So trainieren Sie Mitarbeitende für Vishing, ohne sie anzurufen

Wäre Vishing nicht leichter zu erkennen, wenn die Anruferin oder der Anrufer direkt nach den „Tresor-Codes“ fragen würde? Echte Anrufe sind in der Regel unspektakulärer: Bestätigen Sie dieses Login, helfen Sie mir, den Zugang zurückzusetzen, das bleibt erst einmal unter uns. Die meisten Menschen versuchen zu helfen, weil Arbeit auf Kooperation beruht; Angreiferinnen und Angreifer wissen, wie sie das ausnutzen können.

Der Report Die aktuelle Lage des Social Engineering 2025 ergab, dass 38 % der befragten Führungskräfte im vergangenen Jahr Vishing in ihrer Organisation beobachteten, während sich Betrugsversuche mit geklonten Stimmen von 16 % im Jahr 2024 auf 30 % im Jahr 2025 fast verdoppelten.

Ein Briefing des Wissenschaftlichen Dienstes des Europäischen Parlaments ergab, dass 70 % der Erwachsenen unsicher sind, ob sie eine geklonte von einer echten Stimme unterscheiden könnten.

Stimmenimitation wird auch immer einfacher zu skalieren. Angreiferinnen und Angreifer benötigen keine perfekte Nachahmung mehr und auch kein langes manuelles Set-up für jede Zielperson. Das verändert das Risiko für Sicherheitsteams: Vishing entwickelt sich von seltenen, sehr gezielten Anrufen zu etwas, das leicht zu wiederholen ist.

Zu wissen, was Vishing ist, bereitet nicht immer ausreichend auf den tatsächlichen Anruf vor. Unternehmensrichtlinien können Mitarbeitenden vorschreiben, niemals Anmeldedaten am Telefon preiszugeben. Die Mitarbeitenden müssen trotzdem selbst erkennen, wann bei einer scheinbar normalen Anfrage zu viel verlangt wird.

Eine E-Mail gibt Menschen und Sicherheitstools mehr Details zur Überprüfung: Absenderdaten, Links, Anhänge, Formulierungen, und vor allem Zeit zum erneuten Lesen. Bei einem Telefonanruf fällt das meiste davon weg, weil die Mitarbeitenden in Echtzeit zuhören und antworten.

Traditionelle Vishing-Simulationen können ebenfalls schwer durchzuführen sein. Viele Unternehmen haben keine individuellen Telefonnummern für alle Mitarbeitenden. Die Nutzung von privaten Geräten verursacht Datenschutz- und Genehmigungsprobleme. Tests im Rückruf-Stil können ohne Lerneffekt ins Leere laufen, wenn jemand auflegt oder den Anruf nie mit dem Training in Verbindung bringt.

Also, wie trainiert man Mitarbeitende für diesen Anruf, ohne sie anzurufen? Hier erfahren Sie, wie Sie eine Vishing-Übung erstellen, ohne daraus ein Projekt zur Beschaffung von Telefonnummern zu machen.

Schritt 1: Trainieren Sie die Teams, in denen Sprachanrufe als normal und vertrauenswürdig gelten

Vishing-Training funktioniert am besten, wenn es bei den Teams ansetzt, die in ihrer täglichen Arbeit regelmäßig Anrufe nutzen.

Helpdesk-Teams kümmern sich um das Zurücksetzen von Passwörtern, Probleme mit der Multi-Faktor-Authentifizierung, VPN-Zugang und Kontofragen. Finanzteams befassen sich mit der Überprüfung von Zahlungen. HR-Teams arbeiten mit personenbezogenen Daten. Außendienstteams, Manager im Einzelhandel, Logistikpersonal und Teams im Gastgewerbe sind oft auf das Telefon angewiesen, da sie nicht immer am Schreibtisch sitzen.

Für diese Teams sind Telefonanrufe Teil ihres Arbeitsablaufs.

Ein solcher Anruf funktioniert, weil die Mitarbeitenden das Gefühl haben, eine normale Aufgabe durchzuführen. Ein Vishing-Training sollte ihnen dabei helfen, zu merken, wann Vertrauen, Zugangsdaten oder Informationen verlangt werden, die der Anrufende nicht benötigen sollte.

Die interaktive Vishing-Lektion von SoSafe integriert das in den Unterricht. Die Lernenden verstehen zuerst, wie Vishing funktioniert, und nehmen dann an einem simulierten Sprachanruf im Browser teil. Sie üben die Situation sicher, ohne einen Anruf auf dem eigenen Telefon zu erhalten.

Schritt 2: Geben Sie den Mitarbeitenden einen Ausweg aus dem Anruf

Ein Vishing-Training sollte Mitarbeitenden mehr als nur Warnzeichen an die Hand geben. Es sollte ihnen helfen zu üben, was zu tun ist, wenn Anrufende nach sensiblen Daten fragen.

Mitarbeitende benötigen eine klare Rückfalloption. Wenn eine Anruferin oder ein Anrufer nach Anmeldedaten, Zugängen, Codes, persönlichen Daten oder einer Prozessänderung fragt, sollten sie wissen, wie sie kurz pausieren und dies überprüfen können. Das kann bedeuten, die Anfrage über einen vertrauenswürdigen Kanal zu überprüfen, den genehmigten internen Prozess zu befolgen oder den Anruf zu beenden.

Der In-Browser-Anruf von SoSafe ermöglicht es den Lernenden, dies zu üben, solange die Lektion noch frisch im Gedächtnis ist. Die Anruferin oder der Anrufer klingt möglicherweise wie jemand aus der IT-Abteilung, von einem Dienstleister oder wie jemand, der um dringende Hilfe bittet. Die Lernenden üben, kurz zu pausieren und ein sichereres Verhalten zu wählen, bevor sie in der echten Situation sind.

Wenn Lernende während der Simulation eine unsichere Entscheidung treffen, wird dies sofort innerhalb der Lektion korrigiert und erklärt, was anders gemacht werden sollte. Der Fehler bleibt innerhalb des Trainings, wo er tatsächlich helfen kann.

Schritt 3: Vermeiden Sie den Engpass mit den Telefonnummern

Traditionelle Vishing–Simulationen können schon schwierig werden, bevor das Training überhaupt beginnt. Oft benötigt man dafür Telefonnummern der Mitarbeitenden, Anrufinfrastruktur, Terminplanung, Einwilligung und Zielgruppenmanagement. Bei Sicherheitsteams, die schon viele verschiedene Aufgaben abdecken, kann das ausreichen, um das ganze Projekt zu verlangsamen.

Eine In-Browser-Simulation vereinfacht die Durchführung. Die Lernenden erhalten keinen Anruf auf einem privaten oder geschäftlichen Gerät. Die Unterhaltung findet komplett innerhalb der Lektion statt, sodass Teams das Verhalten trainieren können, ohne Telefonnummern dafür sammeln zu müssen.

Das ist besonders nützlich für Mitarbeitende im Außendienst. Sie führen zwar möglicherweise den ganzen Tag über Telefonate, aber oft ist das die Gruppe, die am schwierigsten in telefonbasierte Tests einzubeziehen ist. Browser-basierte Übungen bieten ihnen eine realistische Simulation, ohne für das durchführende Team eine zusätzliche Hürde darzustellen.

Schritt 4: Gestalten Sie den Anruf relevant für die Lernenden

Allgemeines Vishing-Training wird leicht ignoriert. Die Leute hören das Szenario und denken: „So würden wir das hier nicht machen.“

Echte Angreiferinnen und Angreifer passen ihre Geschichte an die Zielperson an. Der Anruf klingt für jemanden, der Zahlungen abwickelt, anders als für jemanden, der Kontenzugriffe verwaltet oder von unterwegs aus arbeitet. Gutes Training sollte diese Unterschiede berücksichtigen.

Bevor die SoSafe-Simulation beginnt, geben die Lernenden einige Basisinformationen ein, damit der Anruf an ihren Arbeitsalltag angepasst werden kann. Das Set-up bleibt einfach, gibt der Simulation aber genug Daten, um das Gespräch relevanter zu machen.

Je näher das Szenario am Arbeitsalltag einer Person ist, desto eindrucksvoller ist es.

Für globale Teams gehört dazu auch Sprache und Akzent. Ein Vishing-Anruf verliert seine Wirkung, wenn er für den Kontext der Mitarbeitenden offensichtlich fremd klingt. Je besser die Stimme in die tatsächliche Arbeitsumgebung passt, desto realistischer und damit nützlicher wird die Übung.

Schritt 5: Sorgen Sie für eine sichere Lernerfahrung

Vishing-Training sollte sich niemals wie eine Falle anfühlen. Wenn Mitarbeitende sich peinlich berührt oder beobachtet fühlen, verliert das Programm an Vertrauen.

Der sicherere Ansatz ist, die Erfahrung klar als Lerneinheit zu gestalten. In der Lektion von SoSafe können Lernende die Vishing-Simulation überspringen und trotzdem mit dem Quiz fortfahren. Der Einsatz von KI wird ebenfalls klar gekennzeichnet, bevor der Anruf beginnt.

So bleibt die Erfahrung das, was sie sein soll: eine Übung, keine Strafe.

Das löst auch ein häufiges Problem bei eigenständigen Vishing-Tests. In einer Live-Simulation im Rückruf-Stil legen Mitarbeitende möglicherweise auf, bevor sie merken, was passiert. Der Lernmoment kann verloren gehen. Wenn der Anruf in die Lektion eingebettet ist, reflektiert der Lernende darüber, während die Erfahrung noch frisch ist.

Schritt 6: Bereiten Sie den Anruf nach

Der wichtigste Teil einer Vishing-Simulation kommt nach dem Anruf, wenn die Lernenden das, was gerade passiert ist, damit in Verbindung bringen, was sie beim nächsten Mal tun sollten.

Die Reflexion sollte einfach gehalten werden. Wonach wurde im Anruf gefragt? Wurde durch die Anfrage Dringlichkeit erzeugt? Beinhaltete die Anfrage Anmeldedaten, Zugriffsrechte, persönliche Daten oder einen Prozess, der über einen anderen Kanal hätte laufen sollen? Würden Lernende es beim nächsten Mal auf anderem Weg überprüfen?

SoSafe verbindet den Anruf mit der Lektion und dem Quiz, sodass die Erfahrung nicht als einmalige Interaktion endet. Lernende können den Anruf verarbeiten, solange er noch frisch im Gedächtnis ist, und ihn mit dem sichereren Verhalten in Verbindung bringen.

Die Reflexion sollte auch den nächsten internen Schritt verdeutlichen. Wenn wirklich ein verdächtiger Anruf stattfindet, sollten die Mitarbeitenden wissen, wen sie benachrichtigen, was sie aufzeichnen und wann sie das Gespräch beenden müssen. Das macht aus der Awareness-Lektion eine Melde-Routine.

Für Sicherheitsverantwortliche ist das der Mehrwert. Sie helfen den Mitarbeitenden, eine sichere Reaktion auf Situationen zu entwickeln, die technische Kontrollen nicht immer verhindern können.