VITTNESS Audit anfragen
Social Engineering — Digitale Vektoren

Der Angriff kommt
als E-Mail. Als Anruf. Als SMS.

Phishing, Vishing, Smishing, CEO Fraud. Die meisten Angriffe kombinieren mehrere dieser Vektoren. Wir testen sie — einzeln und zusammen, unangekündigt, maßgeschneidert.

VITTNESS Audit anfragen Ablauf ansehen →
∼ 3,4 Mrd.
Phishing-Mails täglich weltweit
36 %
aller Datenpannen beginnen mit Phishing
17 Sek.
Ø bis zum ersten Klick auf eine Phishing-Mail
01 — Interaktiv

So sieht eine alltägliche Phishing-Mail aus.

Nicht generisch. Kein „Klicken Sie hier". Echte Angriffe nutzen das Corporate Design, die richtigen Namen und die richtigen Kontexte Ihres Unternehmens.

Posteingang — [Ihr Unternehmen]
Postfächer
📥 Posteingang 4
📤 Gesendet
⚠️ Spam
🗑 Papierkorb

⚠ Demonstration mit fiktiven Szenarien — kein Versand an echte Systeme. In realen Engagements werden Inhalte auf Basis echter OSINT-Recherche individuell entwickelt.

02 — Angriffsvektoren

Vier Disziplinen. Ein Ziel.

Jeder Vektor funktioniert allein. In Kombination sind sie kaum zu erkennen.

📧
Phishing
„Die E-Mail sah aus wie von unserer IT."
Täuschend echte Mails mit gefälschten Absendern, korrektem Corporate Design und personalisierten Inhalten — auf Basis öffentlicher Informationen über Ihr Unternehmen.
36 % aller Datenpannen starten hier
Fallbeispiel öffnen →
📞
Vishing
„Er kannte meinen Namen, meine Abteilung, meinen Vorgesetzten."
Voice Phishing — gezielte Anrufe mit vorbereitetem Kontext. Wer den richtigen Jargon spricht und die richtigen Namen kennt, wird nicht hinterfragt.
+328 % Zunahme Vishing-Angriffe 2022–2024
Fallbeispiel öffnen →
👔
CEO Fraud
„Der Auftrag kam direkt vom Geschäftsführer."
Fingierte Zahlungsanweisungen im Namen der Führungsebene. Zeitdruck, Vertraulichkeit, Autorität. Mitarbeiter überweisen sechsstellige Beträge.
€ 43 Mrd. Schaden global seit 2016
Fallbeispiel öffnen →
📱
Smishing
„Die SMS war von unserer Hausbank."
SMS-basierte Angriffe mit gefälschten Absendern. Höhere Öffnungsrate als E-Mail, weniger Sicherheitsskepsis — direkter Weg ins Mobilgerät.
98 % SMS-Öffnungsrate vs. 20 % bei E-Mail
Fallbeispiel öffnen →
4 min
Ø bis zum ersten Klick im Test
23 %
Klickrate ungeschulter Mitarbeiter
8 %
Eingabe von Zugangsdaten nach Klick
0
Meldungen in typischen Ersttests
Engagement 05 · 2026 — Anonymisiert
„Ihr Passwort läuft in 24 Stunden ab."
Zielunternehmen: mittelständischer Logistikbetrieb, 140 Mitarbeiter. OSINT ergibt: Microsoft 365 im Einsatz, IT-Verantwortlicher auf LinkedIn identifiziert. Die Simulation imitiert eine M365-Systembenachrichtigung — mit korrektem Absendernamen, passendem Corporate Design und einem Link auf eine täuschend echte Login-Seite.

Ergebnis: 19 von 82 Mitarbeitern klicken. 7 geben Zugangsdaten ein. Keine Meldung an die IT. Das Unternehmen hatte drei Monate zuvor ein Awareness-Training durchgeführt.
Warum es funktioniert
Personalisierung erhöht die Klickrate dramatisch. Eine generische Mail hat 3–5 %. Eine auf das Unternehmen zugeschnittene: 15–30 %.
Das Awareness-Training hatte generische Beispiele verwendet. Die Mitarbeiter erkannten den Angriff nicht, weil er sich von den gelernten Mustern unterschied.
Zeitdruck und Autoritätsprinzip unterdrücken die kritische Prüfung — auch bei Mitarbeitern, die Phishing dem Konzept nach kennen.
82 %
Erfolgsrate vorbereiteter Vishing-Calls
2,5 min
Ø Gesprächsdauer bis Zielerreichung
0
Rückruf-Verifikationen in Ersttests
3
Vishing-Calls als Vorbereitung für OSB
Engagement 09 · 2026 — Anonymisiert
„Hier ist der Steuerberater. Ich brauche kurz die IBAN."
Über LinkedIn und das Unternehmensregister wird der Name des Steuerberaters ermittelt. Anruf bei der Buchhaltung: „Guten Tag, hier ist [Name], Kanzlei [Name]. Ich brauche kurz eine Bestätigung der Bankverbindung für die Quartalsmeldung — Herr Geschäftsführer hat mir gesagt, ich soll mich direkt an Sie wenden."

Die Mitarbeiterin gibt die IBAN durch. Kein Rückruf. Kein Protokoll. Voller Kontext aus zwei LinkedIn-Profilen und einem Handelsregistereintrag.
Warum es funktioniert
Wer den richtigen Namen, die richtige Kanzlei und den richtigen Kontext nennt, wird nicht hinterfragt — auch wenn das Protokoll einen Rückruf vorschreibt.
Die Referenz auf den Geschäftsführer erzeugt Autoritätsdruck. Das soziale Risiko, einen Vorgesetzten-Auftrag zu verzögern, überwiegt die Skepsis.
Vishing ist schwerer zu trainieren als Phishing — es findet in Echtzeit statt und lässt keine Zeit zum Nachdenken.
€ 43 Mrd.
Globaler Schaden seit 2016
62 %
der Opfer: KMU unter 250 MA
Ø 130.000 €
Schaden pro Vorfall im DACH-Raum
3 Tage
Ø bis zur Entdeckung
Simulation — Anonymisiert
„Bitte überweisen Sie noch heute. Absolut vertraulich."
GF ist auf LinkedIn aktiv, Unternehmensstruktur öffentlich. E-Mail von der richtigen Absender-Domain — mit einem Zeichen Unterschied — landet in der Buchhaltung: Dringende Zahlung für eine vertrauliche Akquisition. Kein Rückruf, keine interne Kommunikation. Heute bis 16 Uhr.

In unserem Simulationstest: 2 von 5 Mitarbeitern hätten die Zahlung ohne Rückfrage initiiert.
Warum es funktioniert
Autorität, Dringlichkeit, Vertraulichkeit und Plausibilität gleichzeitig — das macht kritisches Denken nahezu unmöglich.
Buchhaltungsmitarbeiter kennen die persönliche E-Mail-Adresse des GF nicht auswendig. Eine ähnliche Domain fällt nicht auf.
CEO Fraud ist kein technischer Angriff. Es ist ein Angriff auf Hierarchie, Loyalität und Zeitdruck.
98 %
SMS-Öffnungsrate
45 Sek.
Ø bis SMS geöffnet wird
höhere Klickrate als E-Mail
+700 %
Smishing-Zunahme 2020–2024
Simulation — Anonymisiert
„Ihre Zwei-Faktor-Verifizierung läuft ab."
Mitarbeiter erhalten eine SMS von scheinbar der Unternehmens-IT: „Ihre 2FA-Authentifizierung muss bis heute Abend erneuert werden. Jetzt verifizieren: [Link]". Der Link führt auf eine täuschend echte Login-Seite.

Auf dem Smartphone fehlen Browser-Warnungen und Desktop-Sicherheitsskepsis. Das Gerät ist privat — und fühlt sich sicher an.
Warum es funktioniert
Das Smartphone ist der persönlichste Kanal. Sicherheitsskepsis ist dort neuronal geringer — das Gerät wird als privater Raum wahrgenommen.
SMS-Absender lassen sich trivial fälschen. Eine SMS von „IT-Support" oder „Hausbank" kostet weniger als einen Euro.
BYOD-Richtlinien machen Smishing besonders gefährlich: Das kompromittierte Privatgerät hat direkten Zugang zu Unternehmensressourcen.

Die dargestellten Szenarien basieren auf realen Engagements, wurden jedoch aus Datenschutzgründen stark modifiziert. Unternehmen, Personen und Details sind verfremdet. Eine Identifikation der Betroffenen ist nicht möglich und nicht beabsichtigt.

03 — Unsere Simulation

Wie wir testen — und was wir messen.

Keine Massenaussendung. Kein generisches Template. Jede Simulation basiert auf echter OSINT-Recherche über Ihr Unternehmen.

🎯

Maßgeschneidert, nicht von der Stange

Wir recherchieren vor der Simulation — LinkedIn, Website, Stellenausschreibungen, Presse. Die Angriffe nutzen echte Namen, echtes Corporate Design, echte Formulierungen aus Ihrer Kommunikation.

📊

Klickrate ist nicht die Kennzahl

Wir messen Klickrate, Eingaberate, Zeit bis Klick, Meldeverhalten — und vergleichen das mit Ihrer Branche. Der Befund enthält nicht nur „wie viele", sondern warum und was das bedeutet.

🔗

Kombinierte Vektoren

Echte Angriffe kombinieren Phishing mit Vishing-Vorbereitung, CEO Fraud mit Smishing als Bestätigung. Wir simulieren diese Kombinationen — weil das die Realität ist.

📋

Schulung auf Basis echter Findings

Keine Standard-Awareness-Präsentation. Die Schulung basiert auf dem, was wir bei Ihnen gefunden haben. Ihre Mitarbeiter lernen anhand ihrer eigenen Fehler — nicht anhand von Musterfällen.

04 — Ablauf

Wie wir vorgehen.

Explizite schriftliche Beauftragung. Kein Graubereich.

01
VITTNESS Check
Kostenloser 15-minütiger Ersttermin. Wir besprechen Ihr Unternehmen, realistische Szenarien und den Scope. Kein Pitch.
02
Beauftragung & Scope
Schriftliche Beauftragung. Welche Vektoren, welche Mitarbeitergruppen, welcher Zeitraum. Partneranwalt (digital-recht.at) sichert den juristischen Rahmen.
03
OSINT & Design
Aufklärung im VITT OSINT-Tool. Maßgeschneiderte Angriffe auf Basis echter Informationen — kein Template.
04
Simulation & Befund
Die Simulation. Danach vollständiger Befundbericht: Klickrate, Meldeverhalten, Schwachstellenanalyse, Schulungsempfehlungen — NISG-2026-konform.
Nächster Schritt

Wissen Sie, welche E-Mail Ihre Mitarbeiter anklicken würden?

Der VITTNESS Check ist kostenlos — 15 Minuten, kein Pitch, ehrliche Einschätzung.

VITTNESS Audit anfragen
Explizite schriftliche Beauftragung NIS2 / NISG-2026 konform Partnerkanzlei digital-recht.at