Mandiant-Report: Vishing löst E-Mail-Phishing als Top-Bedrohung ab

Voice-Phishing ist jetzt die zweithäufigste Methode für Cyber-Angriffe – und überholt erstmals klassische E-Mail-Betrügereien. Das zeigt der aktuelle M-Trends 2026 Report des Sicherheitsunternehmens Mandiant. Angreifer umgehen technische Abwehrmaßnahmen zunehmend durch den direkten, manipulativen Kontakt zu Mitarbeitern. Für deutsche Unternehmen bedeutet dies eine fundamentale Herausforderung ihrer Sicherheitsstrategie.

Während Kriminelle immer raffiniertere Methoden wie Voice-Cloning nutzen, bleiben klassische Phishing-Angriffe eine massive Bedrohung für die Unternehmenssicherheit. Dieser Experten-Guide unterstützt Sie mit einer 4-Schritte-Anleitung dabei, Ihre Organisation effektiv gegen betrügerische Nachrichten und Hacker-Angriffe zu wappnen. In 4 Schritten zur erfolgreichen Hacker-Abwehr: So schützen Sie Ihr Unternehmen vor Phishing

Der dramatische Aufstieg des „Vishing“

Die Zahlen sind eindeutig: Während E-Mail-Phishing nur noch für 6 Prozent der erfolgreichen Angriffe im vergangenen Jahr verantwortlich war, ist die Erfolgsquote von Voice-Phishing (Vishing) auf 11 Prozent gestiegen. Damit hat interaktive Sozialtechnik die traditionelle Methode überholt. Der Grund? Automatisierte E-Mail-Filter und die weite Verbreitung der Zwei-Faktor-Authentifizierung (2FA) machen statische Phishing-Versuche immer schwieriger.

Statt tausender E-Mails setzen Angreifer nun auf hochgradig interaktive Szenarien. Sie rufen gezielt IT-Helpdesks oder Mitarbeiter an, geben sich als Technik-Support oder Vorgesetzte aus und bauen in einem Live-Gespräch Vertrauen auf. Das Ziel: Opfer zur Preisgabe von Zugangsdaten, zum Zurücksetzen von Passwörtern oder zur Autorisierung neuer Geräte im Firmennetz zu bewegen. Diese Methode ist für automatisierte Sicherheitssysteme nur schwer zu erkennen, da sie menschliche Schwächen und nicht Softwarelücken ausnutzt.

High-Tech-Branche wird neues Hauptziel

Ein weiterer Wendepunkt: Die High-Tech-Industrie hat erstmals seit Jahren den Finanzsektor als meistangegriffene Branche abgelöst. 17 Prozent aller von Mandiant untersuchten Angriffe richteten sich 2025/26 gegen Tech-Unternehmen, während der Finanzsektor auf 14,6 Prozent fiel. Dahinter folgen Wirtschaftsdienstleister (13,3 %) und das Gesundheitswesen (12 %).

Experten führen den Fokus auf Tech-Firmen auf deren zentrale Rolle in globalen Lieferketten und ihren wertvollen geistigen Eigentum zurück. Zudem nutzen diese Unternehmen oft komplexe Cloud-Umgebungen, die besonders anfällig für identitätsbasierte Angriffe sind – die Spezialität von Vishing-Gruppen. Bedrohungsakteure wie UNC3944, die Verbindungen zum Kollektiv „Scattered Spider“ haben, zielen gezielt auf Helpdesk-Mitarbeiter großer Technologiekonzerne ab. Mit detailliertem Wissen über interne Abläufe geben sie sich als Kollegen aus, die eine 2FA-Änderung benötigen, und übernehmen so hochprivilegierte Konten – ganz ohne eine einzige Software-Schwachstelle.

Angriffsindustrie arbeitet in Sekundenschnelle

Die Geschwindigkeit der Cyberangriffe hat ein neues Extrem erreicht. Der Bericht dokumentiert „extreme Zeitabläufe“: Oft dauert es nur 22 bis 30 Sekunden, bis nach dem ersten Eindringen der Zugang an eine zweite Bedrohungsgruppe – etwa ein Erpressungstrojaner-Team – weiterverkauft wird. Dies zeigt eine hochindustrialisierte Schattenwirtschaft, in der spezialisierte „Initial Access Broker“ per Vishing eine Tür öffnen und diesen Zugang sofort an den Höchstbietenden veräußern.

Die rasanten Entwicklungen der Angriffsindustrie und neue regulatorische Anforderungen fordern von Geschäftsführern heute ein proaktives Handeln. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre IT-Sicherheit ohne Budget-Explosion stärken und welche aktuellen Trends Sie 2024 kennen müssen. Experten-Report: Effektive Strategien gegen Cyberkriminelle entdecken

Ein paralleler Bericht von HPE Threat Labs vom 24. März 2026 untermauert diese Professionalisierung. Angreifer organisieren ihre Operationen wie legale Unternehmen, mit strukturierten Teams, Automatisierung und wiederholbaren Prozessen. Statt manueller Einzelaktionen setzen sie massive Infrastrukturen mit zehntausenden schädlichen Domains ein. Diese Koordination ermöglicht es, auch nach der Entdeckung einzelner Komponenten im Netzwerk präsent zu bleiben. Der menschliche Fehler durch Vishing wird so zum Einfallstor für einen langfristigen, mehrstufigen Kompromiss.

KI-Stimmenklone „turbochargen“ die Angriffe

Der Vishing-Boom ist untrennbar mit dem rasanten Fortschritt von Generativer KI und Voice-Cloning-Technologie verbunden. Plattformen für „Betrug-als-Dienstleistung“ bieten heute komplette Deepfake-Pakete an, für die kein technisches Know-how nötig ist. Angreifer können mit nur drei Sekunden Audio-Material – von Social Media, Pressemitteilungen oder Interviews – eine nahezu perfekte Nachahmung einer bestimmten Stimme erstellen.

Diese Technologie macht aus Vishing eine massentaugliche Bedrohung. Synthetische Stimmen werden genutzt, um gezielt CEOs oder andere Führungskräfte zu imitieren. Solche Deepfake-Anrufe kommen oft in Hochdrucksituationen zum Einsatz, um dringende Überweisungen zu autorisieren oder Sicherheitsfreigaben zu umgehen. Laut Branchenanalysten hat bereits jeder Vierte in den letzten zwölf Monaten einen Deepfake-Anruf erhalten. Die täuschende Echtheit der KI-Stimmen lässt traditionelle Warnsignale wie seltsame Akzente oder Grammatikfehler verschwinden. Mitarbeiter haben kaum noch Möglichkeiten, die Identität des Anrufers zu überprüfen.

Was bedeutet das für die Sicherheitsstrategie?

Der Aufstieg von Vishing offenbart ein grundsätzliches Versagen traditioneller Identitätsmanagement-Strategien. Die Cybersicherheitsbranche hat jahrelang auf das „Flicken“ von Software gesetzt, doch die aktuellen Daten zeigen: Die „menschliche Schnittstelle“ ist jetzt die am meisten ausgenutzte Schwachstelle. Während Schwachstellen in Software mit 32 Prozent zwar weiterhin der häufigste Infektionsweg sind, ist der 11-Prozent-Anteil von Vishing besorgniserregender, weil er die Milliardeninvestitionen in Endpoint-Schutz und Firewalls umgeht.

Die Zukunft gehört daher „phishing-resistenten“ Sicherheitsarchitekturen. Herkömmliche 2FA-Methoden wie SMS-Codes oder Push-Benachrichtigungen gelten als nicht mehr ausreichend. Angreifer tricksen Nutzer leicht aus oder nutzen „2FA-Erschöpfung“. Der Trend geht klar zur Adoption von FIDO2-konformen Sicherheitsschlüsseln und Passkeys. Diese sind inhärent resistent gegen Social Engineering, da sie einen physischen Hardware-Token oder eine biometrische Verifizierung benötigen, die nicht per Telefon weitergegeben werden kann.

Zusätzlich setzen Unternehmen vermehrt auf „Out-of-Band“-Verifizierung für sensible Anfragen: Bevor eine Aktion ausgeführt wird, muss die Anweisung über einen zweiten, vorab verifizierten Kanal bestätigt werden. Für 2026 werden auch KI-gestützte Abwehrtools erwartet, die in Echtzeit synthetische Sprachmuster analysieren und vor Deepfakes warnen. Doch die Geschwindigkeit der Angreifer-Innovation übertrifft derzeit die defensive Anpassung. Die wirksamste Verteidigung bleibt vorerst eine Kombination aus robuster Identitäts-Hardware und einer Kultur des „gesunden Misstrauens“ gegenüber unerwarteten Sprachkommunikationen – egal wie vertraut die Stimme klingen mag.

boerse | 68973506 |