Vishing – wenn der Anruf „von der Bank“ nicht von der Bank ist

Das Telefon klingelt. Im Display steht die Nummer Ihrer Bank. Ein freundlicher Mitarbeiter erklärt, auf Ihrem Konto sei „verdächtige Aktivität“ festgestellt worden – Sie sollen sich sofort um die Sperrung kümmern. Klingt plausibel, klingt seriös. Und ist dennoch Betrug. Vishing – Voice Phishing – gehört zu den gefährlichsten Betrugsformen, weil das direkte Gespräch Emotionen und Autoritätseffekte aktiviert. Hier steht, wie Sie die Maschen erkennen, was Sie tun sollten, wenn Sie schon reagiert haben, und wie Sie Angehörige schützen.

Die Maschen, die heute am häufigsten funktionieren

Vishing ist Phishing am Telefon – und anders als die klassische E-Mail greift das Gespräch direkt Ihre Emotion an. Die Muster:

Microsoft/Windows-Support: Eine deutsche Frauen- oder Männerstimme erklärt, Ihr Computer sei „mit einem Virus infiziert“ oder „ein Hacker“ hätte Zugriff. Sie sollen eine Software herunterladen (AnyDesk, TeamViewer) – damit „reparieren“ die Täter und installieren in Wirklichkeit eine Fernwartung mit Vollzugriff.

Bank-Betrug mit „verdächtigen Abbuchungen“: Angeblicher Mitarbeiter Ihrer Bank meldet eine verdächtige Überweisung, die Sie „stornieren“ können. Sie bekommen eine TAN – angeblich zur Stornierung. Tatsächlich autorisiert die TAN eine Überweisung der Täter.

Falsche Polizisten / Enkeltrick 2.0: Jemand ruft als Polizist an und warnt vor Einbrechern in der Nachbarschaft. Wertsachen „müssten gesichert“ werden – idealerweise einem „Kollegen“ übergeben. Mit KI-Stimmimitation werden inzwischen auch bekannte Stimmen imitiert: „Opa, ich bin’s, ich hatte einen Unfall, schicke mir schnell Geld“.

Paket-/Zoll-Anruf: „Ihr Paket wartet beim Zoll. Zur Freigabe benötigen wir Ihre Zahlungsdaten.“ Oft als automatische Computerstimme, manchmal übergibt es dann an einen „Sachbearbeiter“.

Amazon-Rückerstattung: „Wir haben Ihnen versehentlich 800 € überwiesen, bitte überweisen Sie zurück.“ Die Zeit-Unter-Druck-Masche wirkt immer noch zuverlässig.

BSI/BaFin/Finanzamt: Offizielle Behörden werden imitiert – „Ihre Steuererklärung hat ein Problem, bitte bestätigen Sie Ihre IBAN“. Gefährlich, weil viele Behördenkontakt generell als serious empfinden.

Warum „einfach aufläegen“ oft schwerer ist, als gedacht

Jede Anti-Betrug-Broschuere sagt: Auflegen. Das stimmt, aber in der Hitze des Gesprächs ist es schwieriger als es klingt. Das liegt an mehreren Mechanismen:

Autoritätseffekt. Jemand gibt sich als Polizist, Bankmitarbeiter, Behörde aus. Wer in einer Stressituation mit Autorität konfrontiert ist, widerspricht selten – besonders ältere Menschen, die mit gewissem Respekt vor Amtsträgern aufgewachsen sind.

Zeitdruck. Die Täter bauen sofort Dringlichkeit auf: „Ihre Konten werden in 10 Minuten gesperrt“, „Der Polizist wartet schon vor Ihrer Tür“. Das blockiert rationales Denken.

Angst vor Peinlichkeit. Wer einmal länger dran bleibt und dann doch merkt „das ist nicht echt“, schaut nicht gern zweimal hin – und traut sich nicht, Kinder oder Freunde um Rat zu fragen. Die Täter wissen das.

KI-imitierte Stimmen. Mit einer Sprachaufnahme von wenigen Sekunden lässt sich heute die Stimme des Enkels, der Tochter, des Chefs überzeugend imitieren. Das klingt vertraut, auch wenn die Formulierung seltsam ist.

Deepfake-Telefonate in Unternehmen. Vishing wird auch b2b genutzt: CFO bekommt Anruf vom „CEO“ mit Anweisung zu einer Eilüberweisung. Fake Presidents nennen das die Sicherheitsforscher.

Nummern-Spoofing. Im Display erscheint die Nummer Ihrer Hausbank – obwohl der Anruf aus dem Ausland kommt. Die Technik ist trivial, die Wirkung enorm.

Multi-Stage-Angriffe. Erst ein kurzer Anruf vom „Paketdienst“, dann eine bestätigende SMS, dann der Hauptangriff per Anruf am nächsten Tag. Drei Kontakte erhöhen die Glaubwürdigkeit massiv.

Die vollständige Checkliste

1. Wenn ein Anruf „dringend Handeln“ verlangt: Das ist immer ein Warnsignal. Echte Behoerden und Banken setzen keine Fristen von Minuten.

2. Niemals Software installieren, auf Anweisung eines Anrufers. Kein AnyDesk, TeamViewer, RustDesk, UltraViewer – egal, wer angeblich dran ist.

3. Niemals Zugangsdaten, TANs oder Kreditkartennummern am Telefon preisgeben. Auch nicht in Teilen. Banken fragen nicht nach Passwörtern.

4. Auflegen und zurückrufen – aber über eine offizielle Nummer, die Sie selbst recherchiert haben. Nicht die Rückruffunktion des Telefons nutzen. Die Nummer im Anruf kann gefälscht sein.

5. Bei Verwandten-Anrufen („Ich bin’s, hatte einen Unfall“): Nach Details fragen, die nur die echte Person wissen kann – Spitznamen, Details aus dem letzten Treffen. KI-Stimmen sind gut, aber nicht allwissend.

6. Wenn es um Zahlungen geht: Niemals Bargeld übergeben oder auf Konten überweisen, die Sie nicht kennen. Auch keine Geschenkgutscheine (Steam, Amazon, iTunes) – eine beliebte Täter-Masche.

7. Wenn Sie bereits eine Fernwartungssoftware installiert haben: Computer sofort vom Internet trennen (LAN-Kabel raus / WLAN aus). Programm deinstallieren, oder PC nicht mehr benutzen, bis ein Fachmann ihn geprüft hat.

8. Bei erfolgtem Finanzschaden: Bank sofort informieren (Sperre), Anzeige bei der Polizei, Kreditkarten sperren lassen. Jede Stunde zählt.

9. Anruf melden: Bundesnetzagentur (Beschwerdeformular auf bundesnetzagentur.de), Polizei. Auch ohne Schaden – das hilft der Ermittlung.

Wann Sie das selbst schaffen – und wann nicht

Auflegen und nicht mehr antworten: Das schafft jeder, der klar denkt. Die meisten Vishing-Angriffe scheitern beim ersten „Wer sind Sie?“ – wenn Sie konsequent bleiben.

Schwieriger wird es, wenn Sie schon im Gespräch drin sind und nicht sicher sind, ob der Anruf echt ist. In diesem Moment macht die Psychologie der Anrufer ihre Arbeit: Sie bleiben freundlich, geben Ihnen Kontrolle zurück, scheinen plausibel. Dann ist die Versuchung groß, „kurz zu kooperieren“.

Richtig ernst wird es, wenn Sie bereits etwas gemacht haben – eine Software installiert, Zugangsdaten gesagt, eine TAN weitergegeben. Ab hier geht es nicht mehr um Erkennung, sondern um Schadensbegrenzung. Was Sie jetzt tun – erstens Gerät isolieren, zweitens Konten sperren, drittens Nachweise sichern – entscheidet, ob 500 € oder 50.000 € verloren gehen. Das sollte ein Profi mit Erfahrung übernehmen, weil die Reihenfolge der Schritte zählt.

So beugen Sie vor

Erstens: Sensibilisierung in der Familie. Gerade ältere Angehörige brauchen klare Merksätze: „Bank ruft nie an und fragt nach TAN.“ „Polizei holt keine Wertsachen ab.“ „Enkel fragen nicht per Anruf nach Geld.“

Zweitens: Eine Code-Phrase zwischen Familienmitgliedern vereinbaren. Ein Wort, das nur die echte Familie kennt – und das bei ungewöhnlichen Anrufen abgefragt wird. „Wie hieß der Hund damals?“ funktioniert.

Drittens: Anrufer-ID-Apps nutzen (Truecaller, Hiya) – sie kennen bereits tausende Betrügernummern und zeigen „Verdächtig“ an, bevor Sie abnehmen.

Viertens: Wichtige Nummern (Bank, Polizei-Wache, Hausarzt) einmal sauber im Telefonbuch speichern. Im Zweifel rufen Sie dort an – nicht der Anrufer bei Ihnen.

Häufig gestellte Fragen

Kann man Vishing-Anrufer anhand der Stimme erkennen?

Immer schwieriger. KI-Stimmen klingen heute nahezu perfekt, sogar im Deutsch mit regionaler Färbung. Verlassen Sie sich nie auf die Stimme allein. Prüfen Sie Inhalt, Kontext und Dringlichkeit.

Darf ich einen Vishing-Anrufer einfach hinhalten?

Grundsätzlich schon, aber es bringt wenig und kann Risiken erhöhen, wenn die Gegenseite persönliche Infos bekommt. Besser: direkt aufläegen und melden.

Mein Computer wurde fernbedient. Was jetzt?

Sofort vom Netz trennen (LAN raus, WLAN aus). Nicht mehr anmelden, keine Bankgeschäfte. Bank und Polizei informieren. Gerät vor weiterer Nutzung von einer Fachperson prüfen lassen – möglicherweise ist eine Hintertür installiert.