Jeder Vektor funktioniert allein. In Kombination sind sie kaum zu erkennen.
📧
Phishing
„Die E-Mail sah aus wie von unserer IT."
Täuschend echte Mails mit gefälschten Absendern, korrektem Corporate Design und personalisierten Inhalten — auf Basis öffentlicher Informationen über Ihr Unternehmen.
36 %
aller Datenpannen starten hier
Fallbeispiel öffnen →
📞
Vishing
„Er kannte meinen Namen, meine Abteilung, meinen Vorgesetzten."
Voice Phishing — gezielte Anrufe mit vorbereitetem Kontext. Wer den richtigen Jargon spricht und die richtigen Namen kennt, wird nicht hinterfragt.
+328 %
Zunahme Vishing-Angriffe 2022–2024
Fallbeispiel öffnen →
👔
CEO Fraud
„Der Auftrag kam direkt vom Geschäftsführer."
Fingierte Zahlungsanweisungen im Namen der Führungsebene. Zeitdruck, Vertraulichkeit, Autorität. Mitarbeiter überweisen sechsstellige Beträge.
€ 43 Mrd.
Schaden global seit 2016
Fallbeispiel öffnen →
📱
Smishing
„Die SMS war von unserer Hausbank."
SMS-basierte Angriffe mit gefälschten Absendern. Höhere Öffnungsrate als E-Mail, weniger Sicherheitsskepsis — direkter Weg ins Mobilgerät.
98 %
SMS-Öffnungsrate vs. 20 % bei E-Mail
Fallbeispiel öffnen →
4 min
Ø bis zum ersten Klick im Test
23 %
Klickrate ungeschulter Mitarbeiter
8 %
Eingabe von Zugangsdaten nach Klick
0
Meldungen in typischen Ersttests
Engagement 05 · 2026 — Anonymisiert
„Ihr Passwort läuft in 24 Stunden ab."
Zielunternehmen: mittelständischer Logistikbetrieb, 140 Mitarbeiter. OSINT ergibt: Microsoft 365 im Einsatz, IT-Verantwortlicher auf LinkedIn identifiziert. Die Simulation imitiert eine M365-Systembenachrichtigung — mit korrektem Absendernamen, passendem Corporate Design und einem Link auf eine täuschend echte Login-Seite.
Ergebnis: 19 von 82 Mitarbeitern klicken. 7 geben Zugangsdaten ein. Keine Meldung an die IT. Das Unternehmen hatte drei Monate zuvor ein Awareness-Training durchgeführt.
Warum es funktioniert
Personalisierung erhöht die Klickrate dramatisch. Eine generische Mail hat 3–5 %. Eine auf das Unternehmen zugeschnittene: 15–30 %.
Das Awareness-Training hatte generische Beispiele verwendet. Die Mitarbeiter erkannten den Angriff nicht, weil er sich von den gelernten Mustern unterschied.
Zeitdruck und Autoritätsprinzip unterdrücken die kritische Prüfung — auch bei Mitarbeitern, die Phishing dem Konzept nach kennen.
82 %
Erfolgsrate vorbereiteter Vishing-Calls
2,5 min
Ø Gesprächsdauer bis Zielerreichung
0
Rückruf-Verifikationen in Ersttests
3
Vishing-Calls als Vorbereitung für OSB
Engagement 09 · 2026 — Anonymisiert
„Hier ist der Steuerberater. Ich brauche kurz die IBAN."
Über LinkedIn und das Unternehmensregister wird der Name des Steuerberaters ermittelt. Anruf bei der Buchhaltung: „Guten Tag, hier ist [Name], Kanzlei [Name]. Ich brauche kurz eine Bestätigung der Bankverbindung für die Quartalsmeldung — Herr Geschäftsführer hat mir gesagt, ich soll mich direkt an Sie wenden."
Die Mitarbeiterin gibt die IBAN durch. Kein Rückruf. Kein Protokoll. Voller Kontext aus zwei LinkedIn-Profilen und einem Handelsregistereintrag.
Warum es funktioniert
Wer den richtigen Namen, die richtige Kanzlei und den richtigen Kontext nennt, wird nicht hinterfragt — auch wenn das Protokoll einen Rückruf vorschreibt.
Die Referenz auf den Geschäftsführer erzeugt Autoritätsdruck. Das soziale Risiko, einen Vorgesetzten-Auftrag zu verzögern, überwiegt die Skepsis.
Vishing ist schwerer zu trainieren als Phishing — es findet in Echtzeit statt und lässt keine Zeit zum Nachdenken.
€ 43 Mrd.
Globaler Schaden seit 2016
62 %
der Opfer: KMU unter 250 MA
Ø 130.000 €
Schaden pro Vorfall im DACH-Raum
3 Tage
Ø bis zur Entdeckung
Simulation — Anonymisiert
„Bitte überweisen Sie noch heute. Absolut vertraulich."
GF ist auf LinkedIn aktiv, Unternehmensstruktur öffentlich. E-Mail von der richtigen Absender-Domain — mit einem Zeichen Unterschied — landet in der Buchhaltung: Dringende Zahlung für eine vertrauliche Akquisition. Kein Rückruf, keine interne Kommunikation. Heute bis 16 Uhr.
In unserem Simulationstest: 2 von 5 Mitarbeitern hätten die Zahlung ohne Rückfrage initiiert.
Warum es funktioniert
Autorität, Dringlichkeit, Vertraulichkeit und Plausibilität gleichzeitig — das macht kritisches Denken nahezu unmöglich.
Buchhaltungsmitarbeiter kennen die persönliche E-Mail-Adresse des GF nicht auswendig. Eine ähnliche Domain fällt nicht auf.
CEO Fraud ist kein technischer Angriff. Es ist ein Angriff auf Hierarchie, Loyalität und Zeitdruck.
45 Sek.
Ø bis SMS geöffnet wird
3×
höhere Klickrate als E-Mail
+700 %
Smishing-Zunahme 2020–2024
Simulation — Anonymisiert
„Ihre Zwei-Faktor-Verifizierung läuft ab."
Mitarbeiter erhalten eine SMS von scheinbar der Unternehmens-IT: „Ihre 2FA-Authentifizierung muss bis heute Abend erneuert werden. Jetzt verifizieren: [Link]". Der Link führt auf eine täuschend echte Login-Seite.
Auf dem Smartphone fehlen Browser-Warnungen und Desktop-Sicherheitsskepsis. Das Gerät ist privat — und fühlt sich sicher an.
Warum es funktioniert
Das Smartphone ist der persönlichste Kanal. Sicherheitsskepsis ist dort neuronal geringer — das Gerät wird als privater Raum wahrgenommen.
SMS-Absender lassen sich trivial fälschen. Eine SMS von „IT-Support" oder „Hausbank" kostet weniger als einen Euro.
BYOD-Richtlinien machen Smishing besonders gefährlich: Das kompromittierte Privatgerät hat direkten Zugang zu Unternehmensressourcen.
Die dargestellten Szenarien basieren auf realen Engagements, wurden jedoch aus Datenschutzgründen stark modifiziert. Unternehmen, Personen und Details sind verfremdet. Eine Identifikation der Betroffenen ist nicht möglich und nicht beabsichtigt.