Als „Vishing“ wird abgekürzt sogenanntes „Voice Phishing“ bezeichnet. Wie beim Phishing an sich geht es darum, dass Menschen durch Täuschung sicherheitsrelevante Informationen preisgeben. Vishing kommt außer über Sprachnachrichten vor allem über Sprachanrufe zum Einsatz. Ein Angreifer ruft an, erzählt eine Geschichte und bittet um Hilfe. Gegenüber Behörden kann zum Beispiel leicht die oben genannte Story aufgetischt werden, das Netzwerk werde gewartet, es sei ein Problem gemeldet worden, etc. Speziell wenn nach vermeintlich harmlosen, technischen Details gefragt wird (die anders als z.B. ein Passwort keinen unmittelbaren Zugriff bieten) kann die Auskunftsbereitschaft hoch sein.
Die Methode ist für Angreifende in den letzten Jahren immer beliebter geworden, da sie mittlerweile auch automatisiert (mit täuschend echten Stimmen und authentischem Hintergrund wie Tastaturgeräusche, Gespräche von Kollegen etc.) durch eine KI geführt werden können. Aus Hackersicht interessant ist die Masche insbesondere, um Details zu Sicherheitsvorkehrungen (Passwortrichtlinien, Vorhandensein einer Multi-Faktor-Authentifizierung, Netzwerkkomponenten etc.) in Erfahrung zu bringen, um einen späteren, großangelegten Angriff maßzuschneidern. Anrufe sind aus Angreifersicht auch sinnvoll, um im Smalltalk Personendaten in Erfahrung zu bringen, die für eine Social Engineering-Attacke genutzt werden können. Bei letzterer wird eine Verwaltungskraft als Werkzeug genutzt, in dem diese Anleitungen einer Person befolgt, der sie durch die vorhandenen Detailkenntnisse eine hohe Vertrauenswürdigkeit beimisst.
Wie auch bei den eigentlichen Social Engineering-Angriffen sind Alarmzeichen oftmals ein besonderer Zeitdruck, durch den das Opfer von längerem Nachdenken abgehalten werden soll. Durch ein angebliches Problem, das die gesamte Verwaltung betrifft, wird an die Hilfsbereitschaft appelliert. Im entscheidenden Moment misstrauisch zu werden, kann dadurch schwer fallen.
Helfen kann hierbei die DRAUF-Formel – nicht drauf reinfallen, wenn diese Anzeichen vorliegen:
D = Druck: Wenn zu sofortigem Handeln aufgefordert wird.
R = Rufnummer: Unbekannt oder ausländisch? Vorsicht.
A = Autorität: „Ihre Bürgermeisterin will, dass das Problem schnell gelöst wird“.
U = Ungewöhnliche Forderungen: Geld überweisen, Dateien per Mail zugeschickt bekommen und öffnen, Daten rausrücken.
F = Fragile Daten: sensible Infos wie PIN, TAN, Passwort? Auf keinen Fall am Telefon!
Ist also jemand „drauf“, nicht weiter telefonieren.
Einschätzung des Städte- und Gemeindebundes NRW
Vishing ist ein beachtliches Angriffsrisiko für Kommunalverwaltungen: Telefonate gehören zum Berufsalltag, egal ob im Büro oder am Telearbeitsplatz. Dadurch, dass keine technische Sicherheitslücke ausgenutzt wird, kann dem nur durch Sensibilisierung der Mitarbeitenden begegnet werden. Wichtig ist für alle zu wissen: wenn sich unangekündigt ein vermeintlicher IT-Dienstleister meldet, zunächst mit den zuständigen Personen im eigenen Haus Rücksprache halten und lieber einen echten Support-Menschen zurückrufen (dafür wird dieser Verständnis haben), als sofort Details zu eingesetzter Software, IP-Adressen oder sonstigen Informationen herauszugeben. Außenstehende haben keinen Anspruch, hierzu Auskunft von der Behörde zu erhalten. Schweigen bedeutet Sicherheit!
„Guten Tag, ich bin von Ihrem kommunalen IT-Dienstleister, Ihre Verwaltung hat uns ein Problem mit dem Netzwerk gemeldet. Ich benötige einmal eine Info zu Ihrer VPN-Verbindung…“ Vorsicht: Wahrscheinlich verbirgt sich hierhinter die Vorbereitung zu einem Angriff auf die kommunale IT!
1. September 2025 