Tobias Harmes
Tobias Harmes
16. Dezember 2025

Vishing

1
Vishing

Vishing (kurz für „Voice Phishing“) bezeichnet Social-Engineering-Angriffe, die per Telefonat oder Sprachnachricht durchgeführt werden. Angreifende geben sich dabei als vertrauliche Stellen aus – etwa IT-Support, Bank, Paketdienst oder Behörde – und versuchen, sensible Informationen zu erfragen oder bestimmte Handlungen auszulösen.  

Inhaltsverzeichnis

  1. Definition und Ziel
  2. Abgrenzung zu Phishing und Smishing
  3. Warum Vishing häufig erfolgreich ist
  4. Typische Vorgehensweisen
  5. Schutzmaßnahmen gegen Vishing
  6. Empfehlungen für Mitarbeitende und Privatpersonen
    1. Schritt für Schritt-Vorgehen im Verdachtsfall:
  7. Fazit
  8. FAQs
    1. Was ist Vishing?
    2. Welche Anzeichen sprechen für einen Vishing-Versuch?
    3. Wie reagiere ich richtig, wenn ich unsicher bin?
    4. Sind Einmalcodes am Telefon unkritisch?
    5. Wer kann mir beim Thema Vishing helfen?
    6. Kontaktieren Sie mich

Definition und Ziel

Beim Vishing steht die Interaktion in Echtzeit im Vordergrund. Ziel ist es, Zugangsdaten (Passwörter, Einmalcodes), persönliche Informationen (Kundennummern, Kontodaten) oder operative Handlungen zu erwirken. Zu letzterem gehören etwa die Installation von Remote-Software, das Umstellen von Sicherheitseinstellungen oder die Bestätigung einer angeblichen „Sicherheitsprüfung“. Häufig nutzen Angreifende Rufnummern-Spoofing, sodass im Display eine plausibel wirkende Nummer erscheint. Weil beim Telefonat keine Links oder Anhänge sichtbar sind, fällt die Einordnung zudem häufig schwerer als bei E-Mails. 

Abgrenzung zu Phishing und Smishing

Phishing erfolgt hauptsächlich per E-Mail, Smishing über SMS/Messenger. Vishing verlagert das Social Engineering in den Sprachkanal. In der Praxis werden Kanäle oft kombiniert (E-Mail mit Rückrufnummer, Telefonat mit anschließender Bestätigungs-E-Mail). Schutzkonzepte sollten diese Überschneidungen berücksichtigen und konsistente Prüfwege vorgeben. 

Warum Vishing häufig erfolgreich ist

Telefonate vermitteln Unmittelbarkeit. Gesprächsführung mit Ankerbegriffen („Sicherheit“, „Sperre“, „Dringlichkeit“) und eine behauptete Autorität (z. B. „IT-Support“, „Bank-Sicherheitsabteilung“) können Entscheidungen beschleunigen. Hinzu kommt, dass Zuständigkeiten in Unternehmen nicht immer transparent sind und Mitarbeitende im Homeoffice seltener persönlich gegenprüfen können. Moderne Technologien wie synthetische Stimmen können die Glaubwürdigkeit zusätzlich erhöhen. 

Typische Vorgehensweisen

IT-Support-Nachahmung 

Es wird ein technisches Problem (VPN, M365, SAP, MFA) geschildert. Um „zu helfen“, werden Einmalcodes abgefragt, Passwörter erbeten oder Nutzer zur Installation von Remote-Tools angeleitet. 

Bank/Behörde/Logistik 

Es wird auf angebliche Sperren, Gebühren oder ausstehende Zahlungen hingewiesen. Rückrufnummern oder Tastenmenüs führen zu Personen, die Daten erfragen oder Transaktionen anstoßen. 

Callback-Phishing 

Eine E-Mail bittet um Rückruf einer Hotline. Der eigentliche Social-Engineering-Teil findet im Telefonat statt. 

Robocalls/Voicemail 

Automatisierte Systeme erzeugen Dringlichkeit („Ihr Konto wird gesperrt“) und verbinden zu Agenten. 

Erkennungsmerkmale von Vishing 

Folgende Signale deuten auf Vishing hin: 

  • Unaufgeforderter Anruf zu sicherheitsrelevanten Themen. 
  • Zeitdruck („sofort handeln“, „letzte Chance“) oder Androhung von Konsequenzen. 
  • Abfrage von Geheimnissen (Passwörter, MFA-Codes, PIN/TAN). 
  • Aufforderung, Software zu installieren, Sicherheitseinstellungen zu ändern oder Zahlungen zu veranlassen. 
  • Rückrufnummern oder Kontaktwege, die nicht zu den offiziell bekannten Kanälen passen. 

Seriöse Stellen fordern keine Passwörter oder MFA-Codes am Telefon an. Auch Test- oder Verifizierungsgründe sind kein legitimer Anlass. 

IT Security Check

IT Security Checkliste

IT Security Checkliste für Unternehmen zur Umsetzung einer umfassenden IT-Sicherheitsstrategie mit praktischen Tipps für alle relevanten Security Bereiche. Jetzt lesen!

Jetzt anfordern

Schutzmaßnahmen gegen Vishing

Definieren Sie klare Vorgaben für den Umgang mit eingehenden Sicherheitsanrufen. Helpdesk-Mitarbeitende erfragen keine Geheimnisse und verifizieren Identitäten ausschließlich über festgelegte Wege (Ticketnummer, Rückruf über die Zentrale, Firmen-Chat). Für sensible Aktionen gilt das Vier-Augen-Prinzip. 

Regelmäßige, kurze Trainings mit realistischen Beispielen für Mitarbeiter erhöhen die Erkennungsrate. Ergänzend eignen sich Simulationen (kontrollierte Testanrufe) zur Wirksamkeitsprüfung. 

Stimmen Sie außerdem Verifikationswege mit Dienstleistern ab (z. B. fest definierte Callback-Nummern, Codewörter, Ticketbezug). Dokumentieren Sie die Verfahren gut sichtbar für die beteiligten Teams. 

Technische Leitplanken: 

  • Starke Multi-Faktor-Authentifizierung mit nummernbasierten Bestätigungen oder App-Prompts, die Kontext anzeigen. 
  • Striktes Least-Privilege-Prinzip und eng befristete, protokollierte Admin-Zugriffe. 
  • Zentrale Überwachung auffälliger Login-Muster (z. B. viele MFA-Anfragen, neue Standorte, ungewöhnliche Zeiten). 
  • Restriktionen für Remote-Support-Tools und genehmigte Softwarelisten. 
  • Standardisierte, geprüfte Kommunikationskanäle (z. B. interne Servicenummern im Intranet). 

Empfehlungen für Mitarbeitende und Privatpersonen

  • Keine Weitergabe von Passwörtern, PIN/TAN oder MFA-Codes am Telefon. 
  • Bei sicherheitsrelevanten Anliegen immer über einen offiziell bekannten Kanal zurückrufen (Nummer von der Website/Kartenrückseite, nicht aus dem Anruf). 
  • Bei Unsicherheit Gespräch beenden, Informationen prüfen und erst dann reagieren. 
  • Keine Installation von Software aufgrund eines unaufgeforderten Anrufs. 
  • Verdächtige Kontakte intern melden (Security/IT) und dokumentieren. 

Webinar: Hacker hassen diesen Trick: Praxismaßnahmen für IT-Security-Awareness

In diesem Webinar erfahren Sie, wie Sie als IT-Security-Verantwortliche die Security-Awareness in Ihrem Unternehmen erhöhen können. Sie erhalten von uns konkrete Best Practices und Maßnahmen.
Jetzt anmelden

Schritt für Schritt-Vorgehen im Verdachtsfall:

  • Gespräch beenden und unabhängig verifizieren. 
  • Zugangsdaten sichern. Passwörter ändern, MFA neu setzen, aktive Sitzungen widerrufen, falls Daten geteilt wurden. 
  • Melden und dokumentieren. Interne Meldung, Ticket anlegen, Details festhalten (Zeitpunkt, Nummer, Inhalt). 
  • Überwachung anstoßen. Logins/VPN/MFA-Ereignisse prüfen; falls notwendig, Accounts temporär sperren. 

Fazit

Vishing ist ein etabliertes Social-Engineering-Verfahren, das durch unmittelbare Kommunikation und vermeintliche Autorität wirksam wird. Ein kombiniertes Vorgehen aus klaren Prozessen, technischer Härtung und regelmäßiger Sensibilisierung senkt das Risiko deutlich. 

Die zentrale Grundregel bleibt: Keine vertraulichen Informationen im eingehenden Anruf teilen und Identitäten für sicherheitsrelevante Anliegen grundsätzlich über unabhängige, offizielle Kanäle prüfen. 

FAQs

Was ist Vishing?

Vishing ist Social Engineering per Telefon, bei dem Anrufende sensible Informationen erfragen oder zu sicherheitsrelevanten Handlungen bewegen. 

Welche Anzeichen sprechen für einen Vishing-Versuch?

Unaufgeforderte Sicherheitsanrufe, Zeitdruck, Abfragen von Passwörtern oder MFA-Codes, Aufforderung zur Software-Installation oder ungewöhnliche Rückrufnummern. 

Wie reagiere ich richtig, wenn ich unsicher bin?

Gespräch beenden, über einen offiziellen Kontaktweg zurückrufen, keine Daten herausgeben und den Vorfall intern melden. 

Sind Einmalcodes am Telefon unkritisch?

Nein. Einmalcodes (MFA) dienen der Anmeldung und dürfen nicht telefonisch weitergegeben werden. 

Wer kann mir beim Thema Vishing helfen?

Wenn Sie Unterstützung zum Thema Vishing benötigen, stehen Ihnen die Experten von RZ10, dem auf dieses Thema spezialisierten Team der mindsquare AG, zur Verfügung. Unsere Berater helfen Ihnen, Ihre Fragen zu beantworten, das passende Tool für Ihr Unternehmen zu finden und es optimal einzusetzen. Vereinbaren Sie gern ein unverbindliches Beratungsgespräch, um Ihre spezifischen Anforderungen zu besprechen.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Weitere Beiträge:

Knowhow

Social Engineering

Social Engineering
Erfahren Sie in diesem Beitrag, was Social Engineering ist und wie Sie sich dagegen schützen können. Jetzt lesen!
Artikel lesen
SAP Security

2-Faktor-Authentifizierung: So wichtig wie nie

Aus dem privaten Umgang mit 2-Faktor-Authentifizierung kaum wegzudenken. Doch auch für Ihr SAP-System sollten Sie dieses sichere Login-Verfahren nutzen.
Artikel lesen
Knowhow

Schadsoftware

Beitragsbild Schadsoftware
Schadsoftware, auch Malware genannt, bezeichnet schädliche Programme oder Dateien, die Computer und Netzwerke infiltrieren. Mehr lesen.
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage