Im Zuge der digitalen Transformation liegt der Fokus oft auf Endpunkten, Cloud-Infrastrukturen und der Einhaltung von Vorschriften. Doch ein unberechenbares Element bleibt: die menschliche Stimme. Eine 50-wöchige Kampagne zeigt, wie sich Verwundbarkeit in Widerstandsfähigkeit verwandeln lässt.
Warum Vishing so gefährlich ist
Während Unternehmen Millionen in E-Mail-Filter, Phishing-Simulationen und technische Abwehrmaßnahmen investieren, bleibt ein Angriffsvektor chronisch unterschätzt: das Telefon. Vishing – Voice Phishing – nutzt die unmittelbare, persönliche Natur eines Telefongesprächs aus. Anders als bei einer E-Mail hat das Opfer keine Zeit, Links zu prüfen oder Kollegen zu fragen. Die menschliche Stimme erzeugt Vertrauen, Dringlichkeit und Autorität in Echtzeit.
In unserer Arbeit bei HRC sehen wir es immer wieder: Unternehmen, die bei Phishing-Simulationen hervorragend abschneiden, fallen bei Vishing-Tests mit erschreckender Regelmäßigkeit durch. Das Problem ist nicht mangelnde Intelligenz – es ist mangelndes Training für genau diesen Angriffsvektor.
Der Ansatz: Eine 50-wöchige Kampagne
Gemeinsam mit einem internationalen Finanzdienstleister entwickelten wir ein Programm, das über ein ganzes Jahr lief. Die Idee: Statt eines einmaligen Awareness-Trainings setzen wir auf kontinuierliche, realistische Simulationen in Kombination mit gezielten Schulungen. Jede Woche erhielt eine rotierende Gruppe von Mitarbeitenden simulierte Vishing-Anrufe – professionell durchgeführt von unseren Social Engineers.
Phase 1: Baseline-Messung
In den ersten vier Wochen führten wir eine Baseline-Messung durch, ohne dass die Belegschaft über das Programm informiert war. Die Szenarien waren realistisch, aber nicht extrem: Ein Anrufer gab sich als interner IT-Support aus und bat um die Bestätigung von Zugangsdaten für ein angebliches System-Update.
Die Ergebnisse waren ernüchternd:
- 62 % der kontaktierten Mitarbeitenden gaben vertrauliche Informationen preis
- 38 % teilten ihre vollständigen Login-Daten mit
- Nur 11 % stellten kritische Rückfragen oder verweigerten die Auskunft
- Kein einziger Anruf wurde an die IT-Sicherheit gemeldet
62 Prozent Erfolgsquote beim ersten Vishing-Versuch – das entspricht einem offenen Scheunentor für jeden Social Engineer mit einem Telefon.
Phase 2: Gezielte Trainings
Basierend auf den Baseline-Ergebnissen identifizierten wir spezifische Schwachstellen und entwickelten maßgeschneiderte Trainingsmodule:
- Erkennung von Autoritätsmanipulation: Wie reagiert man, wenn der Anrufer behauptet, im Auftrag des CEO zu handeln?
- Umgang mit Zeitdruck: Techniken, um künstlich erzeugte Dringlichkeit zu erkennen und zu durchbrechen
- Verifizierungsprozesse: Konkrete Schritte zur Überprüfung der Identität eines Anrufers, ohne unhöflich zu wirken
- Meldewege: Klare, einfache Prozesse, um verdächtige Anrufe zu dokumentieren und weiterzuleiten
Die Trainings waren kurz, praxisnah und auf reale Szenarien aus der Baseline-Phase zugeschnitten. Kein PowerPoint-Marathon – sondern interaktive Sessions mit Rollenspielen und Live-Demonstrationen.
Phase 3: Kontinuierliche Simulation und Verbesserung
Ab Woche 8 liefen Trainings und Simulationen parallel. Die Szenarien wurden sukzessive anspruchsvoller: vom einfachen IT-Support-Vorwand über CEO-Fraud-Szenarien bis hin zu komplexen Pretexts mit gefälschten Rufnummern und Insider-Wissen. Jede Simulation wurde anonym ausgewertet und die Ergebnisse flossen in die nächste Trainingsrunde ein.
Entscheidend war dabei der Ton: Wir arbeiteten nie mit Schuldzuweisungen. Wer auf eine Simulation hereinfiel, erhielt zeitnah ein individuelles, konstruktives Feedback-Gespräch. So entstand eine Lernkultur statt einer Angstkultur.
Ergebnisse: Messbare Verhaltensänderung
Nach 50 Wochen zeigte die Abschlussmessung eine fundamentale Veränderung:
- Die Erfolgsquote der Vishing-Angriffe sank von 62 % auf 8 %
- 74 % der Mitarbeitenden stellten verifizierte Rückfragen
- 89 % der verdächtigen Anrufe wurden korrekt gemeldet
- Die durchschnittliche Reaktionszeit auf gemeldete Vorfälle sank um 60 %
Von 62 % Erfolgsquote auf 8 % – das ist keine Statistik. Das ist der Beweis, dass menschliche Resilienz trainierbar ist.
Fazit: Resilienz ist kein Zustand, sondern ein Prozess
Dieses Projekt hat eindrucksvoll gezeigt, dass sich menschliches Risiko systematisch in menschliche Resilienz verwandeln lässt. Aber es braucht Zeit, Kontinuität und den richtigen Ansatz. Ein einmaliger Awareness-Tag reicht nicht. Ein jährliches E-Learning reicht nicht.
Was es braucht, ist ein Programm, das Mitarbeitende dort abholt, wo sie stehen – und sie über Monate hinweg begleitet, fordert und stärkt. Resilienz ist kein Zustand, den man einmal erreicht und dann abhakt. Sie ist ein fortlaufender Prozess, der gepflegt und weiterentwickelt werden muss.
Bei HRC begleiten wir Unternehmen auf genau diesem Weg. Denn wir wissen: Die stärkste Firewall der Welt nützt nichts, wenn ein Mitarbeiter am Telefon sein Passwort verrät.