Manipulation am Telefon – das altbekannte Mittel der Social Engineers ist aktueller denn je. Wie aktuelle Live-Demonstrationen auf der DEF CON zeigen, ist Vishing eine raffinierte und zunehmend gefährliche Bedrohung für die Unternehmenssicherheit.
Was ist Vishing? Formen des telefonischen Social Engineerings
Vishing – ein Kofferwort aus „Voice“ und „Phishing“ – beschreibt Cyberangriffe mittels Telefonanrufen, bei denen Angreifer durch gezielte Gesprächsführung persönliche, vertrauliche oder sicherheitsrelevante Informationen erschleichen. Anders als beim klassischen Phishing per E-Mail setzen Visher ganz auf Stimme, Timing, Psychologie und realistisch wirkende Szenarien.
Die Angreifer geben sich dabei typischerweise als IT-Mitarbeiter, Bankangestellte, Behördenvertreter oder Dienstleister aus. Das Ziel ist fast immer, Zugangsdaten, interne Informationen oder Kundendaten zu erlangen. In Unternehmen nutzen Visher oft öffentlich verfügbare Informationen aus Quellen wie LinkedIn, Unternehmenswebseiten oder Social Media, um authentische Gesprächsanlässe und Rollen zu simulieren.
Live-Hacking auf der DEF CON: Die Kunst der sprachlichen Manipulation
Ein zentrales Highlight der jährlich in Las Vegas stattfindenden Hacker-Konferenz DEF CON ist das Social Engineering Capture the Flag (SECTF). In diesem Wettbewerb demonstrieren Teilnehmer live, wie sie echte Mitarbeitende von Unternehmen am Telefon dazu bringen können, sensible Informationen preiszugeben – unter strengen ethischen Auflagen und mit Genehmigung der betroffenen Unternehmen.
Die Erfolge sprechen für sich: Auf der DEF CON 31 im Jahr 2023 gelang es mehreren Teilnehmerinnen innerhalb weniger Minuten, an Informationen wie verwendete Betriebssysteme, VPN-Lösungen, Helpdesk-Kontaktdaten oder Arbeitszeiten zu gelangen – allein durch geschickte Gesprächsführung. Die Ergebnisse des SECTF werden jährlich ausgewertet und zeigen konstant, dass viele Unternehmen nicht ausreichend auf diese Bedrohung vorbereitet sind.
Laut Rachel Tobac, einer bekannten Social Engineerin und mehrmaligen SECTF-Finalistin, basieren erfolgreiche Vishing-Angriffe meist auf drei Faktoren: dem Aufbau von Vertrauen, der Ausnutzung von Stresssituationen und dem gezielten Einsatz von Branchenvokabular.
Warum sind Unternehmen so anfällig?
Die Anfälligkeit für Vishing ist in vielen Fällen strukturell bedingt. Moderne Unternehmen legen Wert auf Serviceorientierung sowie kurze Reaktionszeiten – Eigenschaften, die auch Angreifer gezielt ausnutzen. Hinzu kommt, dass der Mensch nach wie vor das schwächste Glied in der Sicherheitskette ist.
Eine Studie von IBM Security aus dem Jahr 2024 zeigt, dass 95 % aller Sicherheitsvorfälle in irgendeiner Form menschliches Fehlverhalten involvieren. Weiterhin berichten 41 % von Unternehmen weltweit, dass sie mindestens einmal im Jahr damit konfrontiert sind, dass Mitarbeitende auf telefonische Tricks hereinfallen, wie eine Proofpoint-Studie 2024 belegt.
Im Gegensatz zu vielen technischen Angriffen gibt es beim Vishing keinen Malware-Footprint, der später analysiert werden könnte. Die Informationen werden Personen direkt entlockt – und oftmals merken Betroffene erst viel später, dass sie Opfer eines Angriffs waren.
So gehen Cyberkriminelle beim Vishing vor
Typische Taktiken von Vishern beinhalten sorgfältig vorbereitete Gespräche mit einem scheinbar plausiblen Anliegen. Beliebte Szenarien sind unter anderem:
- Helpdesk-Imitation: Anrufer gibt sich als IT-Mitarbeiter aus und fordert z. B. zur Passwortänderung oder zur Verifizierung von Zugangsdaten auf.
- Finanzabteilung-Trick: Angebliche Lieferanten oder interne Mitarbeitende bitten um Änderung von Kontoverbindungsdaten für Zahlungsabwicklungen.
- CEO-Fraud-Variante: Ein vermeintlicher Vorstand bittet um kurzfristige Überweisungen oder kritische Datenweitergaben mit hoher Dringlichkeit.
Zur Vorbereitung dieser Gespräche nutzen Angreifer Daten aus sozialen Netzwerken, durch Data Breaches gewonnene Kontaktinformationen, oder setzen sog. spoofed caller IDs ein, um die Anrufernummer vertrauenswürdig erscheinen zu lassen. In einigen Fällen werden sogar KI-gestützte Sprachsynthese-Tools verwendet, um reale Stimmen zu imitieren – ein Trend, der sich laut dem Wired Magazine in den letzten zwei Jahren dramatisch verstärkt hat.
Best Practices für Unternehmen: So schützen Sie sich effektiv
Ein effektiver Vishing-Schutz beginnt bei der Aufklärung der Mitarbeitenden – endet aber nicht dort. Die folgenden Maßnahmen haben sich in der Praxis bewährt:
- Schulungen und Awareness-Trainings: Regelmäßige, an realen Szenarien orientierte Trainings helfen Mitarbeitenden, typische Taktiken zu erkennen und richtig zu reagieren.
- Interne Sicherheitsrichtlinien: Klare Regeln für telefonische Auskünfte, sowie Pflicht zur Dokumentation interner Kommunikationsprozesse, schaffen Verbindlichkeit im Umgang mit sensiblen Informationen.
- Verifikation von Anfragen: Kritische Anfragen sollten grundsätzlich durch Rückrufe über offiziell bekannte Nummern oder interne Kommunikationskanäle verifiziert werden.
Weitere technische Maßnahmen – wie Anrufaufzeichnung in sensiblen Abteilungen, Einsatz von Voice IDs oder Integration von Threat-Intelligence-Lösungen – können helfen, Betrugsversuche frühzeitig zu erkennen.
Ein Blick in die nahe Zukunft: KI, Deepfakes und automatisiertes Vishing
Mit der zunehmenden Verbreitung von KI-gestützter Sprachsynthese steigen die Bedrohungspotenziale dramatisch. Bereits 2023 berichtete BBC News über einen Fall, bei dem ein Geschäftsführer durch eine synthetisch nachgebaute Stimme seines Vorgesetzten zur Überweisung von 243.000 USD verleitet wurde.
Deepfake-Audio wird damit zur nächsten Evolutionsstufe des Vishing. Unternehmen, die sich bislang hauptsächlich gegen klassische E-Mail-Angriffe schützen, müssen ihre Strategien erweitern. Auch automatisiertes Vishing mittels Bots, die Voice-AI mit Gesprächslogik verbinden, ist bereits technisch machbar und wurde z. B. auf der RSA Conference 2024 thematisiert.
Fazit: Wachsamkeit, Training und Kulturwandel nötig
Vishing hat sich von einer unterschätzten Social-Engineering-Technik zu einer ernstzunehmenden Gefahr für Unternehmen jeder Größenordnung entwickelt. Die Live-Demonstrationen auf der DEF CON verdeutlichen, wie raffiniert Angreifer mittlerweile vorgehen – und wie erfolgreich sie oft sind.
Die gute Nachricht: Unternehmen können sich schützen. Mit Trainings, klaren Abläufen und einem kritischen Kommunikationsverhalten lässt sich Vishing erheblich erschweren. Aber dafür ist ein Kulturwandel notwendig – einer, bei dem Sicherheit und Skepsis nicht als Störungen, sondern als professionelle Standards gelten.
Wie geht Ihr Unternehmen mit der Gefahr Vishing um? Welche Schulungen haben Sie bereits etabliert – oder planen Sie, KI-gestützte Sprachsicherheitslösungen einzuführen? Diskutieren Sie mit uns in den Kommentaren oder teilen Sie Ihre Best Practices in unserer Community!
