Telefonanrufe von gefälschten IT-Spezialisten, Sicherheitsingenieuren oder “Microsoft-Partnern” sind kein neuer Trick. Es handelt sich um eine ausgeklügelte Social-Engineering-Taktik, die ihren Weg in gut geschützte Unternehmenssysteme findet.
Vishing: die Stimme des Angriffs, die technische Barrieren umgeht
Cyber-Bedrohungen entwickeln sich ständig weiter. Neben Phishing oder Malware rücken so genannte Vishing-Angriffe – betrügerische Telefonanrufe, die darauf abzielen, Zugang zu sensiblen Informationen oder Systemen zu erhalten – immer mehr in den Vordergrund.
In der Regel stellt sich der Angreifer als Vertreter der IT-Abteilung, eines Cloud-Anbieters oder eines Sicherheitsberaters vor. Sie erwecken ein Gefühl der Dringlichkeit (“Ihr Gerät wurde kompromittiert, wir müssen den Zugriff sofort überprüfen”) und versuchen durch überzeugendes Auftreten, den Benutzer dazu zu bringen, seine Anmeldedaten anzugeben oder ein Fernzugriffstool zu installieren.
Wie kann man sich gegen diese Art von Angriffen schützen?
Die Sicherheitsstrategie der heutigen Unternehmen ist natürlich auf mehrere Ebenen ausgerichtet – und das zu Recht. Aber gerade weil die Angreifer ihre Taktik ändern, ist es wichtig, dass sich die Verteidigungsmechanismen mit ihnen verändern.
Und das ist der Punkt, an dem Zero Trust Ansatzder die Art und Weise, wie Unternehmen über das Vertrauen in ihre eigene IT-Infrastruktur denken, grundlegend verändert.
Wie hilft Zero Trust gegen Social Engineering?
Zero Trust sagt nicht “Traue niemandem”. Es heißt: “Überprüfen Sie alles, immer und im Zusammenhang”.
Der Phishing-Angriff selbst mag technisch nicht fortgeschritten sein – aber die Folgen können verheerend sein, wenn ein Angreifer Zugang zum System erhält. Der Zero Trust-Ansatz verringert die Wahrscheinlichkeit, dass ein solcher Angriff zu einem erfolgreichen Eindringen führt, erheblich. Und wie?
Kontextabhängige Authentifizierung
Wenn sich jemand von einem anderen Gerät, einem anderen Ort oder zu einer ungewöhnlichen Zeit anmeldet, wird dies vom Zero Trust System als riskantes Verhalten eingestuft. Selbst ein korrekt eingegebenes Passwort bedeutet nicht automatisch Zugang.
Segmentierung des Zugangs
Der Benutzer erhält, auch wenn er authentifiziert zu sein scheint, nur Zugriff auf das, was er tatsächlich für seine Arbeit benötigt – nicht auf das gesamte Netzwerk oder sensible Daten. Dies schränkt die Möglichkeiten des Angreifers ein, wenn er die Anmeldedaten erhält.
Kontinuierliche Verhaltensbeurteilung (UEBA)
Zero Trust Systeme können ungewöhnliches Benutzerverhalten erkennen – wie z.B. plötzliche Downloads großer Datenmengen, Zugriff auf Verwaltungsfunktionen oder Interaktion mit nicht standardmäßigen Anwendungen.
Betonung der Multi-Faktor-Authentifizierung (MFA)
Selbst wenn der Angreifer das Opfer dazu bringt, ihm das Passwort zu geben, wird er ohne einen zweiten Faktor (z. B. biometrische Daten oder eine App auf dem Telefon) nichts ausrichten können.
Eine neue Welle von Bedrohungen erfordert einen neuen Ansatz
Der Faktor Mensch bleibt die größte Herausforderung im Bereich der Sicherheit. Und die Angreifer wissen das. Deshalb greifen sie genau dort an, wo Entscheidungen unter Stress, Druck oder Unwissenheit getroffen werden – typischerweise bei einem unerwarteten Telefonanruf, der scheinbar “business as usual” ist.
Unternehmen haben heute die Möglichkeit, proaktiv zu reagieren. Die Kombination aus vertrauenswürdigen Schulungen, Technologien zur Erkennung von Anomalien und einer “Null-Vertrauensstrategie” erhöht die Widerstandsfähigkeit gegenüber diesen Szenarien erheblich.
Kann Vishing Ihre Sicherheitsmaßnahmen umgehen?
Es geht nicht nur um die Frage, ob Sie einen Phishing-Schutz installiert haben. Vielmehr geht es darum , wie schnell Sie ein Verhalten erkennen und unterbinden können, das nicht zum normalen Betrieb passt.
Zum Beispiel, der Dienst SecuRadarder auf den Prinzipien von Zero Trust basiert, überwacht in Echtzeit, was in Microsoft 365, Entra ID, Defender for Endpoint und anderen Systemen vor sich geht. Er bewertet, ob ein Benutzer sich entsprechend seinem normalen Verhalten verhält – und warnt ihn, wenn dies nicht der Fall ist. Schnell. Ohne dass ein Mensch eingreifen muss.
