Während Unternehmen Milliarden in Firewalls, VPNs und Zero-Trust-Modelle investieren, geschieht der Datenklau oft auf ganz analogem Weg: per Telefon. Vishing, also Voice Phishing, hat sich als überraschend effektive Taktik etabliert – scheinbar harmlos, aber hochgefährlich.
Was ist Vishing – und warum ist es so effektiv?
Vishing ist eine Kombination aus „Voice“ und „Phishing“ und beschreibt Betrugsversuche per Telefon mit dem Ziel, sensible Informationen wie Passwörter, Zugangsdaten oder Kreditkartennummern zu erlangen. Im Unterschied zu E-Mail-Phishing spielt beim Vishing der Faktor Mensch eine noch tragendere Rolle: Stimme, Charisma und psychologisches Geschick wirken oft überzeugender als eine betrügerische Mail.
Laut einer Studie der Federal Trade Commission (FTC) aus dem Jahr 2023 wurden allein in den USA über 1,2 Millionen Vishing-Vorfälle gemeldet – Tendenz steigend. In Deutschland spricht das Bundesamt für Sicherheit in der Informationstechnik (BSI) ebenfalls von „zunehmend professionell geführten Telefongesprächen durch Angreifer“. Besonders betroffen sind Banken, Technologieunternehmen und staatliche Institutionen.
Historische Fälle: Von „VTech“ bis „Twitter“
Bereits 2015 rückte Vishing erstmals international in den Fokus: Bei einem Angriff auf den Spielzeughersteller VTech verschafften sich Angreifer über einen Anruf Zutritt zu internen Systemen und erlangten Zugriff auf Daten von über sechs Millionen Kindern. 2020 sorgte ein Vorfall bei Twitter für Aufsehen, als sich Angreifer per Telefon als IT-Mitarbeiter ausgaben und Zugriff auf interne Tools bekamen. Das Ergebnis: Accounts von Barack Obama, Elon Musk und Apple wurden kompromittiert – mit weitreichenden Folgen.
Auch deutsche Behörden blieben nicht verschont: 2022 gelang es Betrügern, sich telefonisch gegenüber einer kommunalen IT-Abteilung als Mitarbeiter des BMI auszugeben. Die Folge war die versehentliche Freigabe von Zugangsdaten, die letztlich zum temporären Lahmlegen einzelner Verwaltungsportale führte.
Psychologie als Hauptwaffe der Angreifer
Was Vishing besonders gefährlich macht, ist seine Abhängigkeit von psychologischen Manipulationstechniken. Social Engineers setzen gezielt auf Druck, Vertrautheit oder Angst, um ihr Opfer zu überrumpeln. Typisch sind Szenarien wie:
- Ein vermeintlicher Kollege ruft aus der IT an und benötigt „dringend“ einen Zugangscode aufgrund eines angeblichen Sicherheitsvorfalls.
- Ein angeblicher Support-Mitarbeiter von Microsoft meldet sich mit dem Hinweis auf einen Schadsoftware-Fund.
- Ein Bankmitarbeiter bittet um eine Bestätigung von Kontoaktivitäten, um angeblichen Betrug zu verhindern.
Das Vertrauen in die Stimme am anderen Ende der Leitung ersetzt dabei die kritische Prüfung der Fakten. Laut einer Umfrage von Proofpoint gaben 56 % der Sicherheitsverantwortlichen in Unternehmen an, in den letzten 12 Monaten Opfer mindestens eines Vishing-artigen Angriffs geworden zu sein (State of the Phish Report 2024).
Neue Trends: Künstliche Intelligenz, Deepfakes und Spoofing
Moderne Vishing-Angriffe sind kaum noch als solche zu erkennen. Dank Voice-Cloning-Technologien – etwa via Open-Source-Tools wie „iSpeech“ oder Lösungen von Startups wie ElevenLabs – können Angreifer echte Stimmen simulieren und damit noch glaubwürdigere Anrufe tätigen. Laut Europol spielt synthetische Stimmfälschung künftig eine Schlüsselrolle im digitalen Betrug.
Ebenso gefährlich ist das sogenannte „Caller ID Spoofing“. Dabei fälschen Angreifer die Rufnummernanzeige, sodass die Nummer wie die einer Behörde, Bank oder internen IT-Abteilung erscheint. Das erhöht die Erfolgswahrscheinlichkeit dramatisch.
Cybercrime-as-a-Service macht Vishing zudem massentauglich: Auf einschlägigen Plattformen können Angreifer Scripts, automatisierte Callbots und Tarnnummern als Service mieten – mit Zahlungsabwicklung in Kryptowährungen.
In Kombination mit Trends wie hybriden Arbeitsformen, weniger persönlicher Kommunikation und sinkender Awareness in Remote-Teams entsteht ein gefährlicher Nährboden für Vishing-Angriffe.
Vishing in Europa: Der Fall „Grandparent Scam“
In Deutschland, Österreich und der Schweiz taucht Vishing verstärkt im Kontext des sogenannten „Enkeltricks“ auf. Betrüger geben sich dabei als Verwandte aus, die in einer Notlage Bargeld benötigen. Laut dem deutschen Bundeskriminalamt (BKA) kam es 2023 zu über 19.000 gemeldeten Fällen – mit einem Gesamtschaden von mehr als 115 Millionen Euro.
Immer öfter nutzen Täter dabei gestohlene Daten aus sozialen Medien, um Identität und Stimme der betroffenen „Enkel“ glaubhaft zu machen. In mehreren dokumentierten Fällen wurden sogar durch KI erzeugte Klangprofile genutzt, um das Opfer akustisch zu täuschen.
Vishing macht somit keinen Unterschied zwischen Privatpersonen und Unternehmen – jede:r ist potenzielles Ziel.
Wie können sich Unternehmen und Individuen schützen?
Technische Maßnahmen allein reichen bei Vishing nicht aus. Es braucht vor allem zielgerichtete Aufklärung, klar definierte Prozesse und das Etablieren einer Sicherheitskultur. Folgende Maßnahmen sind dabei besonders empfehlenswert:
- Awareness-Trainings durchführen: Mitarbeiterschulungen mit Fokus auf Social Engineering, inklusive realitätsnaher Vishing-Simulationen
- Rückrufprinzip einführen: Keine Herausgabe sensibler Daten am Telefon – stattdessen Rückruf über bekannte, verifizierte Nummern erzwingen
- Anrufvalidierung etablieren: Einfache, organisationsinterne Authentifizierungsmechanismen wie PIN-Codes oder Gesprächskennwörter vereinbaren
- VoIP-Systeme absichern: Einsatz von Anti-Spoofing-Maßnahmen und Monitoring-Tools im Telefoniesystem
- Kulturelle Barrieren abbauen: Eine Fehlerkultur fördern, in der sich Mitarbeitende bei Verdachtsfällen ohne Angst an Vorgesetzte oder IT wenden können
Auch im Privaten helfen einfache Grundregeln: Niemals persönliche Daten am Telefon preisgeben, bei unbekannten Nummern skeptisch sein, Rückrufe als Standard etablieren und bei verdächtigen Kontakten sofort auflegen und recherchieren.
Fazit: Menschlichkeit als Einfallstor – und Verteidigungslinie
Vishing zeigt, dass der Mensch oft das schwächste Glied in der Sicherheitskette ist – aber auch das stärkste werden kann, wenn er gut geschult ist. Der Mix aus Vertrauen, Gewohnheit und technischer Täuschung macht Vishing zu einer Herausforderung, die mit Firewalls allein nicht zu lösen ist.
Es braucht einen ganzheitlichen Ansatz, der Technologie, Prozesse und Verhalten umfasst – und der die zentrale Rolle des Menschen ernst nimmt. Nur so lässt sich diese analoge Form des digitalen Betrugs wirksam eindämmen.
Welche Erfahrungen habt ihr in eurem Unternehmen oder privat mit Vishing gemacht? Welche Strategien funktionieren bei euch besonders gut? Diskutiert mit uns in den Kommentaren oder auf LinkedIn!
