Vishing (Telefon-Betrug): Wie Angreifer Schweizer Firmen täuschen

Q: Warum Vishing so gefährlich für KMU ist

See section: Warum Vishing so gefährlich für KMU ist

Q: Wie Red Teaming Vishing-Schwachstellen aufdeckt

See section: Wie Red Teaming Vishing-Schwachstellen aufdeckt

Vishing-Angriffe — Betrug per Telefonanruf — haben sich in den letzten zwei Jahren zur zweitgrössten Social-Engineering-Bedrohung für Schweizer Unternehmen entwickelt. Das NCSC verzeichnete allein im ersten Halbjahr 2024 über 4’200 gemeldete Vishing-Vorfälle bei Schweizer Firmen, wobei die Dunkelziffer um ein Vielfaches höher geschätzt wird. Durch KI-generierte Stimmklone und ausgefeilte Szenarien sind Vishing-Angriffe heute kaum mehr von echten Anrufen zu unterscheiden — und verursachen durchschnittliche Schäden von CHF 18’000 pro Vorfall bei betroffenen KMU.

Was ist Vishing?

Vishing ist ein Kunstwort aus «Voice» und «Phishing» und bezeichnet Betrugsangriffe, die über Telefonanrufe oder Sprachnachrichten durchgeführt werden. Im Gegensatz zu E-Mail-Phishing, das gefiltert oder ignoriert werden kann, schafft ein direktes Gespräch unmittelbaren sozialen Druck: Der Angreifer ist live, reagiert auf Einwände, passt seine Geschichte an und nutzt emotionale Manipulation in Echtzeit.

Vishing ist Teil des breiteren Social Engineering-Spektrums und kombiniert oft mehrere Techniken: Zuerst wird das Ziel durch E-Mail oder LinkedIn «erwärmt», bevor der eigentliche Anruf erfolgt. Diese mehrstufigen Angriffe sind deutlich erfolgreicher als isolierte Phishing-Versuche.

Die Mechanik eines Vishing-Angriffs

Ein typischer Vishing-Angriff folgt einem klaren Schema:

Reconnaissance: Der Angreifer sammelt vorab Informationen über die Zielperson — Name, Position, Vorgesetzter, aktuelle Projekte — über LinkedIn, Firmenwebsite, XING oder Pressemitteilungen.
Pretext-Aufbau: Basierend auf den gesammelten Daten wird ein glaubwürdiges Szenario konstruiert. Der Angreifer weiss, wen er anruft und was er sagen wird.
Kontaktaufnahme: Der Anruf erfolgt, oft mit gefälschter Rufnummer (Caller ID Spoofing), die eine bekannte Nummer imitiert.
Manipulation: Durch Zeitdruck, Autorität oder Sympathie wird die Zielperson zur gewünschten Aktion gebracht.
Exfiltration: Zugangsdaten, Überweisungen oder Informationen werden übertragen.

Häufige Vishing-Szenarien in der Schweizer Unternehmenspraxis

Szenario 1: Der falsche IT-Support

Dies ist das häufigste Vishing-Szenario bei KMU. Der Angreifer ruft an und gibt sich als Mitarbeiter des IT-Supports — intern oder eines externen Dienstleisters — aus. Er erklärt, dass ein dringendes Sicherheitsproblem auf dem Computer der Zielperson festgestellt wurde und sofortiger Remote-Zugriff notwendig sei.

Typischer Gesprächsverlauf: «Guten Tag, hier ist Thomas Baumann vom IT-Support. Wir haben in unserer Monitoring-Software festgestellt, dass Ihr Computer in den letzten zwei Stunden versucht hat, auf externe Server in Russland zuzugreifen. Das ist dringend. Ich muss kurz Fernzugriff auf Ihr System nehmen, um das Problem zu beheben. Können Sie bitte die Software AnyDesk herunterladen?»

Wer zustimmt, gibt dem Angreifer vollständige Kontrolle über den Computer — inklusive Zugriff auf Passwortmanager, interne Systeme und E-Mail.

Szenario 2: Die falsche Bank

Angreifer geben sich als Mitarbeitende der Hausbank aus und berichten von verdächtigen Transaktionen auf dem Firmenkonto. Die Zielperson wird aufgefordert, ihre Bankzugangsdaten zu «verifizieren» oder einen Bestätigungscode durchzugeben, den sie gerade per SMS erhalten hat.

Besonders heimtückisch: Caller ID Spoofing lässt den Anruf von der offiziellen Bankrufnummer zu kommen scheinen. Die echte PostFinance, UBS oder Raiffeisen ruft niemals an, um Zugangsdaten zu erfragen — aber das wissen viele Mitarbeitende nicht.

Szenario 3: Die Steuerbehörde oder Polizei

Angreifer geben sich als Mitarbeitende der ESTV, des SECO oder gar der Polizei aus und behaupten, das Unternehmen schulde noch Steuern oder sei in eine Untersuchung verwickelt. Der Zeitdruck ist enorm: Zahlung innerhalb von 24 Stunden, sonst Kontosperrung oder Strafanzeige.

Diese Masche ist besonders effektiv bei Mitarbeitenden aus dem Finanzbereich, die nicht riskieren wollen, durch Nichthandeln ein Problem zu vergrössern. Das echte Bundesamt kommuniziert niemals per Telefonanruf mit Zahlungsaufforderungen — aber diese Information ist nicht jedem geläufig.

Szenario 4: CEO-Fraud per Telefon

Eine gefährliche Kombination aus CEO-Fraud und Vishing: Der Angreifer ruft die Buchhaltung oder den CFO an und gibt sich als Geschäftsführer aus. Er erklärt, dass eine dringende, vertrauliche Überweisung für eine laufende Akquisition notwendig sei. Die Überweisung muss sofort, ohne die üblichen Genehmigungsprozesse und ohne Rückfragen, erfolgen.

In einem dokumentierten Fall aus der Zürcher Finanzbranche wurden so CHF 430’000 auf ein osteuropäisches Konto überwiesen, bevor der Betrug bemerkt wurde.

Szenario 5: Fake-Lieferant oder -Partner

Angreifer geben sich als bekannter Lieferant oder Geschäftspartner aus und teilen mit, dass sich ihre Bankverbindung geändert hat. Alle künftigen Zahlungen sollen auf ein neues Konto gehen. Da der Anrufer vertraut klingt (er kennt die richtigen Ansprechpartner und Projektnamen), wird die Änderung vorgenommen — und die nächste Zahlung landet beim Angreifer.

KI-generierte Stimmklone: Die neue Dimension des Vishing

Die gefährlichste Entwicklung im Bereich Vishing ist der Einsatz von KI-generierten Stimmklonen. Mit nur drei bis fünf Sekunden Audiomaterial — leicht zu beschaffen aus einem YouTube-Video, einem Podcast oder einem Firmen-Webinar — können heute frei verfügbare KI-Tools eine überzeugend klingende Stimme jeder Person generieren.

Ein Red-Team-Spezialist kann so einen Anruf simulieren, bei dem scheinbar der Geschäftsführer selbst spricht — mit seiner charakteristischen Stimme, seinem Dialekt, seinen typischen Formulierungen. Diese Deepfake-Audio-Angriffe sind für Mitarbeitende praktisch nicht zu erkennen.

Realer Vorfall (2024, veröffentlicht durch NCSC): Ein Unternehmen im Grossraum Zürich überwies CHF 220’000, nachdem eine Mitarbeiterin einen Anruf erhalten hatte, der eindeutig nach ihrem Vorgesetzten klang. Der Stimmklon war aus drei LinkedIn-Videos des Vorgesetzten generiert worden.

“KI-generierte Stimmklone verändern die Bedrohungslandschaft fundamental. Was früher aufwändig war — einen überzeugenden Angreifer mit dem richtigen Akzent und der richtigen Stimme zu finden — ist heute mit kostenlosen Online-Tools in zehn Minuten möglich. Schweizer KMU müssen ihre Verifikationsprozesse grundlegend überdenken.”

— Andrea Schmid, CISO, Swiss Cyber Institute

Warum Vishing so gefährlich für KMU ist

KMU sind aus mehreren Gründen besonders anfällig für Vishing-Angriffe:

Kein dediziertes Security-Team: In einem 30-Personen-Betrieb gibt es selten jemanden, der ausschliesslich für IT-Sicherheit zuständig ist. Mitarbeitende treffen Sicherheitsentscheidungen ohne Unterstützung.

Flache Hierarchien: In KMU kennt man sich oft persönlich. Ein Anruf «vom Chef» wirkt vertraut und glaubwürdig.

Fehlende Verifikationsprozesse: Grosse Unternehmen haben oft klare Regeln für kritische Aktionen. In KMU werden solche Prozesse oft als bürokratisch wahrgenommen und umgangen.

Zeitdruck des Alltags: Mitarbeitende in KMU jonglieren viele Aufgaben gleichzeitig. Ein dringender Anruf in einem ohnehin stressigen Moment trifft auf jemanden, der schnell handeln will.

Informations-Asymmetrie: Der Angreifer weiss sehr viel über sein Ziel (durch Recherche), während die Zielperson den Angreifer überhaupt nicht kennt.

Diese Faktoren machen Vishing-Angriffe auf KMU laut dem Verizon Data Breach Investigations Report 2024 um 34 Prozent wahrscheinlicher erfolgreich als bei Grossunternehmen.

Caller ID Spoofing: Wenn die Nummer lügt

Caller ID Spoofing bezeichnet die Fähigkeit, bei ausgehenden Anrufen eine beliebige Rufnummer als Absender anzuzeigen. Technisch ist dies einfach und günstig: Über VoIP-Dienste können Angreifer jeden Anruf mit der Rufnummer der UBS, der ESTV oder des eigenen Geschäftsführers erscheinen lassen.

Die Schweizer Fernmeldegesetzgebung verbietet missbräuchliches Caller ID Spoofing — aber Angreifer aus dem Ausland sind von dieser Regelung nicht betroffen. Das Bundesamt für Kommunikation (BAKOM) arbeitet an technischen Massnahmen, aber ein vollständiger Schutz ist nicht in Sicht.

Praktische Konsequenz: Mitarbeitende sollten niemals allein aufgrund der angezeigten Rufnummer einer Anfrage vertrauen. Die angezeigte Nummer beweist nichts.

Aktuelle Statistiken zu Vishing in der Schweiz

NCSC Halbjahresbericht 2024: Vishing-Meldungen stiegen im ersten Halbjahr 2024 um 67 Prozent gegenüber dem Vorjahreszeitraum.
Proofpoint Voice Phishing Report 2024: 69 Prozent der befragten Schweizer Sicherheitsverantwortlichen berichten von Vishing-Angriffen auf ihre Organisation — ein Anstieg von 21 Prozentpunkten gegenüber 2022.
IBM Cost of a Data Breach 2024: Angriffe, die mit Vishing beginnen, führen zu durchschnittlich 16 Prozent höheren Gesamtschäden als reine Phishing-Angriffe, weil die Erfolgsrate bei der initialen Kompromittierung höher ist.
SVV (Schweizerischer Versicherungsverband) 2024: Nur 12 Prozent der Vishing-Schäden bei KMU sind durch eine Cyberversicherung gedeckt, weil viele Police-Bedingungen «Social Engineering durch Mitarbeiterfehler» ausschliessen.
Anti-Phishing Working Group (APWG) 2024: Die durchschnittliche Zeit zwischen dem ersten Anruf und dem Erfolg eines Vishing-Angriffs beträgt 18 Minuten.

Vishing im Zusammenhang mit Spear Phishing und Pretexting

Vishing wird selten isoliert eingesetzt. Professionelle Angreifer kombinieren mehrere Techniken zu mehrstufigen Angriffen:

Phase 1 — Spear Phishing: Eine täuschend echte E-Mail wird versandt, um das Ziel «vorzuwärmen» und Vertrauen aufzubauen. Vielleicht enthält sie eine harmlose Anfrage oder nützliche Information.

Phase 2 — Pretexting: Der Angreifer baut durch Pretexting einen falschen Kontext auf — etwa indem er sich per E-Mail als neuer IT-Partner vorstellt, der ab nächster Woche Support leisten wird.

Phase 3 — Vishing: Der eigentliche Anruf erfolgt. Das Ziel «kennt» den Anrufer bereits aus der E-Mail und ist deutlich empfänglicher.

Diese kombinierten Angriffe werden auch als Hybrid Social Engineering bezeichnet und sind laut dem Spear-Phishing-Artikel für die schwerwiegendsten Sicherheitsvorfälle verantwortlich.

Schutzstrategien gegen Vishing

1. Klare Verifikationsregeln etablieren

Niemals auf eingehende Anrufe hin kritische Aktionen ausführen. Wenn jemand anruft und behauptet, von der IT oder der Bank zu sein, legen Sie auf und rufen Sie die offizielle Nummer zurück — die Sie selbst recherchiert haben, nicht die, die der Anrufer nennt.

Definieren Sie Regeln wie:

Kein Remote-Zugriff auf eingehenden Anruf hin
Keine Kontoänderungen bei Lieferanten ohne schriftliche Bestätigung und Rückruf auf bekannte Nummer
Keine Überweisungen ohne den normalen Genehmigungsprozess, egal wie dringend

2. Dual-Person-Regel für kritische Aktionen

Jede kritische finanzielle Transaktion oder Zugriffsgewährung erfordert die Genehmigung von zwei Personen über zwei verschiedene Kanäle. Wenn der «Chef» per Telefon eine dringende Überweisung verlangt, muss dies durch eine zweite Person über E-Mail oder persönlich bestätigt werden.

3. Mitarbeiterschulung mit Vishing-Szenarien

Allgemeines Security-Awareness-Training ist gut, aber Vishing-spezifische Übungen sind besser. Mitarbeitende müssen praktisch erleben, wie ein glaubwürdiger Anruf klingt und sich anfühlt — und wie man angemessen reagiert.

Ein Vergleich der Security-Awareness-Training-Anbieter in der Schweiz zeigt, welche Anbieter Vishing-Simulationen anbieten.

4. «Safeword» für Führungskräfte

Für KMU empfiehlt sich ein einfaches, aber effektives System: Führungskräfte und CFO vereinbaren intern ein Codewort, das bei telefonischen Anweisungen zu sensiblen Aktionen verwendet wird. Wer das Wort nicht kennt, wird nicht beauftragt.

5. Technische Massnahmen

Obwohl Vishing primär menschliche Schwächen ausnutzt, gibt es technische Unterstützung:

STIR/SHAKEN: Dieses Protokoll zur Authentifizierung von Anrufern wird in der Schweiz schrittweise eingeführt und kann Caller ID Spoofing einschränken.
Anruf-Screening: Manche Telefonlösungen bieten KI-gestützte Erkennung verdächtiger Anrufmuster.
Firmennummern-Verzeichnis: Ein internes Verzeichnis aller bekannten Rufnummern von Partnern und Behörden hilft bei der Verifikation.

“Wir testen unsere Kunden regelmässig mit realen Vishing-Anrufen — und sind immer wieder überrascht, wie viele erfahrene Mitarbeitende auf gut konstruierte Szenarien hereinfallen. Es geht nicht um Dummheit; es geht darum, dass die Angriffe auf psychologische Mechanismen abzielen, die tief in uns verankert sind. Der einzige Weg, Resilienz aufzubauen, ist das wiederholte, sichere Erleben dieser Angriffe in Simulationen.”

— Patrick Rüfenacht, Senior Red Team Operator, Schweizer Sicherheitsdienstleister

Wie Red Teaming Vishing-Schwachstellen aufdeckt

Das effektivste Mittel, um die Vishing-Resilienz Ihrer Organisation zu messen, ist ein kontrollierter Vishing-Test durch ein professionelles Red Team.

Ein Red-Team-Vishing-Assessment funktioniert so:

Scope-Definition: Gemeinsam mit Ihrer Führung wird festgelegt, welche Szenarien getestet werden, welche Mitarbeitenden einbezogen werden und was die Ziele sind (z.B.: Wie viele Mitarbeitende geben Remote-Zugriff? Wie viele nennen Passwörter?).

Reconnaissance: Das Red Team recherchiert Ihr Unternehmen wie ein echter Angreifer — Organigramm, Ansprechpartner, laufende Projekte, Lieferanten.

Anruf-Szenarien: Speziell ausgebildete Red-Team-Operatoren führen realistische Vishing-Anrufe durch — als IT-Support, Bank, Behörde oder Geschäftsführer.

Dokumentation und Messung: Alle Anrufe werden dokumentiert. Das Ergebnis zeigt, wie viele Mitarbeitende welche Informationen preisgaben oder welche Aktionen ausführten.

Debriefing und Training: Die Erkenntnisse werden genutzt, um gezieltes Training für gefährdete Mitarbeitende und Abteilungen durchzuführen.

Im Vergleich zu theoretischem Training ist ein Red-Team-Vishing-Test ein unschätzbares Wakeup-Call: Mitarbeitende, die selbst erfahren haben, wie überzeugend ein Angriff sein kann, sind dauerhaft wachsamer.

Mehr über Methodik und Preise: Red-Team-Kosten in der Schweiz und Red Teaming vs. Penetrationstest.

Rechtliche Überlegungen

Vishing-Angriffe, die zu Datenverlust oder unbefugtem Zugriff führen, können Meldepflichten nach dem nDSG auslösen. Wenn Personendaten durch einen Vishing-Angriff kompromittiert werden, muss dies unter Umständen dem EDÖB gemeldet und Betroffene informiert werden.

Unser nDSG-Leitfaden für KMU erklärt die Meldepflichten und was im Ernstfall zu tun ist.

Fazit

Vishing ist keine exotische Bedrohung — es ist eine alltägliche, wachsende Gefahr für Schweizer KMU. Die Kombination aus Caller ID Spoofing, KI-generierten Stimmklonen und ausgefeilten Pretexting-Szenarien macht moderne Vishing-Angriffe erschreckend überzeugend. Wer glaubt, seine Mitarbeitenden würden einen solchen Angriff sofort erkennen, unterschätzt die Qualität der Täuschung.

Die drei wichtigsten Schritte zum Schutz sind: erstens klare Verifikationsprozesse für kritische Aktionen, zweitens regelmässige Awareness-Schulungen mit praktischen Vishing-Szenarien, und drittens ein realistischer Test durch ein professionelles Red Team, das zeigt, wo die tatsächlichen Schwachstellen liegen.

Wie gut ist Ihre Organisation gegen Vishing gewappnet? Finden Sie es heraus, bevor es Angreifer tun: Red Teaming deckt Vishing-Schwachstellen in Ihrem KMU auf — realistisch, kontrolliert und mit konkreten Handlungsempfehlungen.