Vishing ist eine Form des Phishing, bei der Angreifer telefonisch oder per VoIP versuchen, sensible Informationen wie Zugangsdaten oder Zahlungsinformationen zu erlangen.
Vishing ist ein Kunstwort aus „Voice“ und „Phishing“ und beschreibt eine Social-Engineering-Methode, bei der Angreifer das Telefon als Kommunikationsmittel nutzen. Ziel ist es, durch gezielte Täuschung vertrauliche Informationen wie Passwörter, TAN-Codes, Kreditkartendaten oder interne Unternehmensinformationen zu erhalten. Anders als beim klassischen E-Mail-Phishing erfolgt die Manipulation in einem direkten Gespräch, was eine höhere psychologische Wirkung entfalten kann.
Durch moderne VoIP-Technologien ist es Angreifern möglich, Rufnummern zu manipulieren und vertrauenswürdige Institutionen wie Banken oder Behörden vorzutäuschen.
Ein Vishing-Vorfall folgt häufig einem strukturierten Muster.
Durch die direkte Interaktion können Angreifer flexibel auf Rückfragen reagieren und ihre Geschichte anpassen.
Vishing nutzt gezielt soziale und emotionale Faktoren.
Die direkte Stimme am Telefon kann Hemmschwellen abbauen und Vertrauen schneller aufbauen als schriftliche Kommunikation.
Vishing verdeutlicht, dass Informationssicherheit nicht ausschließlich digital ist. Telefonische Kommunikation kann ebenso als Angriffsvektor genutzt werden wie E-Mail oder Webportale. Eine ganzheitliche Sicherheitsstrategie muss daher auch sprachbasierte Angriffsmethoden berücksichtigen.
1. GRUNDSATZ DER DATENSCHUTZ-ZURÜCKHALTUNG
Sensible Informationen sollten niemals am Telefon preisgegeben werden, wenn der Anruf nicht selbst initiiert wurde. Offizielle Rückrufe über bekannte Nummern erhöhen die Sicherheit.
2. SENSIBILISIERUNG UND SCHULUNGEN
Mitarbeitende sollten typische Vishing-Muster kennen und lernen, Anrufe kritisch zu hinterfragen. Besonders Personen mit Zugriff auf sensible Daten sind zu sensibilisieren.
3. VERIFIZIERUNGSPROZESSE
Interne Richtlinien sollten festlegen, wie Identitäten telefonisch überprüft werden. Ungewöhnliche Anfragen müssen unabhängig bestätigt werden.
4. TECHNISCHE SCHUTZMECHANISMEN
Telefonanlagen können Funktionen zur Erkennung manipulierte Rufnummern unterstützen. Zusätzlich kann ein Monitoring verdächtiger Anrufe implementiert werden.
5. KLARE MELDEWEGE
Verdächtige Anrufe sollten dokumentiert und an Sicherheitsverantwortliche gemeldet werden, um weitere Schäden zu verhindern.
Mit der zunehmenden Digitalisierung und Vernetzung steigt auch die Relevanz sprachbasierter Angriffsmethoden. Vishing wird häufig mit anderen Techniken kombiniert, etwa mit Spear-Phishing oder Smishing. So können Angreifer zunächst per E-Mail Kontakt aufnehmen und anschließend telefonisch nachfassen, um ihre Glaubwürdigkeit zu erhöhen.
Diese Mehrkanalstrategie erschwert die Erkennung und erhöht die Erfolgswahrscheinlichkeit.
Ein erfolgreicher Vishing-Angriff kann zu erheblichen finanziellen Verlusten führen. Darüber hinaus drohen Datenschutzverletzungen und regulatorische Konsequenzen. Für Unternehmen entstehen neben direkten Schäden auch Kosten für Incident Response, interne Untersuchungen und Reputationsmanagement.
Vishing ist eine telefonbasierte Social-Engineering-Methode, die auf direkter Manipulation und psychologischer Einflussnahme basiert. Durch die Kombination aus technischer Rufnummernmanipulation und menschlicher Interaktion entsteht ein hohes Risikopotenzial. Klare Prozesse, konsequente Verifizierung und kontinuierliche Sensibilisierung sind entscheidend, um diese Bedrohung wirksam zu begrenzen.
Weiteres IT-Wissen in unserem Blog
Eine professionelle Phishing-Simulation im Unternehmen zeigt, wie sicher Ihre Mitarbeitenden wirklich reagieren. Erfahren Sie, warum klassische IT-Security allein nicht genügt, wie KI Phishing verändert – und wie Sie mit IT-Security-Check und Awareness-Training Ihr Sicherheitsniveau messbar steigern.
Alles zu Post-Quanten-Kryptografie: Dieser Leitfaden zeigt Ihnen, welche IT-Systeme betroffen sind, wie Sie Hybrid-Verschlüsselung einsetzen und wie Sie Ihre IT-Infrastruktur Schritt für Schritt auf die Quantenära vorbereiten. Mit Praxiswissen, Management-Checkliste und konkreten Handlungsempfehlungen für KMUs. Sicheren Sie Ihre Daten langfristig und verschaffen Ihrem Unternehmen einen strategischen Vorsprung.
Schützen Sie sensible Daten mit Data Loss Prevention von 12systems. Verhindern Sie Datenabfluss, erfüllen Sie DSGVO-Anforderungen und sichern Sie Ihr Unternehmen aktiv ab.
Deep Packet Inspection DPI bezeichnet die detaillierte Analyse von Datenpaketen im Netzwerk. Die Technologie prüft nicht nur Absender und Empfänger, sondern auch den Inhalt der Daten und erkennt dadurch Sicherheitsbedrohungen frühzeitig. Firewalls prüfen hauptsächlich Verbindungsdaten. DPI analysiert zusätzlich den tatsächlichen Dateninhalt und erkennt dadurch komplexe Angriffe und versteckte Schadsoftware.
Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
