davon zu erkennen.
| Technik | Kanal | Häufiges Szenario | Warum es funktioniert |
|---|---|---|---|
| Phishing | Gefälschte Anmeldeseite, dringende Warnung bezüglich Ihres Kontos | Volumen und optische Täuschung | |
| Vishing | Telefon / Sprache | Gefälschter Anruf einer Bank, Vortäuschung einer IT-Hotline | Echtzeit-Druck, Autorität durch Stimme |
| Smishing | SMS / Messaging-App | Gefälschte Lieferbenachrichtigung, Zahlungslink | Mobilgeräte-Kontext, kurzes Format, Links fügen sich nahtlos ein |
| Spear Phishing | E-Mail (zielgerichtet) | Personalisierte E-Mail unter Verwendung bekannter Angaben | Spezifität – das fühlt sich glaubwürdig an, weil es dich kennt |
In der Praxis werden diese Techniken oft kombiniert. Ein Angreifer versendet möglicherweise zunächst eine Phishing-E-Mail und ruft anschließend im Rahmen eines Vishing-Anrufs an, wobei er vorgibt, vom IT-Support zu sein, und sich auf die E-Mail bezieht, die das Opfer gerade erhalten hat. Jeder Kanal untermauert die Glaubwürdigkeit des anderen.
Vishing in der Praxis: typische Szenarien
Vishing-Angriffe sind keine abstrakten Bedrohungen. Es handelt sich um Szenarien, mit denen Organisationen, darunter auch niederländische Unternehmen, regelmäßig konfrontiert sind:
- Der Anruf beim IT-Helpdesk. Ein Anrufer gibt vor, vom internen IT-Support zu sein, behauptet, es gäbe verdächtige Aktivitäten auf dem Konto des Mitarbeiters, und bittet diesen, sein Passwort zu bestätigen oder ein Fernzugriffstool zu installieren, „um das Problem zu beheben“.
- Der „Bank-Sicherheitsanruf“. Ein Anrufer, der sich als Mitarbeiter der Betrugsabteilung ausgibt, warnt, dass das Bankkonto des Unternehmens kompromittiert worden sei, und fordert das Opfer auf, die Kontodaten zu bestätigen oder eine „Testüberweisung“ zu genehmigen.
- Der Anruf des CEO oder CFO. Diese als „CEO-Betrug“ oder „BEC“ (Business Email Compromise) bezeichnete Masche besteht darin, dass sich ein Anrufer als leitender Angestellter ausgibt und einen Mitarbeiter der Finanzabteilung dazu drängt, eine dringende Überweisung zu tätigen – häufig an einem Freitagnachmittag.
- Der Anruf zur Bestätigung durch den Lieferanten. Ein Anrufer gibt vor, von einem bekannten Lieferanten zu sein, und bittet darum, die Bankverbindung für zukünftige Zahlungen zu aktualisieren, um die Zahlungen auf ein vom Angreifer kontrolliertes Konto umzuleiten.
- Der Deepfake-Anruf per KI. Mithilfe von KI-gestützter Stimmklon-Technologie können Angreifer nun echte Kollegen oder Führungskräfte mit verblüffender Genauigkeit imitieren. Mitarbeiter erhalten einen Anruf, der genau wie ihr Vorgesetzter klingt, und werden darin nach Anmeldedaten oder einer dringenden Zahlungsfreigabe gefragt.
Wie Schulungen zur Sensibilisierung für Sicherheitsfragen vor Vishing schützen
Technische Schutzmaßnahmen können Vishing nicht verhindern. Spamfilter, Firewalls und Endgerätesicherheitstools sind wirkungslos, sobald ein Angreifer zum Telefon greift. Die einzige wirksame Abwehr ist eine Belegschaft, die Manipulationstaktiken erkennt und weiß, wie sie sich verhalten muss, wenn ihr etwas seltsam vorkommt.
Das wird durch Schulungen erreicht – nicht durch eine einmalige Präsentation, sondern durch wiederkehrende Übungen, die zur Bildung von Gewohnheiten führen. Eine effektive Schulung zur Sensibilisierung für Sicherheitsrisiken im Zusammenhang mit Vishing umfasst mehrere Aspekte:
- Die Auslöser erkennen. Dringlichkeit, Autorität, ungewöhnliche Anfragen, Aufforderungen, die üblichen Abläufe zu umgehen. Mitarbeiter, die diese Muster erkennen, kommen ihnen nur zögerlich nach.
- Das Recht auf Überprüfung. Mitarbeiter müssen wissen, dass es immer in Ordnung ist, zu sagen: „Ich rufe Sie unter der Nummer zurück, die ich in meinen Unterlagen habe“, selbst wenn der Anrufer der Geschäftsführer ist. Um diese Gewohnheit zu etablieren, bedarf es der ausdrücklichen Genehmigung durch die Geschäftsleitung und der Verstärkung durch Schulungen.
- Was ist anschließend zu tun? Wenn ein Mitarbeiter den Verdacht hat, Opfer eines Vishing-Anrufs geworden zu sein, oder – schlimmer noch – diesem nachgegeben zu haben, benötigt er einen klaren Eskalationsweg. Die Meldung solcher Vorfälle sollte zur Selbstverständlichkeit werden und nicht stigmatisiert werden.
- Mit den sich weiterentwickelnden Taktiken Schritt halten. KI-basiertes Klonen von Stimmen, Deepfakes und zunehmend personalisierte Angriffe führen dazu, dass sich die Bedrohungslage rasch verändert. Die Schulungen müssen damit Schritt halten – deshalb sind kurze, regelmäßige Schulungen einer jährlichen Auffrischung vorzuziehen.
Schützen Sie Ihr Team noch heute
Cyberkriminelle schlagen zu. Ist Ihr Team darauf vorbereitet?
Demo anfordern