[datensicherheit.de, 11.09.2025] Künstliche Intelligenz (KI) verändert offensichtlich die Bedrohungslage im Bereich „Social Engineering“ grundlegend – insbesondere durch sogenanntes Voice-Phishing, kurz „Vishing“. „Bei dieser Methode inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen“, erläutert Patrick Lehnis, „Account based Marketing Manager“ für Specops (ein Unternehmen von Outpost24), in seinem aktuellen Kommentar.

Vishing raffiniert und gefährlich – KI kann Stimmen von Vorgesetzten imitieren

Die Methode sei ebenso raffiniert wie gefährlich: „Angreifer nutzen öffentlich zugängliche Sprachaufnahmen – etwa aus Videos, Webinaren, öffentlichen Auftritten wie Interviews oder Podcasts –, um innerhalb weniger Minuten eine täuschend echt klingende synthetische Stimme zu erzeugen.“

• Diese Angriffstechnik sei bereits jetzt so überzeugend, dass selbst geschulte Mitarbeiter kaum einen Unterschied erkennen könnten. „Was früher eine technische Spielerei war, wird heute gezielt für kriminelle Zwecke eingesetzt!“, warnt Lehnis.

Der psychologische Hebel dabei sei: „Eine vertraute Stimme suggeriert Legitimität.“ Kombiniert mit Zeitdruck („Es muss sofort gehen!“) oder Autorität („Ich bin’s – dein Chef!“), setzten Angreifer ihre Opfer massiv unter Druck. Diese emotionale Manipulation mache KI-Vishing so wirksam und gefährlich.

„Faktor Mensch“ bleibt Schwachstelle – insbesondere im Vishing-Kontext

So ausgeklügelt diese Technologie auch sein mag – am Ende zielten die Angriffe auf die menschliche Psyche. „Vertrauen, Autorität, Hilfsbereitschaft und Stress sind die Druckmittel, mit denen Cyberkriminelle arbeiten. Umso wichtiger ist es, Maßnahmen und Prozesse zu implementieren, die den Druck der Authentifizierung einer Anfrage vom Mitarbeiter fernhält.“

• Dabei gehe es zum einen darum, eine Unternehmenskultur zu schaffen, in der Mitarbeiter – wenn sie unsicher sind – solche Anfragen kritisch hinterfragen und Rückfragen stellen könnten.

Zum anderen auch, technische Maßnahmen zu ergreifen, um Anrufer mithilfe mehrerer Faktoren zu authentifizieren – ehe Aktionen wie Passwort-Resets, die Aufhebung von Kontosperrungen oder Deaktivierung von MFA-Faktoren für den Helpdesk-Mitarbeiter möglich werden.

Dynamische Sicherheit erforderlich, um mit Vishing und anderen Deepfake-Bedrohungen Schritt zu halten

Aufgrund der rasanten Geschwindigkeit, mit der sich die Angriffstechniken weiterentwickelten, müssten Unternehmen ihre Schutzmaßnahmen immer weiter anpassen:

• „Dazu gehören weiterhin klare Kommunikationsrichtlinien (z.B. keine Zahlungsanweisungen per Telefon), verpflichtende Rückbestätigungen über Zweitkanäle, Tools und technische Authentifizierungsmaßnahmen sowie regelmäßige Schulungen zum Erkennen manipulativer Gesprächstechniken“, gibt Lehnis abschließend zu bedenken.

So könnten mögliche „Social Engineering“-Angriffe abgewehrt und schlimmere Konsequenzen vermieden werden.

Weitere Informationen zum Thema:

Outpost24
Exposure Management that makes business sense

Infosecurity Magazine
Patrick Lehnis: Marketing Manager, Outpost24 / Patrick Lehnis is Marketing Manager at Outpost24 and responsible for planning and executing practical and relevant marketing campaigns that address the challenges faced by cybersecurity managers and experts across the globe

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

datensicherheit.de, 12.07.2025
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe / Einer aktuellen Studie von Surfshark zufolge gab es in der ersten Hälfte des Jahres 2025 fast viermal so viele Deepfake-Vorfälle wie im gesamten Jahr 2024

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​

[datensicherheit.de, 05.10.2013] Unternehmen und öffentliche Einrichtungen in Europa unterschätzen die Gefahr, die von bereits bekannten IT-Schwachstellen sowie Social-Engineering-Methoden ausgehen.
Dies ist das zentrale Ergebnis eines von Outpost24 und KASPERSKY lab gemeinsam durchgeführten Sicherheitsaudits. Die Experten analysierte dazu Sicherheitslecks, für die es bereits Patches gibt und führten ein Social-Engineering-Expertiment durch.

Unternehmen angreifbar aufgrund nicht behobener bekannter Sicherheitslücken

Ein zentrales Ergebnis dieser Untersuchung ist, dass viele Unternehmen bekannte Sicherheitslücken noch nicht behoben haben und damit überaus einfach angreifbar sind. Der gemeinsame Bericht verdeutlicht, dass Hacker großen Schaden anrichten können, auch ohne dabei auf ausgeklügelte Zero-Day-Exploits zurückzugreifen. Zwar steige die Anzahl dieser Art von Angriffen kontinuierlich, aber Cyber-Kriminelle nutzten nach wie vor hauptsächlich bereits bekannte Sicherheitsschwachstellen aus. Denn es dauere im Schnitt zwischen 60 und 70 Tage, bis Unternehmen ein Patch für eine Sicherheitslücke ausgerollt hätten. Damit bleibe Hackern genug Zeit, sich via bekannten Sicherheitslecks Zugang zu Unternehmensnetzwerken zu verschaffen. Auch sogenannte Social-Engineering-Methoden seien bei Angreifern beliebt – darüber verschafften sie sich nicht direkt Zugang zum firmeninternen Netzwerk, sondern versuchten die Mitarbeiter zu manipulieren.
Üblicherweise würden kritische Sicherheitsschwachstellen innerhalb von drei Monaten beseitigt. Allerdings ließen sich 77 Prozent der Lecks, die nicht innerhalb dieses Zeitraums behoben werden, sogar noch nach über einem Jahr nachweisen. Dies bestätigten Zahlen des Expertenteams von KASPERSKY lab und Outpost24, das Statistiken über Sicherheitsrisiken der vergangenen drei Jahre ausgewertet habe. Diese Schwachstellen seien kritisch, da Hacker dabei ein besonders leichtes Spiel hätten und die Auswirkungen enorm sein könnten. Die Experten seien sogar auf Schwachstellen in Unternehmenssystemen gestoßen, die in den letzten zehn Jahren nicht behoben worden seien – und dies obwohl die Firmen IT-Sicherheitslösungen implementiert hätten.

Feldversuch mit USB-Stick zum Social Engineering

Zusätzlich zur Auswertung diverser Statistiken führte David Jacoby, „Senior Security Researcher“ bei KASPERSKY lab, einen Feldversuch durch – er habe unter falscher Identität versucht, Empfangsmitarbeiter davon zu überzeugen, einen USB-Stick an deren Computer anzuschließen. So habe er in das interne Computersystem vordringen wollen. Insgesamt habe Jacoby elf Einrichtungen getestet, davon drei Hotels (von unterschiedlichen Hotelketten), sechs Behörden sowie zwei größere Firmen. Am wenigsten seien Mitarbeiter in den Behörden für derartige Social-Engineering-Methoden sensibilisiert – von sechs Einrichtungen hätten immerhin vier Jacoby erlaubt, seinen USB-Stick anzuschließen bzw. hätten ihn aufgefordert, die Dateien per E-Mail zu schicken. So seien
ihm noch bessere Möglichkeiten eröffnet worden, Schadsoftware auf den Behördenrechnern einzuschleusen. Von den Hotels habe es nur eines erlaubt, den fremden USB-Stick anzuschließen. Auch die Privatunternehmen hätten sich sehr vorsichtig gezeigt und dies nicht zugelassen.

KASPERSKY: Weckruf für Unternehmen und öffentliche Einrichtungen!

Die Ergebnisse ihres Audits belegten eindrucksvoll, dass es ein großes Sicherheitsproblem gebe. Dies sei eine relevante Erkenntnis für alle Länder weltweit, denn die kritische Zeitspanne von dem Moment, in dem eine Schwachstelle entdeckt wird, bis zu dem Zeitpunkt, wo sie geschlossen wird, bestehe in jedem Land. Auch die Resultate ihres Feldversuchs sollten ein Weckruf für Unternehmen und öffentliche Einrichtungen gleichermaßen sein. Es reiche nicht, das Augenmerk vor allem auf künftige Sicherheitslücken zu legen. Es sei mindestens genauso wichtig, die eigenen Mitarbeiter für aktuelle Sicherheitsrisiken zu sensibilisieren und dafür zu schulen, erläutert Jacoby.

Outpost24: Fokus auf alte und aktuelle Schwachstellen!

Unternehmen verschwendeten so viele wertvolle Ressourcen darauf, potenzielle Schwachstellen von Morgen aufzudecken. Dabei übersähen sie komplett, aktuelle und gar vergangene Sicherheitsbedrohungen zu beseitigen, betont Martin Jartelius, „Chief Security Officer“ bei Outpost24. Firmen müssten verstehen, dass Cyber-Kriminelle die Kontrolle über weite Teile des Unternehmensnetzwerks erlangen könnten, auch wenn sie keine neuen Angriffsmethoden verwendeten. Der Grund seien oft fehlende Sicherheitspraktiken, fehlerhaft konfigurierte Sicherheitsgeräte oder ungenügend geschulte Mitarbeiter. Unternehmen täten gut daran, integrierte Sicherheitslösungen zu implementieren und diese eng mit ihren Geschäftsprozessen zu verzahnen, empfiehlt Jartelius.

Weitere Informationen zum Thema:

Outpost24
EXPOSING THE SECURITY WEAKNESSES WE TEND TO OVERLOOK