Viele Unternehmen denken bei IT-Sicherheit zuerst an Systeme: Firewalls, Passwörter, VPNs. Alles wichtig, keine Frage. Aber manchmal reicht ein einfacher Anruf. Jemand, der sich überzeugend genug gibt. Vielleicht mit einem Hauch von Dringlichkeit. Oder sogar mit echtem Hintergrundwissen, weil er vorher schon irgendwo an Infos gekommen ist.
Ein neuer Angriffsvektor: Wenn Hacker anrufen
Cyberkriminelle entwickeln ihre Methoden kontinuierlich weiter. Während sich viele Unternehmen auf den Schutz vor Phishing-E-Mails, Ransomware oder technischen Schwachstellen konzentrieren, gerät ein anderer Kanal zunehmend ins Visier: das Telefon.
Vishing, eine Form des Social Engineering, nutzt das Telefon als Einfallstor. Der Begriff setzt sich aus „Voice“ und „Phishing“ zusammen. Er beschreibt den Versuch, Personen am Telefon zu täuschen, um sensible Informationen wie Zugangsdaten oder interne Prozesse preiszugeben.
Angreifer setzen dabei auf gut vorbereitete Szenarien, gefälschte Rufnummern und teils sogar KI-generierte Stimmen. Alles, um Vertrauen zu schaffen und kritische Sicherheitsmechanismen zu umgehen.
Der Salesforce-Vorfall: So gelangten Angreifer an Kundendaten
Im Frühjahr 2024 wurde bekannt, dass sich Kriminelle über Vishing-Angriffe Zugang zu Salesforce-Kundendaten verschafft hatten. Besonders brisant: Nicht Salesforce selbst war das eigentliche Ziel, sondern die Angriffe richteten sich gegen Mitarbeitende im Kundenservice.
Mithilfe zuvor kompromittierter Informationen, mutmaßlich aus Sicherheitslücken bei Drittanbietern, konnten sich die Angreifer am Telefon als legitime Nutzer ausgeben. So wurden bestehende Authentifizierungsprozesse unterwandert.
Der Angriff zeigt, wie perfide Vishing funktioniert: Durch geschickt platzierte Anrufe, teils mit echtem Insiderwissen, wird das Vertrauen der Opfer erschlichen und Sicherheitskonzepte ausgehebelt.
Warum Vishing funktioniert: Die menschliche Schwachstelle
Technologische Cybersicherheitsmaßnahmen sind in vielen Unternehmen bereits etabliert. Aber was passiert, wenn der Mensch zur Schwachstelle wird?
Vishing-Angriffe zielen genau darauf ab. Mitarbeitende sind oft unter Zeitdruck, möchten hilfsbereit sein oder erkennen in einem Anrufer tatsächlich eine interne Stimme. Diese psychologischen Hebel machen es Angreifern leicht, Sicherheitsroutinen zu umgehen.
Besonders problematisch wird es, wenn Unternehmen keine klaren Prozesse für Support-Anfragen oder telefonische Authentifizierungen etabliert haben. Ein kurzer Anruf genügt, und wichtige Daten oder Systemzugänge sind in Gefahr.
Was wir lernen sollten: Cybersecurity neu denken
Der Fall Salesforce macht deutlich: Es reicht nicht aus, nur technische Infrastrukturen zu sichern. Ein ganzheitlicher Ansatz muss auch Kommunikationswege wie Telefonanrufe mit einbeziehen.
Unternehmen sollten Zero-Trust-Prinzipien nicht nur auf Netzwerkebene denken, sondern auch auf zwischenmenschlicher Ebene. Das bedeutet: Niemandem wird automatisch vertraut, auch nicht, wenn die Stimme am anderen Ende der Leitung vertrauenswürdig klingt.
Neben Schulungen braucht es vor allem Prozesse, die Mitarbeitenden ermöglichen, verdächtige Anfragen zu melden oder zu verifizieren, ohne Druck und mit klaren Eskalationswegen.
Aufmerksamkeit ist der beste Schutz
Vishing ist keine hypothetische Gefahr, sondern bereits Realität. Durch KI-gestützte Täuschungstechniken wird sie noch gefährlicher. Der Angriff auf Kunden von Salesforce zeigt, wie schnell sich über den telefonischen Weg Zugang zu kritischen Informationen verschaffen lässt.
Unternehmen sind jetzt gefragt, sowohl technische als auch organisatorische Schutzmaßnahmen zu etablieren. Und vor allem ihre ihre Mitarbeitenden für diese unsichtbare Bedrohung zu sensibilisieren. Denn am Ende bleibt festzuhalten: Der beste Schutz ist nicht nur Technik, sondern ein wachsames und geschultes Team.
Wie gut ist Ihr Unternehmen gegen Vishing und andere Social Engineering-Angriffe geschützt?
Unsere Cybersecurity-Experten unterstützen Sie dabei, Sicherheitslücken zu identifizieren, Mitarbeitende gezielt zu sensibilisieren und effektive Schutzmaßnahmen zu etablieren.
