Anselm Rohrer: Mitarbeitende für Vishing sensibilisieren

Ohne Sprache ist unsere moderne Gesellschaft nicht möglich. Gerade bekannte Stimmen sind im Beruflichen wie auch Privaten von großer Bedeutung, schaffen sie doch Nähe und Vertrautheit, im persönlichen Kontakt wie auch am Telefon. Doch Vorsicht: Beim Vishing nutzen Cyberkriminelle immer häufiger Sprachanrufe, um zum Beispiel an Passwörter zu gelangen oder Benutzer- bzw. Kundendaten zu erbeuten.

Anselm Rohrer, Leitung ISMS und Security Awareness, erklärt in unserer Interviewserie „3 Fragen – 3 Antworten“ was Vishing bedeutet und wie sich Unternehmen hiergegen schützen können.

Anselm, nach Phishing nun auch Vishing? Es scheint, als ob Cyberkriminelle kontinuierlich neue Angriffsvarianten entdecken. Aktuell zeichnet sich Vishing als neuer Trend ab. Erkläre uns bitte was dies genau ist und wie Hacker es einsetzen!

Beim Vishing, das auch als Voice-Phishing bekannt ist, handelt es sich um eine Betrugsmethode, die im Gegensatz zum klassischen Phishing nicht auf E-Mails oder Links setzt, sondern über das persönliche Gespräch Kontakt mit dem Opfer aufnimmt. Dies kann über Messenger-Dienste oder Kontaktinformationen auf fingierten Plattformen geschehen. Häufig rufen Angreifer auch einfach direkt an. Das Ziel ist immer gleich: Opfer sollen dazu verleitet werden, sensible Daten herauszugeben oder direkt Geld an die Kriminellen zu überweisen.

Auffällig ist, dass das Vorgehen der Cyberkriminellen hierbei immer perfider wird. So sind Angreifer per modernster Voice-over-IP-Technik mittlerweile in der Lage, eine beliebige Absender-Rufnummer anzeigen zu lassen. Beispielsweise kann beim Anruf vom scheinbaren Lieferanten tatsächlich eine Nummer aus dessen Rufnummernblock oder beim Anruf vom Vorgesetzen tatsächlich dessen Handynummer eingeblendet werden. Hinzu kommt, dass Amazon gerade eine Software entwickelt hat, die mit einer Stimmprobe von weniger als einer Minute eine Stimme komplett in Echtzeit imitieren kann. Fingierte, täuschend echte Anrufe können somit in kürzester Zeit vorbereitet werden.

Das klingt bedrohlich. Wie können sich Unternehmen gegen Vishing schützen? Wie ist Vishing zu erkennen?

Durch klare Richtlinien und eine hohe Awareness. Unternehmen müssen ihre Mitarbeitenden in die Lage versetzen, potenzielle Angriffe zu erkennen. Nur dann sind sie in der Lage, die Echtheit des Kommunikationspartners zu hinterfragen, bevor sie Informationen herausgeben oder sicherheitskritische Aktivitäten auslösen. Hierzu muss es klare, an sämtliche Mitarbeitende kommunizierte Regeln geben, wie jeder Einzelne sich konkret zu verhalten hat.

Eine ausreichende Awareness schaffen Unternehmen über eine Sensibilisierung ihrer Mitarbeitenden durch thematisch-orientierte Schulungen. Optimal sind entsprechend kompakte Einheiten, deren Inhalte in Schulungsvideos, Webinaren, interaktiven Übungen oder auch Kurztests mit einer Dauer von zwei bis vier Minuten transportiert werden. Diese sollten stetig, zum Beispiel alle vier Wochen, erfolgen.

Jetzt können wir mitverfolgen, dass Hacker ständig neue Angriffsvarianten entwickeln, um die „Schwachstelle Mensch“ auszunutzen. Was denkst du, folgt als nächstes?

Bei Vishing sind wir derzeit erst am Anfang. Wir sehen solche Angriffe zwar schon seit längerem, aber die aktuelle technische Entwicklung hebt die Methode auf ein völlig neues Niveau. Gerade in Kombination mit anderen Techniken wird es immer schwieriger, Vishing-Angriffe zu erkennen. Ein Beispiel: Die fingierte Mail, die scheinbar von Amazon stammt, wird deutlich glaubwürdiger, wenn der Support mich vorher bereits telefonisch kontaktiert hat.

Darüber hinaus sehe ich Gefahren in der OT, also der Operational Technology, auf uns zukommen. Auch diese Geräte werden immer vernetzter und damit anfällig für Cyberattacken, was allerdings vielen Benutzern nicht bewusst ist. Dies betrifft unter anderem den ganzen Bereich von Industrie 4.0. Umso wichtiger ist es für Unternehmen mit OT-Nutzung, die Security Awareness zu Themen wie Phishing oder Vishing zu stärken.

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Cookie Consent	mysign_cookiebanner	HTTP	Wird benötigt um die vom Nutzer ausgewählten Cookie Präferenzen zu speichern.	1 Jahr
Google	test_cookie	HTTP	Verwendet, um zu überprüfen, ob der Browser des Benutzers Cookies unterstützt.	1 Tag
www.allgeier-cyris.de	JSESSIONID	HTTP	Behält die Zustände des Benutzers bei allen Seitenanfragen bei.	Session

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Google	_ga	HTTP	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	2 Jahre
Google	_gat	HTTP	Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken	1 Tag
Google	_gid	HTTP	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	1 Tag
LinkedIn	lang	HTTP	Speichert die vom Benutzer ausgewählte Sprachversion einer Webseite	Session

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Google	_gcl_au	HTTP	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet, die ihre Dienste nutzen.	3 Monate
Google	pagead/landing	Pixel	Sammelt Daten zum Besucherverhalten auf mehreren Webseiten, um relevantere Werbung zu präsentieren - Dies ermöglicht es der Webseite auch, die Anzahl der Anzeige der gleichen Werbung zu begrenzen.	Session

Anselm Rohrer: Mitarbeitende für Vishing sensibilisieren

Informationen, wie Sie Ihre Mitarbeitenden zum Thema Vishing sensibilisieren können, finden Sie hier.

Privatsphäre-Einstellungen