KI-Vishing: Bekannte Stimmen werden zum Sicherheitsrisiko

Beim Vishing inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen

[datensicherheit.de, 11.09.2025] Künstliche Intelligenz (KI) verändert offensichtlich die Bedrohungslage im Bereich „Social Engineering“ grundlegend – insbesondere durch sogenanntes Voice-Phishing, kurz „Vishing“. „Bei dieser Methode inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen“, erläutert Patrick Lehnis, „Account based Marketing Manager“ für Specops (ein Unternehmen von Outpost24), in seinem aktuellen Kommentar.

Vishing raffiniert und gefährlich – KI kann Stimmen von Vorgesetzten imitieren

Die Methode sei ebenso raffiniert wie gefährlich: „Angreifer nutzen öffentlich zugängliche Sprachaufnahmen – etwa aus Videos, Webinaren, öffentlichen Auftritten wie Interviews oder Podcasts –, um innerhalb weniger Minuten eine täuschend echt klingende synthetische Stimme zu erzeugen.“

• Diese Angriffstechnik sei bereits jetzt so überzeugend, dass selbst geschulte Mitarbeiter kaum einen Unterschied erkennen könnten. „Was früher eine technische Spielerei war, wird heute gezielt für kriminelle Zwecke eingesetzt!“, warnt Lehnis.

Der psychologische Hebel dabei sei: „Eine vertraute Stimme suggeriert Legitimität.“ Kombiniert mit Zeitdruck („Es muss sofort gehen!“) oder Autorität („Ich bin’s – dein Chef!“), setzten Angreifer ihre Opfer massiv unter Druck. Diese emotionale Manipulation mache KI-Vishing so wirksam und gefährlich.

„Faktor Mensch“ bleibt Schwachstelle – insbesondere im Vishing-Kontext

So ausgeklügelt diese Technologie auch sein mag – am Ende zielten die Angriffe auf die menschliche Psyche. „Vertrauen, Autorität, Hilfsbereitschaft und Stress sind die Druckmittel, mit denen Cyberkriminelle arbeiten. Umso wichtiger ist es, Maßnahmen und Prozesse zu implementieren, die den Druck der Authentifizierung einer Anfrage vom Mitarbeiter fernhält.“

• Dabei gehe es zum einen darum, eine Unternehmenskultur zu schaffen, in der Mitarbeiter – wenn sie unsicher sind – solche Anfragen kritisch hinterfragen und Rückfragen stellen könnten.

Zum anderen auch, technische Maßnahmen zu ergreifen, um Anrufer mithilfe mehrerer Faktoren zu authentifizieren – ehe Aktionen wie Passwort-Resets, die Aufhebung von Kontosperrungen oder Deaktivierung von MFA-Faktoren für den Helpdesk-Mitarbeiter möglich werden.

Dynamische Sicherheit erforderlich, um mit Vishing und anderen Deepfake-Bedrohungen Schritt zu halten

Aufgrund der rasanten Geschwindigkeit, mit der sich die Angriffstechniken weiterentwickelten, müssten Unternehmen ihre Schutzmaßnahmen immer weiter anpassen:

• „Dazu gehören weiterhin klare Kommunikationsrichtlinien (z.B. keine Zahlungsanweisungen per Telefon), verpflichtende Rückbestätigungen über Zweitkanäle, Tools und technische Authentifizierungsmaßnahmen sowie regelmäßige Schulungen zum Erkennen manipulativer Gesprächstechniken“, gibt Lehnis abschließend zu bedenken.

So könnten mögliche „Social Engineering“-Angriffe abgewehrt und schlimmere Konsequenzen vermieden werden.

Weitere Informationen zum Thema:

Outpost24
Exposure Management that makes business sense

Infosecurity Magazine
Patrick Lehnis: Marketing Manager, Outpost24 / Patrick Lehnis is Marketing Manager at Outpost24 and responsible for planning and executing practical and relevant marketing campaigns that address the challenges faced by cybersecurity managers and experts across the globe

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

datensicherheit.de, 12.07.2025
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe / Einer aktuellen Studie von Surfshark zufolge gab es in der ersten Hälfte des Jahres 2025 fast viermal so viele Deepfake-Vorfälle wie im gesamten Jahr 2024

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​