„Hallo, hier ist die IT …“
Ein Blick hinter die Kulissen von Vishing-Tests
Wenn ich Menschen erzähle, dass ich regelmäßig Vishing-Angriffe durchführe, bekomme ich meistens dieselbe Reaktion: „Das klingt spannend. Das würde ich auch gerne mal machen.“ Und ja, spannend ist es definitiv. Aber einfach ist es nicht.
Vishing ist sozusagen der „Enkeltrick für Unternehmen“. Statt Senioren anzurufen und eine Notlage vorzutäuschen, versuchen Angreifer am Telefon das Vertrauen von Mitarbeitern zu gewinnen, um an Informationen, Zugangsdaten oder andere sensible Daten zu gelangen.
Eine Fallstudie aus meinem ersten Vishing-Projekt
Mein erster Vishing-Anruf entstand eigentlich aus einem ganz normalen Pentest. Wir hatten gerade die technische Prüfung bei einem Kunden abgeschlossen. Kritische Schwachstellen konnten wir nicht identifizieren, insgesamt hinterließ die Infrastruktur einen soliden Eindruck.
Während der Analyse stießen wir jedoch auf sensible Mitarbeiterinformationen. Darunter fanden sich Hinweise darauf, welche Mitarbeiter sich aktuell im Mutterschutz oder in Elternzeit befanden. Gemeinsam mit dem Kunden entstand daraufhin die Idee, die technischen Erkenntnisse durch ein Social-Engineering-Szenario zu ergänzen. Die Frage lautete: Lassen sich die gefundenen Informationen nutzen, um das Vertrauen von Mitarbeitern oder Support-Mitarbeitern zu gewinnen?
Für dieses Szenario wurde eine weibliche Stimme benötigt. Und plötzlich waren alle Augen auf mich gerichtet. Zu diesem Zeitpunkt hatte ich noch nie einen Vishing-Anruf durchgeführt.
Also entwickelte sich aus den Ergebnissen des Pentests eine Geschichte: Eine Mitarbeiterin im Mutterschutz, die seit längerer Zeit nicht mehr gearbeitet hatte und nun wieder auf Unternehmensressourcen zugreifen wollte. Ich schilderte dem IT-Support, dass ich mein Passwort nicht mehr kenne und mich deshalb nicht anmelden könne. Die Situation wirkte plausibel, schließlich war ich schon seit Monaten nicht mehr im Arbeitsalltag. Der Support-Mitarbeiter setzte daraufhin das Passwort zurück, vergab ein neues und teilte mir die neuen Zugangsdaten direkt am Telefon mit. Wenige Minuten nach dem Anruf verfügten wir somit über einen gültigen Zugang zum Benutzerkonto.
Damit war das Szenario jedoch nicht beendet. Der zurückgesetzte Zugang ermöglichte weitere Prüfungen, die letztlich zusätzliche Schwachstellen und Risiken sichtbar machten, die während der ursprünglichen technischen Analyse noch nicht aufgefallen waren.
Rückblickend war genau dieses Projekt für mich die erste Begegnung mit einer wichtigen Erkenntnis: Technische Sicherheit und menschliche Faktoren lassen sich nicht voneinander trennen. Erst die Kombination beider Perspektiven zeigt oft das tatsächliche Risiko.
Warum ein einziges Gespräch manchmal ausreicht
Seit diesem ersten Anruf sind viele weitere Vishing-Projekte dazugekommen. Und obwohl ich heute deutlich mehr Erfahrung habe, bin ich immer wieder überrascht, welche Auswirkungen ein einziges erfolgreiches Gespräch haben kann.
Manchmal reicht eine scheinbar harmlose Information. Manchmal wird ein Passwort zurückgesetzt. Manchmal erhält man einen Fernzugriff auf einen Rechner. Für die betroffenen Mitarbeiter wirkt das oft wie eine Kleinigkeit. Für einen echten Angreifer kann genau das der erste Schritt einer deutlich größeren Angriffskette sein.
Vielleicht ist das auch einer der Gründe, warum ich Vishing bis heute so spannend finde: Es zeigt, dass Sicherheitsvorfälle selten mit einer einzelnen großen Schwachstelle beginnen. Häufig beginnen sie mit vielen kleinen Entscheidungen, die für sich genommen völlig nachvollziehbar erscheinen.
Warum Vishing schwieriger ist, als die meisten denken
Von außen betrachtet wirkt Vishing oft wie eine Mischung aus Detektivarbeit, Recherche und Schauspielerei. Aber ich glaube, viele unterschätzen einen entscheidenden Punkt: Am anderen Ende der Leitung sitzt ein echter Mensch. Jemand, den man bewusst täuschen muss. Genau das macht Vishing deutlich schwieriger, als viele denken.
Es geht auch nicht darum, ein Skript auswendig zu lernen. Es geht darum, besonders flexibel zu sein. Es geht darum, innerhalb weniger Sekunden Vertrauen aufzubauen und gleichzeitig zu wissen, dass die Geschichte, die man erzählt, nicht wahr ist.
Man merkt oft, dass die Person am anderen Ende helfen möchte. Man hört die Hilfsbereitschaft. Man hört die Unsicherheit. Manchmal hört man sogar, dass jemand eigentlich ein ungutes Gefühl hat und trotzdem versucht, eine Lösung zu finden. Und genau dann wird einem bewusst, dass Social Engineering nicht gegen schlechte Mitarbeiter funktioniert. Sondern gegen menschliche Eigenschaften.
Ich glaube, das ist auch der Grund, warum ich vor Vishing-Anrufen bis heute nervös bin. Nicht weil ich Angst habe, dass mein Szenario nicht funktioniert. Sondern weil ich weiß, dass ich gleich mit einem Menschen sprechen werde, der einfach versucht, seinen Job gut zu machen.
Wer Vishing nur als technische Angriffsmethode betrachtet, übersieht den wichtigsten Teil. Am Ende geht es immer um Menschen.
Menschen statt Schwachstellen
Auch nach vielen Projekten merke ich jedes Mal wieder, wie die Anspannung steigt, bevor ich zum Hörer greife. Auch heute noch geht mir durch den Kopf, ob meine Geschichte glaubwürdig genug sein wird. Aber ich frage mich auch, wie es den Menschen auf der anderen Seite des Telefons geht.
Wenn ein Vishing-Test erfolgreich ist, freue ich mich natürlich zunächst darüber, dass das Szenario funktioniert hat. Gleichzeitig denke ich aber auch an die Person auf der anderen Seite der Leitung. Denn ich weiß, dass solche Situationen unangenehm sein können, sobald jemand erfährt, dass er Teil einer Simulation war.
Genau hier liegt für mich einer der wichtigsten Unterschiede zwischen einem echten Angreifer und einem Vishing-Test. Unser Ziel ist nicht, Mitarbeiter bloßzustellen oder einzelne Personen für Fehler verantwortlich zu machen. Deshalb nennen wir in unseren Berichten keine Namen. Auf Wunsch lösen wir Szenarien direkt auf, führen Nachbesprechungen durch und unterstützen unsere Kunden bei der Umsetzung geeigneter Gegenmaßnahmen.
Denn die meisten Menschen machen Fehler nicht, weil sie leichtsinnig sind. Sie machen Fehler, weil sie Eigenschaften zeigen, die wir eigentlich an guten Kollegen schätzen: Hilfsbereitschaft, Vertrauen und Lösungsorientierung.
Genau deshalb sind Vishing-Simulationen so wertvoll. Sie zeigen nicht nur, wo Risiken bestehen, sondern bieten auch die Möglichkeit, daraus zu lernen und Sicherheitsprozesse nachhaltig zu verbessern.
Der spannendste Teil beginnt lange vor dem ersten Anruf
Was mir an Vishing-Projekten besonders Spaß macht, ist die Vorbereitung. Vor allem dann, wenn wir vom Kunden möglichst wenige Informationen erhalten. Manche Unternehmen stellen uns Telefonlisten zur Verfügung oder geben konkrete Ansprechpartner vor. Das macht die Durchführung einfacher.
Spannender wird es für mich aber, wenn wir bei null anfangen. Dann beginnt die Recherche. In der Informationssicherheit nennen wir das Open Source Intelligence, kurz OSINT. Es bedeutet schlicht, öffentlich verfügbare Informationen zu sammeln. LinkedIn, Xing, Unternehmenswebseiten, Pressemitteilungen oder Stellenanzeigen liefern oft erstaunlich viele Informationen. Wer arbeitet in welcher Abteilung? Wer hat welche Funktion? Welche Technologien werden eingesetzt? Welche Dienstleister sind im Einsatz? Welche Projekte laufen aktuell?
Jedes einzelne Puzzleteil hilft später dabei, eine glaubwürdige Geschichte aufzubauen. Denn niemand gibt Informationen heraus, weil ein Fremder danach fragt. Menschen geben Informationen heraus, wenn die Situation plausibel erscheint.
Wie aus wenigen Informationen viele werden
Ein wichtiger Teil der Vorbereitung besteht oft darin, interne Durchwahlen zu ermitteln. Weil eine bekannte Durchwahl sofort Glaubwürdigkeit erzeugt. Wenn ich die Nummer eines Kollegen kenne, wirke ich automatisch wie jemand, der eigentlich dazugehört.
Dafür nutze ich einen Trick, den ich in meinen Vertriebszeiten schon angewendet habe: Zunächst recherchiere ich Namen und Funktionen von Mitarbeitern über soziale Netzwerke. Danach rufe ich eine beliebige Durchwahl an und spiele den Verwirrten. „Moment, mit wem spreche ich gerade? Ich wollte eigentlich Frau Müller erreichen. Ist das nicht ihre Durchwahl?“ Fast immer bekomme ich eine Antwort wie: „Nein, hier ist Herr Schmidt. Frau Müller hat die Durchwahl 4711.“ Perfekt. Jetzt kenne ich die Nummer von Frau Müller. Und die von Herrn Schmidt. Aus einem Gespräch werden zwei neue Einträge auf meiner Liste. Wiederholt man diesen Vorgang ein paar Mal, entsteht erstaunlich schnell ein recht vollständiges Bild der internen Telefonstruktur eines Unternehmens.
Viele glauben, erfolgreiche Vishing-Angriffe hätten etwas mit besonders gutem Schauspiel zu tun. Meiner Erfahrung nach ist das Gegenteil der Fall. Je mehr man versucht, eine Rolle zu spielen, desto unglaubwürdiger wirkt man. Die besten Geschichten sind meist die unspektakulärsten. Ein Mitarbeiter aus einer anderen Niederlassung. Eine Kollegin im Homeoffice. Ein externer Dienstleister. Nichts davon klingt außergewöhnlich. Und genau deshalb funktioniert es.
Manchmal helfen sogar Kleinigkeiten. Wenn ich beispielsweise eine gestresste Mutter spiele, läuft im Hintergrund ein schreiendes Baby von YouTube. Wenn ich angeblich auf Dienstreise bin, hört man Flughafengeräusche. Nicht übertrieben. Nicht wie im Theater. Nur gerade genug, damit die Situation glaubwürdig wirkt. Menschen ergänzen den Rest der Geschichte ganz automatisch in ihrem Kopf.
Vom Telefonat zur Kompromittierung
Während eine Vishing-Simulation mit der Dokumentation der Ergebnisse endet, beginnt für einen Angreifer an diesem Punkt häufig die nächste Phase des Angriffs. Das Gespräch ist oft nur der Einstieg. Die eigentliche Frage lautet: Was kann ein Angreifer mit den gewonnenen Informationen anfangen?
In unseren Projekten reicht die Bandbreite von scheinbar harmlosen Informationen bis hin zu direkten Zugriffsmöglichkeiten. Manchmal erfahren wir, welche Sicherheitslösungen eingesetzt werden, welche Betriebssysteme genutzt werden oder wie bestimmte Prozesse im Unternehmen funktionieren. In anderen Fällen gelingt es, Passwörter zurücksetzen zu lassen oder sogar Fernzugriffe auf Systeme zu erhalten.
Für die betroffenen Mitarbeiter wirken solche Informationen oft nicht besonders kritisch. Aus Sicht eines Angreifers können sie jedoch wertvolle Puzzleteile sein. Kennt man beispielsweise die eingesetzten Sicherheitslösungen, lassen sich Angriffe gezielter vorbereiten. Erhält man einen Fernzugriff auf einen Rechner, kann daraus der Ausgangspunkt für eine weitere Ausbreitung im Netzwerk werden.
Genau deshalb betrachten wir Vishing niemals isoliert. Social Engineering öffnet häufig die Tür. Die eigentliche technische Kompromittierung beginnt oft erst danach.
Wie können Unternehmen sich schützen?
Vishing ist kein Problem, das man ausschließlich mit Technik lösen kann. Klare Prozesse sind oft deutlich wirksamer. Mitarbeiter sollten wissen, dass solche Angriffe existieren. Noch wichtiger ist jedoch, dass sie wissen, wie sie in einer verdächtigen Situation reagieren können.
Ein einfaches Beispiel ist das sogenannte Rückrufverfahren. Meldet sich jemand am Telefon als IT-Mitarbeiter, Dienstleister oder Kollege aus einer anderen Niederlassung und bittet um sensible Informationen oder eine Passwortänderung, sollte es völlig normal sein zu sagen: „Kein Problem. Ich rufe Sie kurz über die im Verzeichnis hinterlegte Nummer zurück.“ Für einen legitimen Anrufer ist das kein Problem. Für einen Angreifer bedeutet das häufig das Ende des Gesprächs.
Genauso wichtig ist es, Identitäten zu überprüfen und etablierte Prozesse konsequent einzuhalten.
Und jeder sollte wissen: Sicherheitsprozesse gelten für alle. Auch für die Geschäftsführung. Auch für die IT. Auch für externe Dienstleister. Wenn Prozesse konsequent eingehalten werden, verlieren viele Social-Engineering-Angriffe einen Großteil ihrer Wirkung.
Mein Fazit
Nach vielen Vishing-Projekten bin ich überzeugt: Die stärkste Sicherheitsbarriere eines Unternehmens ist nicht die Firewall. Es sind die Menschen. Und genau deshalb testen wir sie. Nicht um Fehler aufzuzeigen. Nicht um jemanden bloßzustellen. Sondern um sichtbar zu machen, wie überzeugend ein Fremder wirken kann, wenn er genügend Informationen gesammelt hat und die richtigen Knöpfe drückt.
Die Menschen, die auf einen Vishing-Angriff hereinfallen, sind selten die schlechtesten Mitarbeiter. Oft sind es die hilfsbereitesten. Und genau deshalb lohnt es sich, regelmäßig zu trainieren, wie man mit solchen Situationen umgeht.
Denn manchmal beginnt ein erfolgreicher Angriff nicht mit einer Sicherheitslücke. Sondern mit einem freundlichen: „Hallo, hier ist die IT.“