Registrieren

Neue Beiträge abonnieren

Erhalten Sie automatisch eine Benachrichtigung, sobald ein neuer Beitrag im Human Risk Blog erscheint – kompakt, relevant und direkt in Ihr Postfach.

Abonnieren Human Risk Blog – Social Engineering verstehen Titelbild
Human Risk Consulting GmbH Profilbild Human Risk Consulting GmbH Aktualisiert am 4 Min. Lesezeit

Menschliches Risiko in menschliche Resilienz verwandeln – Eine 50-wöchige Reise zur Sensibilisierung für Vishing

Menschliches Risiko in menschliche Resilienz verwandeln – Eine 50-wöchige Reise zur Sensibilisierung für Vishing

„So etwas würde uns nie passieren…“

Anfang 2023 traf sich das Führungsteam eines mittelgroßen deutschen Tech-Dienstleisters zur vierteljährlichen Überprüfung der Cyberrisiken. Auf der Tagesordnung standen übliche Themen wie Patch-Status, Endpoint-Telemetrie und die Einführung von Multi-Faktor-Authentifizierung (MFA).

Gegen Ende teilte der CISO jedoch etwas Ungewöhnliches: einen internen Bericht über einen Vishing-Angriff eines befreundeten Unternehmens aus derselben Branche. Eine überzeugende Stimme – höflich, professionell, dringlich – hatte eine Mitarbeitende dazu gebracht, eine nicht unerhebliche Summe an einen unbekannten Empfänger zu überweisen. Kein Malware-Einsatz, kein Hacking, keine durchbrochene Firewall. Nur Worte und eine, dem Telefonanruf vorangegangene, E-Mail.

Im Raum wurde es still.

Ein leitender Angestellter durchbrach die Stille: „So etwas… Das würde bei unseren Leuten nicht funktionieren. Oder?“ Der CISO antwortete weder mit Ja noch mit Nein. Stattdessen schlug er einen Test vor – nicht für ihre Technik, sondern für ihre Mitarbeitenden.

Das verborgene Risiko: Vertrauen am Telefon

Im Zuge der digitalen Transformation liegt der Fokus oft auf Endpunkten, Cloud-Infrastrukturen und der Einhaltung von Vorschriften. Doch ein unberechenbares Element bleibt, die menschliche Stimme.

Obwohl das Unternehmen über starke Abwehrmechanismen gegen Phishing per E-Mail verfügte, waren nicht alle ihre Kommunikationskanäle so gut geschützt. Niemand hatte je getestet, was passieren würde, wenn ein Angreifer anruft und sich ausgibt als:

  • ein interner Kollege aus der IT
  • ein vertrauenswürdiger externer Dienstleister
  • eine Bank, Behörde oder ein Logistik-Partner

Und noch wichtiger: Niemand hatte die Mitarbeitenden auf den emotionalen Moment vorbereitet, in dem zum Beispiel Vertrauen zur Waffe wird.

Der Plan: Vishing-Sensibilisierung als Live-Training mit echten Menschen

Das Unternehmen engagierte die Human Risk Consulting GmbH – Spezialisten für realistische Social-Engineering-Simulationen und menschenzentrierte Awareness-Lösungen.  Das Team von Human Risk Consulting empfahl dem Kunden, von einer reinen Social Engineering Simulation abzusehen, und stattdessen auf eine ganzheitliche Lösung zu setzen, die Simulation und Training vereint. 

Ihr Ansatz war einfach, aber wirkungsvoll.

Menschen so zu trainieren, wie sie auch angegriffen werden: Mithilfe von Überraschung, Dringlichkeit, Freundlichkeit und Emotionen.

Das Programmdesign

Dauer: 12 Monate 
Format: Echte Anrufe durch geschulte Vishing-Spezialisten
Verteilung: Anrufe wurden über Abteilungen gestaffelt und zufällig verteilt
Umfang: 840 Anrufe jährlich
Ziel: Authentische Angriffe simulieren → echte Reaktionen sichtbar machen → direkt im Moment aufklären.

Jeder Anruf wurde durch ein sofortiges Feedbackgespräch und ein Coaching ergänzt. Das individuell Erlebte, die emotionale Reaktion und das Verhalten des jeweiligen Mitarbeitenden wurden berücksichtigt und flossen direkt in das Training mit ein.

Ein Moment in der Simulation

Der gefälschte Anruf vom internen IT-Support: Ein humaner Moment des Zweifelns

Es war 9:24 Uhr an einem Dienstagmorgen, als „Thomas vom Service Desk“ einen Mitarbeitenden aus der Finanzabteilung anrief.

Hey, ich rufe an, weil wir heute Morgen mehrere fehlgeschlagene Anmeldeversuche bei deinem Konto gesehen haben. Hattest du Probleme beim Einloggen?

Die Nummer auf dem Display? Sieht aus wie eine interne Durchwahl – ist aber gefälscht. Der Tonfall? Ruhig, hilfsbereit, leicht dringlich. Ein ganz normaler Dienstag, oder etwas nicht?

 Kein Problem, könnte ein Systemfehler sein. Aber wir wollen ausschließen, dass es sich um einen externen Angriff handelt. Könntest du kurz einen Sicherheitscheck machen? Öffne einfach deinen Browser und geh auf kunde-security.com – das ist ein internes Tool, mit dem wir in der Datenbank des Hasso-Plattner-Instituts prüfen können, ob Zugangsdaten im Netz aufgetaucht sind.

Der Mitarbeiter gibt die URL in seinen Browser ein und ruft die Seite auf. Die Seite sah vertraut aus. Das Logo stimmte. Die Schriftarten passten. Und die Stimme am Telefon war nicht fordernd. Sie war hilfsbereit. Einfach ein Kollege, der seinen Job machte. Und genau das machte es so gefährlich.

Emotionale Wirkung & Erholung

Bei der Eingabe der Zugangsdaten zögert der Mitarbeitende für einen Moment und – und genau das reichte. Bevor irgendwelche Zugangsdaten eingegeben wurden, brach der Trainer das Gespräch ab und gab sich zu erkennen:

Das war ein Sicherheitstrainings-Anruf. Lass uns darüber sprechen, was gerade passiert ist.

Anstelle von Scham kam Erleichterung. Dann Überraschung. Und schließlich ein Strom von Fragen und Neugier.

Der Trainer erklärte:

  • wie das mit der gefälschten Nummer funktionierte
  • welche emotionalen Hebel eingesetzt wurden
  • warum Zögern bereits ein Erfolg ist
  • und wie man in Zukunft sicher mit ähnlichen Anrufen umgehen kann

Dieses eine ca. 15min Gespräch hatte mehr Wirkung als ein Dutzend E-Learning-Module.

Von Reaktionen zu Ergebnissen

Im Verlauf des 50-wöchigen Programms begann sich eine spürbare Veränderung in der Organisation abzuzeichnen.

  • Mitarbeitende stellten bei echten Support-Anrufen gezieltere und kritischere Fragen, ohne unhöflich zu werden.
  • Führungskräfte beobachteten mehr gesunden Menschenverstand und weniger blindes Vertrauen.
  • Und das Security-Team erhielt mehr Meldungen zu verdächtigem Verhalten als je zuvor.

Der größere Gewinn: Ein kultureller Wandel

Am meisten überraschte die Unternehmensleitung nicht die Verbesserung der Kennzahlen – sondern der Ton in den Gesprächen auf den Fluren. 

Die Menschen schämten sich nicht – sie waren angeregt und motiviert.
Froh, etwas Wichtiges gelernt zu haben.
Stolz darauf, einem Anruf standgehalten zu haben, der echt wirkte.
Selbstbewusst, nun die richtigen Worte zu haben, um z. B. sagen zu können:

Ich kann verstehen, dass Sie sich sofort eine Lösung wünschen, und ich kann das auch gut nachvollziehen, jedoch werde ich Ihre Anfrage noch mal überprüfen müssen und ich hoffe dabei auf Ihr Verständnis. Vielen Dank.

Sogar Führungskräfte wollten mitmachen – sie forderten eigene Testanrufe an, um „zu sehen, wie gut sie wirklich sind“.

Zentrale Erkenntnisse für Führungskräfte

Sensibilisierung reicht bei Social Engineering oft nicht aus. Regelmäßige Lernimpulse helfen den Mitarbeitenden dabei, mit der Zeit Resilienz aufzubauen und handlungssicher zu werden.

  • Menschen sind nicht das schwächste Glied – sie sind Ihre Ersthelfer.
  • Training mit Empathie und Realismus schafft Vertrauen, nicht Widerstand.
  • Vishing-Sensibilisierung ist kein einmaliges Ereignis – sie ist ein kontinuierlicher Lernprozess.

Abschließender Gedanke: Sicherheit beginnt mit einer Stimme

Im Zeitalter von KI-generierten Stimmen, gefälschten Rufnummern und schnelllebigen hybriden Bedrohungen gilt die alte Annahme, dass „Menschen das Problem sind“, nicht mehr. Dieses Unternehmen hat nicht einfach eine Schwachstelle gepatcht – es hat eine Stärke freigesetzt. Es hat gezeigt, dass sprachbasierte Angriffe nicht durch Angst oder Strafe abgewehrt werden können, sondern durch Klarheit, Übung und menschlichen Respekt.

Ein effektives Vishing-Awareness-Training schützt nicht nur vor Telefonangriffen. Es stärkt die Resilienz Ihrer Mitarbeitenden – und fördert eine wachsame, sicherheitsbewusste Unternehmenskultur. Unser Trainingsansatz ist praxisnah, individuell und nachhaltig wirksam.

Mehr erfahren

Weiterlesen