Vishing erklärt: Die phishing , die Unternehmen nicht länger ignorieren dürfen

Wichtige Erkenntnisse

Vishing-Angriffe nahmen im zweiten Halbjahr 2024 um 442 % zu und machen mittlerweile über 60 % der Einsätze phishing-Vorfällen aus, wodurch phishing vorherrschenden Social-Engineering-Vektor für Unternehmen geworden ist.
Für das Klonen von Stimmen mittels KI sind lediglich drei Sekunden Audioaufnahme erforderlich, um eine überzeugende Nachahmung zu erstellen, und das FBI hat eine offizielle Warnung vor KI-generierten Sprachnachrichten herausgegeben, in denen sich die Absender als hochrangige US-Beamte ausgeben.
DieScattered Spider der Jahre 2025–2026 kompromittierte über 760 Organisationen mittels Vishing und bewies damit, dass phishing ein Einfallstor für Angreifer auf Unternehmensebene phishing und nicht nur ein Betrugsversuch gegen Privatpersonen.
Zur Erkennung von Unternehmensbedrohungen müssen Sprachverbindungsaktivitäten mit Authentifizierungsereignissen abgeglichen werden – VoIP-/SIP-Protokolle, Anomalien bei MFA-Push-Benachrichtigungen und Installationsmuster von Fernzugriffstools liefern allesamt für das SOC verwertbare Signale.
Vishing lässt sich bestimmten MITRE ATT&CK zuordnen (T1566.004 und T1598.004) sowie Compliance-Kontrollen, die Unternehmen in ihre Sicherheitsprogramme aufnehmen sollten.

Vishing nimmt schneller zu als jede andere Social-Engineering-Methode. Laut dem „CrowdStrike 2025 Global Threat Report“ stiegen phishing zwischen dem ersten und zweiten Halbjahr 2024 um 442 % – und das erste Halbjahr 2025 übertraf bereits die Gesamtzahlen des Jahres 2024. Unterdessen berichtete Cisco Talos, dass Vishing im ersten Quartal 2025 über 60 % aller Einsätze phishingVorfällen ausmachte und damit die häufigste phishing war, mit der das Team konfrontiert wurde. Für Sicherheitsteams, die Vishing immer noch als lästiges Problem für Verbraucher betrachten, erzählen die Daten eine andere Geschichte. Kampagnen auf Unternehmensebene – unterstützt durch KI-gestütztes Stimmklonen, Social-Engineering-Skrip te und koordinierte Allianzen von Angreifern – zielen nun in großem Umfang auf SSO-Anmeldedaten, CRM-Plattformen und Identitäten von Führungskräften ab.

Was ist Vishing?

Vishing ist eine Form des phishing , bei der Sprachkommunikation – Telefonanrufe, VoIP oder Sprachnachrichten – genutzt wird, um Opfer dazu zu manipulieren, sensible Informationen preiszugeben, Fernzugriffstools zu installieren oder Geld zu überweisen. Der Begriff setzt sich aus „Voice“ undphishing zusammen und reiht sich damit neben Smishing ( phishing) und phishing (gezieltes phishing) in die breitere Taxonomie des Social Engineering ein.

Was Vishing besonders gefährlich macht, ist der Sprachkanal selbst. Ein Live-Telefonat vermittelt Dringlichkeit und Autorität überzeugender als Text. Angreifer nutzen dies aus, indem sie sich als vertrauenswürdige Personen ausgeben – Mitarbeiter des IT-Helpdesks, Bankmitarbeiter, Regierungsbeamte oder sogar Führungskräfte, deren Stimmen mithilfe von KI geklont wurden. Das Ergebnis ist ein Social-Engineering-Angriff, der E-Mail-Filter, Link-Scanner und viele der textbasierten Kontrollmechanismen umgeht, auf die sich Unternehmen verlassen.

Das Ausmaß des Problems ist beträchtlich. Der „CrowdStrike 2025 Global Threat Report“ dokumentierte einen Anstieg der Vishing-Angriffe um 442 % zwischen dem ersten und zweiten Halbjahr 2024. Cisco Talos bestätigte diesen Trend aus Sicht der Incident Response und stellte fest, dass Vishing im ersten Quartal 2025 die häufigste phishing war und über 60 % aller phishing ausmachte. Laut Keepnet Labs sind 70 % der Unternehmen bereits Opfer eines phishing geworden.

Vishing vs. phishing Smishing

Das Verständnis dafür, wie sich Vishing in die phishing einfügt, hilft Sicherheitsteams dabei, die richtigen Kontrollmaßnahmen den richtigen Angriffsvektoren zuzuordnen.

Ein Vergleich von phishing, Vishing und Smishing hinsichtlich der Übertragungskanäle, typischer Lockmittel und erforderlicher Abwehrmaßnahmen:

Angriffstyp	Kanal	Gängiger Köder	Wesentlicher Unterschied
Phishing	E-Mail	Schädliche Links, gefälschte Anmeldeseiten, Rechnungsbetrug	Von E-Mail-Gateways blockiert, URL-Filterung
Vishing	Telefonanruf / VoIP / Sprachnachricht	Vortäuschung von IT-Support, Banküberprüfung, Drohungen durch Behörden	Umgeht textbasierte Sicherheitskontrollen; nutzt Sprachautorität aus
Smishing	SMS / Textnachricht	Paketzustellung, MFA-Codes, Kontobenachrichtigungen	Nutzt das Vertrauen in Mobilgeräte aus; der begrenzte Platz auf dem Bildschirm verdeckt Warnsignale

Der entscheidende Unterschied für Sicherheitsverantwortliche: Vishing findet außerhalb der Kanäle statt, die von den meisten Sicherheitstools überwacht werden. E-Mail- und phishing digitale Spuren – URLs, Absender-Header, Metadaten der Nachrichten –, die von Erkennungssystemen analysiert werden können. Bei Vishing bleibt nur ein Telefonanruf und das, was die Person am anderen Ende der Leitung als Nächstes tut.

So funktioniert Vishing

Ein typischer Vishing-Angriff folgt einem strukturierten Ablauf, der technische Vorbereitungen mit psychologischer Manipulation verbindet.

Erkundung – Angreifer sammeln Informationen über ihre Ziele aus LinkedIn, Unternehmensverzeichnissen, gehackten Datenbanken und sozialen Medien. In dieser Erkundungsphase wird der Vorwand geschaffen.
Entwicklung eines Vorwands – Der Angreifer entwirft ein glaubwürdiges Szenario: einen IT-Notfall, eine Warnung vor Bankbetrug, ein Compliance-Audit oder eine Anfrage der Geschäftsleitung.
Manipulation der Anrufer-ID – Mithilfe von VoIP-Infrastruktur fälschen Angreifer die Anrufer-ID, um eine vertrauenswürdige Nummer anzuzeigen – beispielsweise den Helpdesk des Unternehmens, eine bekannte Bank oder eine Behörde.
Erstes Gespräch und Aufbau einer Vertrauensbasis – Der Angreifer schafft Glaubwürdigkeit, indem er sich auf konkrete Details (Name des Mitarbeiters, Abteilung, aktuelle Ticketnummern) bezieht, die er im Rahmen seiner Erkundung gesammelt hat.
Psychologische Manipulation – Dringlichkeit („Ihr Konto wird in 15 Minuten gesperrt“), Autorität („Hier spricht das Sicherheitsteam“) und Angst („Wir haben einen unbefugten Zugriff festgestellt“) bringen das Opfer dazu, den Anweisungen Folge zu leisten.
Erfassung von Anmeldedaten oder Installation von Tools – Das Opfer wird auf eine Website weitergeleitet, auf der Anmeldedaten abgefragt werden, zur Eingabe von MFA-Codes aufgefordert oder dazu angehalten, Fernzugriffstools wie Quick Assist oder AnyDesk zu installieren.
Aktivitäten nach dem Einbruch – Angreifer nutzen gestohlene Zugangsdaten oder Fernzugriff für laterale Bewegungen, Datenexfiltration, die Einrichtung von MFA auf von ihnen kontrollierten Geräten oder ransomware .

Vishing-Angreifer sind in der Regel auf Zugangsdaten (SSO-Passwörter, MFA-Codes), Fernzugriff auf Systeme (durch die Installation von Tools), Finanzdaten (Bankdaten, Überweisungsvollmachten) sowie personenbezogene Daten aus, die für weitere Social-Engineering-Angriffe genutzt werden können.

KI-gestütztes Vishing und Deepfake-Stimmklonen

KI hat Vishing von einer manuellen, klein angelegten Vorgehensweise zu einer Bedrohung industriellen Ausmaßes gemacht. Laut phishing von Programs.com zusammengestellten phishing , die sich auf Microsofts VALL-E-Forschung stützt, benötigt die Technologie zum Klonen von Stimmen mittlerweile nur noch drei Sekunden Audioaufnahme, um eine überzeugende Nachbildung der Stimme einer Person zu erstellen. Laut Fortunes Deepfake-Prognose für 2026 hat die KI-generierte Stimme die „Schwelle der Ununterscheidbarkeit“ überschritten – was bedeutet, dass der durchschnittliche Zuhörer eine geklonte Stimme nicht mehr zuverlässig von einer echten unterscheiden kann.

Die Folgen sind gravierend. Im Mai 2025 veröffentlichte das FBI die Warnmeldung PSA250515, in der darauf hingewiesen wurde, dass böswillige Akteure KI-generierte Sprachnachrichten nutzten, um sich als hochrangige US-Regierungsbeamte auszugeben, und dabei aktuelle sowie ehemalige Bundes- und Staatsbeamte ins Visier nahmen, um Zugangsdaten zu stehlen und Konten zu übernehmen. Laut Schätzungen von Deloitte, die auf Programs.com zitiert werden, werden die durch Deepfakes verursachten Betrugsverluste bis 2027 voraussichtlich 40 Milliarden US-Dollar erreichen. Dies ist die Weiterentwicklung phishing, auf die sich Sicherheitsteams vorbereiten müssen.

Callback phishing TOAD

phishing auch bekannt als „Telephone-Oriented Attack Delivery“ (TOAD) – ist eine hybride Angriffskette, die E-Mail- und Sprachkanäle kombiniert. Das Muster, das von Cisco Talos in seinem Bericht zu IR-Trends im ersten Quartal 2025 ausführlich dokumentiert wurde, funktioniert wie folgt: Angreifer überfluten zunächst den Posteingang des Opfers mit Spam oder senden eine überzeugende Benachrichtigungs-E-Mail (gefälschte Anmeldebestätigung, Rechnung oder Sicherheitswarnung). Die E-Mail enthält eine Telefonnummer für den „Support“. Wenn das Ziel anruft, führt ein Angreifer am anderen Ende der Leitung das Opfer durch die Installation von Fernzugriffssoftware wie Quick Assist und verschafft sich so direkten Zugriff auf das System.

Diese Technik ist besonders gefährlich, da das Opfer den Anruf selbst tätigt, was ihm sicherer erscheint als ein eingehender Anruf von einer unbekannten Nummer. BazarCall-Kampagnen waren Vorreiter dieses Ansatzes, der sich mittlerweile zu einem vorherrschenden Muster bei Vishing-Angriffen auf Unternehmen entwickelt hat.

Arten von Vishing-Angriffen

Vishing-Angriffe reichen von automatisierten Massenkampagnen bis hin zu gezielten Aktionen. Jede Art stellt die Erkennung und Prävention vor ganz eigene Herausforderungen.

Arten von Vishing-Angriffen, geordnet nach Komplexität und Unternehmensrisiko:

Angriffstyp	Typisches Ziel	Wichtige Technik	Schwierigkeit der Erkennung
VoIP/Wardialing	Massenkonsument	Automatisierte IVR-Systeme wählen Tausende von Nummern	Geringes bis hohes Volumen, Standardskripte
Sich als Regierungsvertreter ausgeben	Privatpersonen, Kleinunternehmen	Vorwand im Zusammenhang mit der Steuerbehörde (IRS), der Sozialversicherung und den Strafverfolgungsbehörden	Niedrig bis mittel – erkennbare Muster
Vishing bei Finanzinstituten	Bankkunden, Finanzteams	Kontoüberprüfung, Vorwand für eine Betrugswarnung	Mittel – verwendet echte Kontodaten
Technischer Support – Vishing	Mitarbeiter, Helpdesk-Mitarbeiter	IT-Identitätsdiebstahl, Installation von Fernzugriffstools	Mittel bis hoch – Scattered Spider gemäß MITRE ATT&CK .004
Callback phishing TOAD	Mitarbeiter des Unternehmens	Eine Flut von Spam-E-Mails, gefolgt von Social-Engineering-Angriffen per Telefon	Hoch – Das Opfer nimmt Kontakt auf
Identitätsbetrug unter Vortäuschung einer CEO- oder Führungskräfte-Identität	Finanzen, Personalwesen, Assistenz der Geschäftsleitung	Deepfake-Stimmen, Überweisungen oder Datenanfragen	Hoch – IBM meldet in einem Fall in Hongkong einen Verlust von 25 Millionen Dollar
Deepfake-Vishing mittels KI	Regierungsvertreter, Führungskräfte	Echtzeit-Stimmklonung mittels KI anhand von wenigen Sekunden Audioaufnahme	Sehr hoch – von einem Original nicht zu unterscheiden

Unternehmen, von denen laut Keepnet Labs 70 % Opfer solcher Angriffe wurden, müssen mit durchschnittlichen jährlichen Kosten in Höhe von schätzungsweise 14 Millionen US-Dollar durch Vishing-Angriffe rechnen, wobei diese vom Anbieter stammende Zahl aufgrund unklarer Methodik mit Vorsicht zu betrachten ist. Die wichtigste Erkenntnis ist, dass Vishing nicht mehr nur ein Problem für Verbraucher ist – es handelt sich vielmehr um einen systematischen Social-Engineering-Vektor für Unternehmen, den Angreifer als professionelle Dienstleistung betrachten.

Vishing in der Praxis: Fallstudien aus den Jahren 2025–2026

Im Zeitraum 2025–2026 kam es zu den bislang größten Vishing-Kampagnen gegen Unternehmen. Diese Beispiele zeigen, dass phishing mittlerweile ein wichtiger Einstiegsvektor für hochentwickelte Angreifer phishing .

Scattered Spider (2025–2026). Laut ReliaQuest und Computer Weekly richtete sich die wirkungsvollste Vishing-Kampagne dieses Zeitraums gegen über 760 Unternehmen. Das ShinyHunters-Kollektiv, das von Scattered Spider mit einem ersten Zugriff versorgt wurde, nutzte maßgeschneiderte Vishing-Kits, um SSO-Umgebungen (Google, Microsoft, Okta) anzugreifen. Zu den bestätigten Opfern zählen Google, Cisco, Wynn Resorts (über 800.000 Mitarbeiterdatensätze), CarGurus (12,5 Millionen Datensätze) und die Harvard University. Picus Security bezeichnete die Allianz als eine der gefährlichsten Cyberkriminalitäts-Supergruppen des Jahres 2025. Die Kampagne zeigte, dass Vishing mittlerweile als professionelle Dienstleistung angeboten wird, wobei die Betreiber für 500 bis 1.000 US-Dollar pro Anruf rekrutiert werden und vorformulierte Skripte verwenden, die auf IT-Helpdesks abzielen.

Datenschutzverletzung bei Cisco CRM (Juli 2025). Ein einzelner Cisco-Mitarbeiter wurde durch einen Vishing-Anruf Opfer von Social Engineering, wodurch der Angreifer Zugriff auf Profilinformationen aus einem cloud CRM-System eines Drittanbieters erlangte und diese exportierte. In einer eigenen Sicherheitsmitteilung bestätigte Cisco die Datenschutzverletzung und betonte, dass selbst sicherheitsbewusste Unternehmen anfällig sind, wenn ein einzelner Mitarbeiter kompromittiert wird.

Warnung des FBI IC3 zu Identitätsbetrug mittels KI-Stimmen (Mai 2025). Das FBI veröffentlichte die Warnung PSA250515, nachdem es festgestellt hatte, dass böswillige Akteure seit mindestens April 2025 KI-generierte Sprachnachrichten und Textnachrichten nutzten, um sich als hochrangige US-Regierungsbeamte auszugeben. Die Kampagne richtete sich gegen aktuelle und ehemalige Bundes- und Staatsbeamte, um an deren Zugangsdaten zu gelangen. Nach Angaben von Google Cloud entwickeln sich diese Techniken weiter und ihr Anwendungsbereich nimmt zu.

Datenpanne an der Harvard University (November 2025). Die Systeme der Abteilung für Alumni-Angelegenheiten und Fundraising der Harvard University wurden durch einen Vishing-Angriff kompromittiert. Durch die Datenpanne wurden Alumni-Daten und Förderbeziehungen offengelegt, was nach Einschätzung von Analysten erhebliche langfristige Auswirkungen auf die Einrichtung haben könnte.

Diese Fälle haben eines gemeinsam: Vishing diente als Einstiegspunkt, der weitere Angriffe ermöglichte – darunter den Diebstahl von Zugangsdaten, das Abziehen von Daten und in mehreren Fällen Lösegeldforderungen.

Vishing erkennen und verhindern

Eine wirksame Abwehr gegen Vishing geht über die bloße Aufforderung an die Mitarbeiter hinaus, unbekannte Anrufe nicht anzunehmen. Sie erfordert die Verknüpfung von Aktivitäten im Sprachkanal mit Authentifizierungsereignissen sowie den Aufbau von Erkennungsfunktionen im SOC, die Verhaltensweisen identifizieren, die auf eine Kompromittierung nach einem Vishing-Angriff hindeuten.

Strategien zur Erkennung von Unternehmen

Da der Vishing-Anruf selbst meist außerhalb der Sicherheitsüberwachung stattfindet, müssen sich SOC-Teams darauf konzentrieren, die Verhaltensmuster zu erkennen, die auf einen erfolgreichen Vishing-Angriff folgen.

Erkennungssignale des Unternehmens-SOC für Aktivitäten nach einem Vishing-Angriff:

Erkennungssignal	Datenquelle	SOC-Maßnahme
Installation von Fernzugriffstools (Quick Assist, AnyDesk, TeamViewer)	EDR / endpoint	Warnung und Untersuchung; Blockierung unbefugter RAT-Installationen
MFA-Abfrage innerhalb weniger Minuten nach Eingang des Anrufs	Protokolle des Identitätsanbieters + VoIP-/SIP-Protokolle	Zeitpunkte aufeinander abstimmen; vor der Genehmigung eine Rückrufbestätigung verlangen
Zurücksetzen der Anmeldedaten, gefolgt von der MFA-Registrierung eines neuen Geräts	Identitätsanbieter / Azure AD / Okta-Protokolle	Identitätsänderungskette prüfen; Genehmigung durch den Vorgesetzten einholen
Ungewöhnlicher Datenexport aus CRM/SaaS nach einem Identitätsereignis	CASB-/SaaS-Prüfprotokolle	Mit Identitätsabweichungen in Verbindung bringen; DLP-Prüfung auslösen
OAuth-Gerätecode-Authentifizierung von einem unerwarteten Standort	Anmeldeprotokolle von Azure AD	Missbrauch des Code-Flows bei Monitor-Geräten – eine neuartige Vishing-Technik
Ungewöhnliche VPN- oder Fernzugriffsaktivitäten außerhalb der Geschäftszeiten	Verhaltensanalyse / NDR	Mit über das Telefon ausgelösten Identitätsereignissen verknüpfen

Dieser Erkennungsansatz steht im Einklang mit den Leitlinien MITRE ATT&CK .004, in denen empfohlen wird, die Anrufprotokolle von Unternehmensgeräten auf ungewöhnliche Nummern zu überwachen und MFA-Push-Versuche mit der Telefonaktivität abzugleichen.

Bewährte Praktiken der Prävention

Führen Sie Verfahren zur Rückrufüberprüfung ein. Verlangen Sie, dass alle sensiblen Anfragen, die telefonisch eingehen, durch einen Rückruf an eine vorab registrierte und unabhängig verifizierte Nummer überprüft werden. Diese einzelne Maßnahme unterbricht die Kontrolle des Angreifers über den Kommunikationskanal.
Beschränken Sie die Installation von Fernzugriffstools. Das Angriffsmuster von Cisco Talos für das erste Quartal 2025 basierte durchweg darauf, Benutzer zur Installation von Quick Assist zu verleiten. Legen Sie mithilfe einer Whitelist für Anwendungen fest, welche Fernzugriffstools von wem installiert werden dürfen.
Durchsetzen Multi-Faktor-Authentifizierung mit phishing Methoden durch. Hardware-Sicherheitsschlüssel (FIDO2) widerstehen Social-Engineering-Angriffen bei der MFA. Beachten Sie, dass Push-basierte MFA selbst durch Vishing umgangen werden kann – Angreifer überreden ihre Opfer dazu, den Push zu genehmigen.
Implementieren Sie die STIR/SHAKEN-Anruferauthentifizierung. Dieses Protokoll auf Telekommunikationsniveau überprüft die Identität des Anrufers und hilft dabei, gefälschte Rufnummern zu erkennen, bevor sie die Mitarbeiter erreichen.
Führen Sie im Rahmen von Schulungen zur Sensibilisierung für Sicherheitsfragen Vishing-Simulationen durch. Laut Keepnet Labs erzielen Unternehmen, die regelmäßig Vishing-Simulationen durchführen, eine Erfolgsquote von bis zu 90 % bei der Erkennung von Angriffen. Allerdings geben 33 % der geschulten Mitarbeiter trotz eindringlicher Warnungen weiterhin Informationen preis, was zeigt, dass Schulungen allein das Risiko nicht beseitigen können. Im Durchschnitt geben 6,5 % der Mitarbeiter bei simulierten Vishing-Tests sensible Informationen preis.
Steuern Sie die Registrierungsprozesse für SSO/MFA. Verhindern Sie die Registrierung von Geräten durch Angreifer nach einer Kompromittierung der Anmeldedaten, indem Sie für die Registrierung neuer Geräte eine zusätzliche Überprüfung verlangen.

Was tun, wenn ein Vishing-Angriff erfolgreich ist?

Sollten bei einem Vishing-Angriff Anmeldedaten kompromittiert oder Fernzugriffsrechte gewährt werden, sollten Sicherheitsteams unverzüglich die betroffenen Anmeldedaten ändern, aktive Sitzungen beenden, das kompromittierte Konto auf Datenzugriffe und Änderungen überprüfen, nach neuen MFA-Geräteregistrierungen suchen, Endgeräte auf Fernzugriffstools scannen und eine forensische Untersuchung einleiten, um den Umfang des Zugriffs zu ermitteln. Schnelligkeit ist entscheidend – das Zeitfenster zwischen der ersten Kompromittierung und der Datenexfiltration beträgt oft nur wenige Minuten.

Vishing und Compliance

Vishing lässt sich bestimmten Kontrollmaßnahmen in den wichtigsten Compliance-Rahmenwerken zuordnen – ein Zusammenhang, den derzeit kein Mitbewerber in den obersten Suchergebnissen herstellt. GRC-Teams sollten diese Zuordnungen in ihre Prüfungsnachweise und Risikobewertungen einbeziehen.

Für das Vishing-Risikomanagement geltende Compliance-Rahmenbedingungen:

Rahmenwerk	Kontroll-ID	Bezeichnung des Steuerelements	Bedeutung von Vishing
MITRE ATT&CK	`T1566.004`	Spear-Phishing per Telefon (Erstzugang)	Direkte Abbildung; Verfahrensbeispiele aus Scattered Spider, „Storm-1811“
MITRE ATT&CK	`T1598.004`	Spear-Phishing per Telefon (Erkundung)	Vishing in der Erkundungsphase; Anrufe beim LAPSUS$-Helpdesk
NIST CSF 2.0	PR.AT	Sensibilisierung und Schulung	Schulungen zur Sensibilisierung für Sicherheitsfragen müssen das Erkennen von Vishing beinhalten
NIST SP 800-53	AT-2, AT-3	Sensibilisierungsschulungen, rollenbasierte Schulungen	Mitarbeiter des Helpdesks und des IT-Supports sind die Hauptziele von Vishing-Angriffen
CIS Controls Version 8	14.2, 14.5	Social Engineering erkennen, simulierte Tests	Vishing-Simulationen erfüllen die Anforderung 14.5
ISO 27001:2022	A.6.3, A.5.14	Sicherheitsbewusstsein, Informationsweitergabe	Richtlinien zur Offenlegung von Informationen bei Telefonaten
PCI DSS v4.0	12.6	Schulung zur Sensibilisierung für Sicherheitsfragen	Die Schulung muss sich mit Gefahren für Karteninhaberdaten befassen, einschließlich Vishing

Compliance-Rahmenwerke bieten zwar die Struktur, funktionieren aber nur, wenn Unternehmen konkrete Bedrohungen wie Vishing tatsächlich bestimmten Kontrollmaßnahmen zuordnen. Die Leitlinien der CISA zum Thema Social Engineering bieten Unternehmen, die ihre Abwehrprogramme gegen Vishing aufbauen, zusätzlichen Kontext.

Moderne Ansätze zur Abwehr von Vishing

Die Sicherheitsbranche reagiert auf die zunehmende Zahl von Vishing-Angriffen mit Lösungen, die Prävention, Erkennung und Reaktion umfassen. Zu den wichtigsten Kategorien zählen Network Detection and Response (NDR) zur Erkennung von Verhaltensmustern nach einem Vishing-Angriff, Identity Threat Detection and Response (ITDR) zur Überwachung des Missbrauchs von Anmeldedaten, Schulungsplattformen zur Sensibilisierung für Sicherheitsfragen mit Vishing-Simulationsfunktionen sowie neue Tools zur Erkennung von Deepfakes im Sprachbereich.

Im Bereich der Deepfake-Erkennung trat isVerified im Januar 2026 mit Anwendungen an die Öffentlichkeit, die darauf ausgelegt sind, KI-generierte Stimmen in Echtzeit zu identifizieren. Der Marktbedarf ist offensichtlich – allein im ersten Quartal 2025 gingen durch Deepfake-Betrug mehr als 200 Millionen Dollar verloren. Der Bericht „Cyber Insights 2026“ von SecurityWeek prognostiziert, dass sich Social Engineering in Richtung „Beziehungsoperationen“ entwickeln wird – also anhaltende, KI-gestützte Kampagnen zur psychologischen Manipulation, die über Wochen oder Monate hinweg Sprach-, Text- und Videokanäle kombinieren, anstatt sich auf einzelne Anrufe zu beschränken.

Wie Vectra AI die Abwehr von Vishing Vectra AI

Vishing ist ein Vektor für den Erstzugang. Der Anruf selbst lässt sich nur schwer verhindern – doch was nach einem erfolgreichen Vishing-Angriff geschieht, führt zu erkennbaren Verhaltensmustern. Attack Signal Intelligence konzentriert sich auf die Identifizierung der Verhaltensweisen nach einer Kompromittierung, die auf einen erfolgreichen Vishing-Anruf folgen: Installation von Fernzugriffstools, anomale Identitätsnutzung, ungewöhnliche Datenzugriffsmuster und laterale Bewegung im Netzwerk. Diese „Assume-Compromise“-Philosophie bedeutet, dass Verteidiger auch dann Schutz erhalten, wenn das sprachbasierte Social Engineering erfolgreich ist, da Angreifer immer noch innerhalb des Netzwerks agieren müssen, um ihre Ziele zu erreichen – und diese Aktionen erzeugen Signale.

Künftige Trends und neue Überlegungen

Die Vishing-Landschaft wird sich in den nächsten 12 bis 24 Monaten weiterhin rasant weiterentwickeln. Einige Entwicklungen verdienen die Aufmerksamkeit von Sicherheitsverantwortlichen.

Deepfake-Stimmen in Echtzeit bei Live-Anrufen. Aktuelle Angriffe nutzen häufig vorab aufgezeichnete, KI-generierte Nachrichten, doch die Technologie zur Stimmumwandlung in Echtzeit während Live-Gesprächen wird immer ausgereifter. Der KI-Vishing-Wettbewerb der DEF CON hat bereits gezeigt, dass KI in kontrollierten Umgebungen erfolgreich Social Engineering bei Zielpersonen betreiben kann, wie IBM dokumentiert hat. Da diese Fähigkeit immer leichter zugänglich wird, wird die Unterscheidung zwischen einem „echten“ und einem „synthetischen“ Anrufer vollständig verschwinden, was die Nachfrage nach Verhaltenserkennung gegenüber sprachbasierter Authentifizierung erhöhen wird.

Professionalisierung von „Vishing-as-a-Service“. DieScattered Spider hat ein Dienstleistungsmodell vorgestellt, bei dem Vishing-Operatoren rekrutiert, pro Anruf bezahlt (500–1.000 US-Dollar) und mit vorgefertigten Skripten sowie Zielgruppendaten ausgestattet werden. Diese Professionalisierung senkt die Einstiegshürde und steigert das Volumen. Es ist zu erwarten, dass Vishing dem ransomwareModell folgen wird, bei dem spezialisierte Operatoren verschiedene Phasen der Angriffskette übernehmen.

Beschleunigte Regulierung. Das New Yorker Finanzministerium veröffentlichte im Februar 2026 eine speziell auf Vishing ausgerichtete Warnmeldung – als erste Finanzaufsichtsbehörde auf Bundesstaatsebene. Angesichts der zunehmenden Zahl von öffentlichkeitswirksamen Sicherheitsverletzungen werden wahrscheinlich immer mehr Aufsichtsbehörden spezifische Vishing-Kontrollen, Vishing-Simulationstests und Meldepflichten für Vorfälle vorschreiben.

Missbrauch der Geräte-Code-Authentifizierung. Ende 2025 tauchte eine neuartige Technik auf, die Vishing mit dem Missbrauch des OAuth 2.0-Geräteautorisierungsablaufs kombiniert und auf Microsoft Entra-Umgebungen abzielt. Diese Technik umgeht die herkömmliche MFA, indem sie einen legitimen Authentifizierungsmechanismus ausnutzt; Unternehmen sollten daher vorrangig auf unerwartete Aktivitäten im Zusammenhang mit dem Geräte-Code-Ablauf achten.

Unternehmen sollten in drei Bereiche investieren: Funktionen zur Erkennung von Identitätsbedrohungen, die Aktivitäten im Sprachkanal mit Authentifizierungsvorgängen in Zusammenhang bringen, phishing MFA (FIDO2-Hardware-Schlüssel) sowie regelmäßige Vishing-Simulationsprogramme, mit denen die Widerstandsfähigkeit der Mitarbeiter im Laufe der Zeit gemessen und verbessert wird.

Schlussfolgerung

Vishing hat sich von einem einfachen Telefonbetrug zu einem der effektivsten Einfallstore für Angreifer in der Bedrohungslandschaft von Unternehmen entwickelt. Der sprunghafte Anstieg um 442 % im Jahr 2024, die Dominanz von phishing der Reaktion auf Sicherheitsvorfälle sowie dieScattered Spider , die auf über 760 Organisationen abzielte, lassen alle denselben Schluss zu: phishing denselben Umfang an Investitionen in die Verteidigung, wie phishing in den letzten zwei Jahrzehnten für phishing aufgewendet phishing .

Der Weg nach vorn umfasst drei Elemente. Erstens Prozesskontrollen wie die Rückrufüberprüfung, die dem Angreifer die Kontrolle über den Kommunikationskanal entziehen. Zweitens technische Erkennungsmaßnahmen, die Aktivitäten im Sprachkanal mit Authentifizierungsereignissen und dem Verhalten nach einer Kompromittierung in Zusammenhang bringen. Drittens Programme zur Sensibilisierung für Sicherheitsfragen, die regelmäßige Vishing-Simulationen beinhalten, wobei anerkannt wird, dass Schulungen allein das Risiko nicht beseitigen können.

Unternehmen, die bereit sind, ihre Abwehr gegen Vishing zu stärken, sollten sich darüber informieren, wie die Plattform Vectra AI die Verhaltensmuster nach einem erfolgreichen Social-Engineering-Angriff erkennt – denn die Annahme, dass ein Angriff bereits stattgefunden hat, ist der erste Schritt zu mehr Widerstandsfähigkeit.

Häufig gestellte Fragen

Was ist Vishing, einfach ausgedrückt?

Vishing ist eine Betrugsmasche, bei der Angreifer Telefonanrufe oder Sprachnachrichten nutzen, um Menschen dazu zu verleiten, sensible Informationen wie Passwörter, Bankdaten oder MFA-Codes preiszugeben. Der Begriff setzt sich aus „Voice“ undphishing zusammen. Im Gegensatz phishing nutzt Vishing das Vertrauen und die Dringlichkeit aus, die die Sprachkommunikation von Natur aus mit sich bringt. Ein Anrufer gibt sich möglicherweise als Ihre Bank, Ihre IT-Abteilung oder sogar als eine Behörde aus. Das Ziel ist immer dasselbe: Sie dazu zu manipulieren, eine Handlung auszuführen, die dem Angreifer nützt, sei es das Vorlesen eines Bestätigungscodes, die Installation von Fernzugriffssoftware oder die Überweisung von Geld auf ein betrügerisches Konto. Vishing ist eine Form des Social Engineering und hat laut CrowdStrike in der zweiten Hälfte des Jahres 2024 um 442 % zugenommen.

Wie funktioniert ein Vishing-Angriff?

Ein Vishing-Angriff verläuft in der Regel in sieben Phasen: Aufklärung (Sammeln von Informationen über das Ziel), Entwicklung eines Vorwands (Erfinden einer glaubwürdigen Geschichte), Manipulation der Anrufer-ID (der Anruf soll legitim erscheinen), erster Kontakt und Aufbau einer Vertrauensbeziehung, psychologische Manipulation durch Vermittlung von Dringlichkeit oder Autorität, Erfassung von Zugangsdaten oder Installation von Fernzugriffstools sowie Aktivitäten nach der Kompromittierung wie laterale Bewegung oder Datenexfiltration. Der Erfolg des Angreifers hängt davon ab, das Ziel innerhalb der ersten 30 bis 60 Sekunden davon zu überzeugen, dass der Anruf legitim ist. Moderne Vishing-Operationen nutzen VoIP-Technologie für anonyme Massenanrufe, KI-Stimmklonen zur Imitation von Führungskräften sowie detaillierte Erkundungsdaten aus LinkedIn und gehackten Datenbanken, um ihre Vorwände überzeugend zu gestalten. Der Cisco Talos-Bericht für das erste Quartal 2025 stellte fest, dass phishing bei dem das Opfer dazu verleitet wird, den Angreifer anzurufen – das vorherrschende Muster war.

Was sind die Anzeichen für einen Vishing-Angriff?

Zu den wichtigsten Warnzeichen zählen unaufgeforderte Anrufe, in denen sofortiges Handeln gefordert wird, die Abfrage von Passwörtern oder MFA-Codes am Telefon, Druck, Software zu installieren oder Fernzugriff zu gewähren, eine Anrufer-ID, die legitim erscheint, deren Echtheit sich jedoch nicht über einen unabhängigen Kanal überprüfen lässt, Drohungen mit Kontosperrung oder rechtlichen Konsequenzen sowie Aufforderungen, die üblichen Verfahren aufgrund von „Dringlichkeit“ zu umgehen. Im Unternehmenskontext sollten Sie auf Anrufe achten, bei denen sich Anrufer außerhalb der Geschäftszeiten als Mitarbeiter des IT-Helpdesks oder von Sicherheitsteams ausgeben, auf Anrufer, die sich auf bestimmte interne Details beziehen (um Glaubwürdigkeit zu erzeugen), aber Überprüfungsanfragen abweisen, sowie auf jeden Telefonanruf, auf den unmittelbar eine MFA-Push-Benachrichtigung folgt. Die raffiniertesten Vishing-Angriffe – wie jene, die KI-Stimmklonen nutzen – weisen möglicherweise keine der traditionellen Warnsignale auf, weshalb technische Erkennungsmaßnahmen eine unverzichtbare Ergänzung zu Sensibilisierungsschulungen darstellen.

Welche Rolle spielt KI bei Vishing-Angriffen?

KI hat die Bedrohung durch Vishing in dreierlei Hinsicht dramatisch verschärft. Erstens kann die Technologie zum Klonen von Stimmen laut einer Studie von Microsoft VALL-E bereits anhand von nur drei Sekunden Audioaufnahme eine überzeugende Nachbildung der Stimme einer Person erstellen. Angreifer nutzen Aufzeichnungen aus Bilanzpressekonferenzen, Konferenzpräsentationen, sozialen Medien und Voicemail-Ansagen als Ausgangsmaterial. Zweitens ermöglicht KI die Sprachumwandlung in Echtzeit während laufender Telefonate, sodass ein Angreifer mit der Stimme eines CEO oder eines vertrauenswürdigen Kollegen sprechen kann. Drittens helfen große Sprachmodelle Angreifern dabei, überzeugendere Skripte zu erstellen, sich in Echtzeit an ihre Ziele anzupassen und in mehreren Sprachen zu agieren. Das FBI warnte im Mai 2025, dass KI-generierte Sprachnachrichten dazu genutzt würden, sich als hochrangige US-Beamte auszugeben. Laut Deloitte werden die durch Deepfakes verursachten Betrugsverluste bis 2027 voraussichtlich 40 Milliarden US-Dollar erreichen.

Wie schützen sich Unternehmen vor Vishing-Angriffen?

Die Prävention von Vishing in Unternehmen erfordert einen mehrschichtigen Ansatz, der Menschen, Prozesse und Technologie miteinander verbindet. Die wichtigste Prozesskontrolle ist die Rückrufüberprüfung – dabei müssen alle sensiblen Anfragen, die telefonisch eingehen, durch einen Rückruf an eine vorab registrierte, unabhängig verifizierte Nummer bestätigt werden. Zu den technischen Kontrollmaßnahmen gehören die Einschränkung der Installation von Fernzugriffstools (Quick Assist, AnyDesk, TeamViewer) durch Anwendungs-Whitelisting, der Einsatz von phishing MFA wie FIDO2-Hardware-Sicherheitsschlüsseln, die Implementierung der STIR/SHAKEN-Anruferauthentifizierung für VoIP-Systeme sowie die Überwachung der Protokolle von Identitätsanbietern auf anomale Muster, die mit sprachgesteuerten Aktivitäten korrelieren. Auf der personellen Seite sollten Unternehmen regelmäßig Vishing-Simulationen durchführen – laut Keepnet Labs erreichen Unternehmen, die dies tun, Erkennungsraten von bis zu 90 %; allerdings geben immer noch 33 % der geschulten Mitarbeiter unter Druck Informationen preis, was die Notwendigkeit technischer Sicherheitsvorkehrungen verdeutlicht.

Was ist ein Callback phishing ?

Callback phishing, auch als „Telephone-Oriented Attack Delivery“ (TOAD) bezeichnet, ist eine hybride Angriffsmethode, bei der E-Mails als Köder eingesetzt werden, um das Opfer dazu zu bringen, einen Anruf zu tätigen. Der Angreifer versendet eine E-Mail – eine gefälschte Anmeldebestätigung, Rechnung oder Sicherheitswarnung – mit einer Telefonnummer für den „Kundensupport“. Wenn das Opfer anruft, gibt sich ein Angreifer am anderen Ende der Leitung als Support-Mitarbeiter aus und leitet das Opfer durch Schritte, die das System kompromittieren, typischerweise durch die Installation von Fernzugriffssoftware wie Quick Assist. Diese Technik ist besonders effektiv, da das Opfer den Anruf selbst initiiert, was sich sicherer anfühlt, als einen Anruf von einer unbekannten Nummer anzunehmen. Cisco Talos identifizierte phishing das häufigste phishing in seinen Incident-Response-Einsätzen im ersten Quartal 2025. BazarCall-Kampagnen waren Vorreiter dieses Ansatzes, und er wurde von mehreren Gruppen von Angreifern übernommen, darunter auch solche, die mit Scattered Spider in Verbindung stehen.

Was ist ein Beispiel für einen Vishing-Angriff?

Das bedeutendste Beispiel aus jüngster Zeit ist dieScattered Spider aus den Jahren 2025–2026, die sich gegen über 760 Unternehmen richtete. Die Angreifer riefen Mitarbeiter der Zielunternehmen an, gaben sich als Mitarbeiter des IT-Helpdesks aus und leiteten die Opfer auf gefälschte SSO-Anmeldeseiten für Google, Microsoft und Okta weiter. Sobald sie Zugangsdaten und MFA-Codes erbeutet hatten, verschafften sie sich Zugriff auf Salesforce-CRM-Systeme und entwendeten Kundendaten. Zu den bestätigten Opfern gehörten Google, Cisco, Wynn Resorts (über 800.000 Mitarbeiterdatensätze) und CarGurus (12,5 Millionen Datensätze). Bei einem separaten Vorfall im Juli 2025 wurde ein einzelner Cisco-Mitarbeiter durch einen Vishing-Anruf mittels Social Engineering manipuliert, was zum Export von CRM-Profilinformationen führte. Diese Beispiele zeigen, dass modernes Vishing auf die Unternehmensinfrastruktur abzielt und nicht nur auf einzelne Bankkonten.

Wie melde ich einen Vishing-Angriff?

Melden Sie Vishing-Angriffe über mehrere Kanäle gleichzeitig. Reichen Sie eine Meldung beim Internet Crime Complaint Center (IC3) des FBI unter ic3.gov ein und melden Sie den Vorfall der FTC unter reportfraud.ftc.gov. Informieren Sie unverzüglich das Sicherheits- oder Incident-Response-Team Ihrer Organisation – dieses muss prüfen, ob Zugangsdaten kompromittiert wurden, ob Fernzugriff gewährt wurde und welche Daten möglicherweise offengelegt wurden. Falls Finanzdaten kompromittiert wurden, kontaktieren Sie Ihre Bank direkt über die auf Ihrer Karte oder Ihrem Kontoauszug angegebene Nummer (nicht über eine vom Angreifer angegebene Nummer). Dokumentieren Sie alles, woran Sie sich bezüglich des Anrufs erinnern können: die angezeigte Telefonnummer, die Behauptungen des Anrufers, welche Informationen Sie preisgegeben haben und alle Maßnahmen, die Sie während oder nach dem Anruf ergriffen haben. Diese Dokumentation unterstützt sowohl die Ermittlungen als auch etwaige erforderliche behördliche Meldungen.

Welche Branchen sind am stärksten von Vishing betroffen?

Die Daten der Kampagne 2025–2026 zeigen, dass die Technologiebranche, Finanzdienstleistungen, Telekommunikation, der Einzelhandel und das Hochschulwesen zu den am stärksten betroffenen Branchen zählen. DieScattered Spider traf Unternehmen aus verschiedenen Branchen, darunter Technologie (Google, Cisco, Optimizely), Gastgewerbe (Wynn Resorts), Automobilindustrie (CarGurus), Einzelhandel (Pandora, Adidas), Telekommunikation (Odido in den Niederlanden, wobei 6,2 bis 21 Millionen Datensätze offengelegt wurden), Fluggesellschaften (Qantas) und Hochschulwesen (Harvard, UPenn). Finanzdienstleister sind einem erhöhten Risiko ausgesetzt, da Vishing direkt auf finanzielle Autorisierungsprozesse abzielt. Organisationen im Gesundheitswesen werden wegen ihrer Patientendaten ins Visier genommen. Der gemeinsame Nenner ist nicht die Branche selbst, sondern der Wert der Daten oder der Zugriff, über den die Organisation verfügt – insbesondere SSO-Anmeldedaten, die den Zugang zu SaaS-Plattformen mit Kundendaten ermöglichen.

Kann KI deine Stimme für Vishing klonen?

Ja. Mit Hilfe von KI-Technologie zum Klonen von Stimmen lässt sich bereits aus einer nur drei Sekunden langen Audioaufnahme eine realistische Nachbildung der Stimme einer Person erstellen. Das Ausgangsmaterial kann aus Bilanzpressekonferenzen, Konferenzpräsentationen, YouTube-Videos, Social-Media-Beiträgen oder Voicemail-Ansagen stammen – allesamt öffentlich zugängliche Informationen für viele Führungskräfte. Die aktuelle Technologie unterstützt sowohl vorab aufgezeichnete Deepfake-Audiodaten als auch die Sprachumwandlung in Echtzeit während Live-Anrufen. Fortune berichtete Ende 2025, dass KI-generierte Stimmen die „Ununterscheidbarkeitsschwelle“ überschritten haben, was bedeutet, dass durchschnittliche Zuhörer den Unterschied nicht zuverlässig erkennen können. Dies hat Angriffe wie den 25-Millionen-Dollar-Betrug in Hongkong ermöglicht, bei dem ein Mitarbeiter durch einen Deepfake-Videoanruf mit geklonteten Stimmen von Führungskräften des Unternehmens getäuscht wurde, sowie die vom FBI dokumentierte Kampagne, bei der KI-generierte Sprachnachrichten verwendet wurden, um sich als hochrangige US-Regierungsbeamte auszugeben.