[Vishing Pentesting]

Ihr Team wird angerufen.
Wer legt auf?

Vishing Pentests.

Lassen Sie Ihre telefonische Angriffsfläche realistisch testen. Erhalten Sie eine unverfälschte Einschätzung Ihrer Vishing-Risiken.

Pentest anfragen Kontakt aufnehmen

Hält Ihre Organisation telefonischen Angriffen stand?

14:23 — „Hallo, hier ist Markus aus der IT. Wir sehen gerade Anmeldungen aus Bukarest auf deinem Account. Konntest du dich heute normal einloggen?"
14:24 — Sie überlegt. Wahrscheinlich alles normal. Oder war da heute Morgen kurz dieser Login-Hänger? Wer kennt das nicht.
14:25 — „Okay, ich sperre das von unserer Seite. Wir sollten aber sicherheitshalber deine Daten gegen die bekannten Leaks prüfen — ich gebe dir kurz den Link durch, läuft über unser internes Tool, einmal einloggen und deine Daten prüfen."
14:27 — Die Anmeldung aus Bukarest gab es nie. Doch die Verunsicherung reicht aus.

0%

der Mitarbeitenden geben bei professionellem Vishing sicherheitskritische Informationen preis oder werden zu kritischen Handlungen gebracht
HRC interne Daten

0

durchschnittliche Dauer bis zur erfolgreichen Manipulation
HRC interne Daten

0%

unserer Tests bleiben von den Zielpersonen unerkannt
HRC interne Daten

Technische Schutzmechanismen allein reichen nicht.
Nur ein realistischer Vishing-Test zeigt, ob Ihre Mitarbeitenden und Prozesse im Ernstfall standhalten.

Typische Schwachstellen, die wir aufdecken

Schwachstelle

Telefonverhalten

Unerkannte Schwachstellen im Umgang mit Telefonanrufen und fehlende Verifikation

Schwachstelle

Manipulation

Mitarbeitende folgen Phishing-Links, geben Zugangsdaten preis oder umgehen 2FA

Schwachstelle

Prozesse

Social-Engineering-Risiken und fehlende Compliance-Richtlinien für Telefonkontakte

Schwachstelle

Awareness

Fehlende Fähigkeit, Vishing-Angriffe zu erkennen und korrekt zu reagieren

Realistische Tests, die Schwachstellen offenlegen

Angriffe über das Telefon zählen zu den wirksamsten Social-Engineering-Methoden. Unsere Vishing-Pentests simulieren reale Angriffe unter kontrollierten Bedingungen und zeigen auf, wie Angreifer Mitarbeitende manipulieren, Phishing-Links versenden und Zwei-Faktor-Authentifizierung unterlaufen können.

Sicherheitslücken identifizieren

Wir prüfen, ob und wie Mitarbeitende durch gezielte Telefonangriffe dazu gebracht werden können, Phishing-Links aufzurufen, Zugangsdaten auf präparierten Webseiten einzugeben, sicherheitskritische Informationen preiszugeben oder bestehende Schutzmechanismen unbewusst zu umgehen. Dabei analysieren wir nicht individuelles Fehlverhalten, sondern strukturelle Schwächen in Prozessen, Kommunikation und Sicherheitsbewusstsein.

Sicherheitsrisiken realistisch bewerten

Unsere Tests zeigen, wie hoch das tatsächliche Risiko erfolgreicher Vishing-Angriffe in Ihrer Organisation ist, jenseits theoretischer Annahmen oder Schulungsquoten. Sie erhalten eine fundierte Einschätzung möglicher Auswirkungen, von Kontoübernahmen und initialen Zugriffen auf interne Systeme über die Vorbereitung weiterführender Angriffe bis hin zu Reputations- und Compliance-Risiken.

Entscheidungsgrundlagen schaffen

Der Vishing-Pentest liefert belastbare Erkenntnisse darüber, wie wirksam bestehende Awareness- und Schutzmaßnahmen tatsächlich sind, wo konkrete Handlungsbedarfe bestehen und welche nächsten Schritte sinnvoll und priorisiert umzusetzen sind. Der Test erfolgt ohne Trainingscharakter und ohne Verfälschung der Ergebnisse.

Unser Vorgehen bei Vishing-Penetrationstests

01

Pre-Engagement

Ein Vishing-Pentest beginnt mit klaren Rahmenbedingungen. Im Pre-Engagement definieren wir gemeinsam Zielsetzung, Testumfang, rechtliche Freigaben und Eskalationsregeln. So stellen wir sicher, dass der Test kontrolliert, nachvollziehbar und rechtssicher durchgeführt wird.

Scope-Definition und Zielsetzung
Rechtliche Absicherung und Vertragswerk
Eskalationswege und Notfallkontakte

02

Informationsgewinnung

Vor dem eigentlichen Angriff analysieren wir öffentlich verfügbare Informationen, typische Kommunikationsmuster sowie relevante Kontexte Ihrer Organisation. Auf dieser Grundlage führen wir OSINT-Analysen zu Strukturen, Rollen und Abläufen durch, entwickeln realistische Vorwände und bereiten die erforderliche Phishing-Infrastruktur sowie passende Angriffsszenarien vor.

OSINT-Analysen zu Strukturen und Rollen
Analyse von Kommunikationsmustern
Entwicklung realistischer Vorwände und Vishing/Phishing-Infrastruktur

03

Angriffssimulation & Eskalation

Im Rahmen der Angriffssimulation führen unsere Social-Engineering-Spezialisten gezielte Vishing-Anrufe unter realistischen Bedingungen durch. Ziel ist es zu prüfen, ob und wie Mitarbeitende telefonisch manipuliert werden können, um auf präparierte Phishing-Webseiten zu gelangen, Zugangsdaten preiszugeben oder bestehende Zwei-Faktor-Authentifizierung zu umgehen.

Gezielte Vishing-Anrufe unter realen Bedingungen
Prüfung von Dateneingabe
Vollständige Dokumentation aller Angriffspfade

04

Dokumentation & Management-Workshop

Nach Abschluss des Tests erhalten Sie einen detaillierten, anonymisierten Bericht mit strukturierter Auswertung der Angriffspfade, einer Bewertung der identifizierten Schwachstellen sowie konkreten, priorisierten Handlungsempfehlungen. Ergänzend führen wir einen kurzen Online-Workshop für Sicherheitsverantwortliche durch, in dem die Ergebnisse eingeordnet, Risiken und Ursachen erläutert und mögliche nächste Schritte besprochen werden.

Detaillierter, anonymisierter Report mit Risikoklassifizierung
Strukturierte Auswertung aller Angriffspfade
Online-Workshop mit konkreten, priorisierten Maßnahmen

3.500+

Vishing-Calls durchgeführt

12+

Branchen abgedeckt

48h

bis zum vollständigen Report

Ich leite den Service Desk seit elf Jahren. Wenn jemand zu mir kommt und sagt, sein Team ist auf einen Vishing-Angriff hereingefallen, ist meine erste Reaktion: ‚Ja klar, aber unsere nicht.' Wir wurden eines Besseren belehrt, aber haben es sportlich genommen. [...] Ich habe in den drei Tagen danach mehr über meinen eigenen Prozess gelernt als in den letzten zwei Jahren Schulungen. [...]

— Service Desk Manager, IT-Dienstleister

Mein SOC läuft mit 14 Analysten in drei Schichten. Wir filtern täglich 18.000 Events. Beim Vishing-Pentest haben wir genau null davon erwischt. Nicht weil wir schlecht sind, sondern weil wir Voice-Only-Angriffe gar nicht im Blick hatten. [...] Wir haben seitdem zwei neue Detektion-Use-Cases gebaut.

— SOC-Lead

Wir arbeiten seit 4 Jahren mit Human Risk Consulting zusammen und können eine Zusammenarbeit mit Herrn Willer wärmstens empfehlen.

— Compliance-Verantwortliche

[Weitere Leistungen]

Robuste Sicherheit für Ihre Unternehmenssicherheit

Physisches Social Engineering Pentesting

Physisches Pentesting

Remote Social Engineering Pentesting

Remote Pentesting

Vishing Awareness Training

Vishing Awareness Training

Human Risk Awareness Kampagne

Human Risk Awareness

Häufige Fragen

Wie läuft ein Vishing-Pentest ab? +

Nach dem Pre-Engagement und der Informationsgewinnung führen unsere Spezialisten gezielte Vishing-Anrufe unter realistischen Bedingungen durch. Alles wird anonymisiert dokumentiert und in einem Workshop mit konkreten Maßnahmen präsentiert.

Ist ein Vishing-Pentest legal? +

Ja. Jeder Test wird vertraglich abgesichert mit klaren Regeln, Eskalationswegen und Notfallkontakten. Wir arbeiten ausschließlich im Rahmen der vereinbarten Scope-Definition und halten alle datenschutzrechtlichen Vorgaben ein.

Erfahren die Mitarbeitenden vom Test? +

In der Regel nein — das ist Teil des Tests. Nach Abschluss empfehlen wir eine transparente Kommunikation, die auf Sensibilisierung statt Bloßstellung setzt. Die Auswertung erfolgt vollständig anonymisiert.

Was passiert, wenn ein Mitarbeitender auf den Angriff hereinfällt? +

Das ist kein individuelles Versagen, sondern zeigt strukturelle Schwächen. Wir dokumentieren den Angriffspfad anonymisiert und leiten daraus konkrete Verbesserungsmaßnahmen für Prozesse, Technik und Awareness ab.

[Nächster Schritt]

Bereit, Ihre Sicherheit
auf die Probe zu stellen?

Ein erstes Gespräch — unverbindlich, vertraulich, und auf Augenhöhe. Wir klären gemeinsam, wo Ihre größten Risiken liegen.

Termin vereinbaren Kontakt aufnehmen