Meta verteilt derzeit Updates für diverse WhatsApp-Clients, weil es Angreifern möglich war, ohne Zutun der Nutzer Code einzuschleusen. Die Sicherheitslücke im Messenger nutzt einen Fehler bei der Autorisierung bestimmter iPhones, iPads und macOS-Computer aus, wenn Nachrichten automatisch mit den Geräten synchronisiert werden sollen. Sie ist unter CVE-2025-55177 registriert und kann in Verbindung mit Lücken in den Betriebssystemen der Geräte ausgenutzt werden, um über eine URL eine Spyware zu installieren. Per Klick oder Tipp bestätigen müssen die Nutzer der Apple-Geräte dies nicht (Zero-Click-Angriff).

Die betroffenen Versionen WhatsApp for iOS Version 2.25.21.73 oder älter, WhatsApp Business for iOS Version 2.25.21.78 und WhatsApp for Mac version 2.25.21.78 oder älter sollten umgehend aktualisiert werden. In Verbindung mit der schon bekannten Sicherheitslücke CVE-2025-55177 (EUVD-2025-26214, CVSS 8.0, Risiko „hoch“)kann der Exploit ausgenutzt werden. Die Lücke in den Betriebssystemen betrifft die Bibliothek „Image I/O“ und ermöglicht Einschleusen von ausführbarem Code über manipulierte Bilder. Auch iOS, iPadOS und macOS sollte man daher umgehend auf den neuesten Stand bringen. Wie Meta mitteilt, könnte die Lücke bereits ausgenutzt worden sein.

Laut Donncha Ó Cearbhaill, Chef des Security Lab von Amnesty International, wurde die Lücke auch schon aktiv ausgenutzt. Einige Anwender hätten von WhatsApp Warnmeldungen erhalten, es gäbe Hinweise, dass ihnen eine bösartige Nachricht zugeschickt worden wäre. Dies schreibt der Aktivist auf der Plattform X. Man sei sich nicht sicher, ob das betreffende Gerät erfolgreich kompromittiert worden sei, man empfehle einen vollen Werksreset und künftig stets Betriebssysteme und die WhatsApp-Anwendung aktuell zu halten.

(rop)

Big-Tech-Hersteller bekannter KI-Produkte vermarkten Werkzeuge wie Gemini, DeepSeek, ChatGPT und Co. als Alltagstechnologie. Private Nutzer*innen sollen sie überall und für alle möglichen Zwecke einsetzen können, als Web-Suchmaschine, als Korrekturleserin, als Autorin oder Lern-Assistenz. Ein solches Marketing definiert Menschen als defizitäre Lebewesen, die sich stets optimieren müssen.

Wir haben uns mit Maren Behrensen darüber unterhalten, wie die Werbestrategie der KI-Giganten versucht, unser Menschenbild zu prägen. Behrensen sagt: Wir müssen dem nicht auf den Leim gehen, sondern können als kritisch denkende Personen einen selbstbestimmten, kreativen Umgang mit der Technologie finden. Behrensen lehrt Philosophie an der niederländischen Universität Twente in Enschede und forscht zur technologischen Vermittlung sozialer Realitäten sowie zu Identitätskategorien, Antigenderismus und Populismus.

KI für alle Zwecke

netzpolitik.org: KI ist überall. Was für einen Nutzen verspricht uns die KI-Industrie?

Maren Behrensen: Sie verspricht, dass KI uns im Alltag hilft, uns produktiver macht und wir effizienter arbeiten – oder sie uns sogar heilen kann.

Ein Beispiel sind Therapie-Bots. Die werden auf teils skrupellose Weise vermarktet und geben vor, eine Therapie ersetzen zu können. Realistisch betrachtet sind die meisten dieser Bots nicht nur nutzlos, sondern teils brandgefährlich.

KI soll auch unsere Arbeitswelt revolutionieren, wissenschaftliches Arbeiten unterstützen, menschliche Kommunikation optimieren. Dabei machen sich die Hersteller kaum die Mühe zu zeigen, wie genau sie diese Versprechen einlösen wollen.

Unausweichliche KI

netzpolitik.org: Was hat dieses Marketing für Folgen?

Maren Behrensen: Diese Versprechen rufen eine gesellschaftliche Erwartungshaltung hervor. Das wiederum baut sozialen Druck auf, KI-Produkte zu nutzen und zu kaufen. Denn man will ja nichts versäumen. Dabei geht der Blick dafür verloren, welchen Zweck die Technologie eigentlich erfüllen soll.

Diese Unausweichlichkeitslogik, nach der es alle irgendwie nutzen und sich damit auseinandersetzen müssen, erweitert die Nutzerbasis.

Ein gutes Beispiel sind Universitäten: Dort heißt es, wir könnten gar nicht darum herumkommen, KI in die Lehre oder Forschung zu integrieren. Also werden Taskforces eingerichtet, Fortbildungen angekündigt, Lehrpläne angepasst – obwohl noch gar nicht klar ist, wo und wie genau KI einen echten Nutzen bringt. Das ist weniger eine sachliche Entscheidung als eine durch Marketing erzeugte Dynamik.

netzpolitik.org: Es ist interessant, dass Unternehmer wie OpenAI-Chef Sam Altman es geschafft haben, dass alle über ihr Produkt sprechen, und davon ausgehen, dass Menschen es wie selbstverständlich nutzen. Wissen KI-Unternehmer, wofür Universitäten oder Privatpersonen ihr Produkt einsetzen sollten?

KI für ganz spezifische Zwecke

Maren Behrensen: Ich glaube, das wissen sie häufig nicht. Es gibt natürlich Bereiche, in denen KI einen klaren Nutzen hat – aber das sind meist sehr eng umrissene Felder. Ein Beispiel ist die Astrophysik: Dort gibt es gewaltige Datenmengen – zum Beispiel Millionen Aufnahmen von anderen Galaxien –, die von Menschen unmöglich alle gesichtet werden können. KI kann Muster darin erkennen und Vergleichsarbeit leisten, die Forschung in diesem Umfang überhaupt erst möglich macht.

Ein anderes Beispiel ist die Proteinforschung in der Biologie. KI kann dort Simulationen durchführen, Vorschläge machen und so Prozesse beschleunigen, die sonst Jahre dauern würden. Das ersetzt nicht die Arbeit im Labor, aber es eröffnet neue Kapazitäten.

Muster in großen Datenmengen zu erkennen, das ist ein Anwendungsbereich, in dem KIs dem Menschen klar überlegen sind und für den sie projektspezifisch trainiert werden. Diese Nutzung unterscheidet sich allerdings sehr deutlich davon, wie KI für Privatnutzer vermarktet wird, nämlich als Alltagstechnologie oder Allzwecklösung.

Menschen mit Optimierungsbedarf

netzpolitik.org: Welche Rolle spielt das Nützlichkeitsprinzip in der Vermarktung von KI?

Maren Behrensen: Das Nützlichkeitsprinzip steht im Zentrum der meisten Vermarktungsstrategien. Ein Beispiel ist die Grammarly-Werbung. Sie verspricht: „Wir schreiben dir deine Hausarbeit“ oder „Wir machen deine E-Mails verständlich“. Die Unterstellung ist hier: Der Mensch an sich kann wenig und dann kommt die KI, die aus dem unfähigen Menschen ein optimiertes Wesen macht.

In dieser Logik wird der Mensch wie eine kleine Maschine gesehen, die sich ständig selbst verbessern soll. Sein Wert bemisst sich daran, wie nützlich, effizient oder produktiv er ist.

Das zeigt sich auch besonders bei Tools wie Kalender- oder Gesundheits-Apps, wo es heißt: „Mit KI bringst du endlich Ordnung in dein Leben.“

netzpolitik.org: Was genau ist daran problematisch?

Die Mensch-Maschine

Maren Behrensen: Das ist ein sehr reduziertes Menschenbild. Es blendet vieles aus, was menschliches Leben eigentlich ausmacht – Beziehungen, Kreativität, auch einfach das Recht, einmal nicht effizient zu sein.

Das KI-Marketing versteht Menschen als Maschinen unter anderen Maschinen.

netzpolitik.org: Menschen als Maschinen zu verstehen – gibt es dafür Vorläufer in der Philosophiegeschichte?

Maren Behrensen: Es erinnert an René Descartes, ein französischer Philosoph der frühen Neuzeit, wobei er nicht den Menschen, sondern lediglich Tiere als Maschinen betrachtet hat. Daneben gibt es materialistische Philosophien. Sie brechen den Menschen auf seine Existenz als Körper herunter, der bestimmte Dinge braucht: Nahrungsmittel, Schlaf und so weiter. In der Regel versuchen sie, auch das Gefühlsleben des Menschen – oder das, was man vielleicht theologisch verbrämt Seelenleben nennen würde – auf rein materielle Fragen zu reduzieren.

Dem etwas überspitzten Ausdruck Mensch-Maschine-Denken kommt aber wohl der Behaviorismus in der Psychologie am nächsten. Da gibt es auch unterschiedliche Denkschulen, aber der Grundgedanke ist: Menschliches Verhalten ist auf Input und Output ausgerichtet. Menschliches Verhalten wird durch äußere Reize bestimmt. Die Idee dahinter ist, dass man Menschen quasi programmieren kann, wenn man die richtigen Inputs kennt. Dieses Denken wurde unter anderem auf Kindererziehung angewendet.

Nützlichkeitsprinzip auf die Spitze getrieben

netzpolitik.org: Eine Facette des Nützlichkeitsprinzips im KI-Marketing sind Philosophien, denen bekannte KI-Player anhängen, ein Beispiel ist der Longtermismus. Er steht in der Tradition des Utilitarismus, einer Art Nützlichkeitsethik. Was besagt er?

Maren Behrensen: Der Longtermismus argumentiert in etwa so: Menschliches Leben oder auch positive Erfahrungen, die Menschen im Laufe eines Lebens machen können, haben einen bestimmten intrinsischen Wert. Daher steigert sich dieser Wert umso mehr, je mehr Menschen es gibt.

Hinzu kommt die Vorstellung, dass wir es durch eine technologisch vermittelte Zukunft schaffen, uns über die Galaxie auszubreiten. Damit würden irgendwann die natürlichen Grenzen dafür wegfallen, wie viele menschliche Leben zeitgleich existieren können. Im Moment müssen wir davon ausgehen, dass es eine solche Grenze auf der Erde gibt, dass also nicht beliebig viele Menschen auf der Erde leben können.

Daneben müssen wir dafür sorgen, dass nicht irgendein katastrophales Ereignis uns alle gleichzeitig auslöscht.

netzpolitik.org: Menschliches Leben in der Zukunft schützen zu wollen, klingt doch eigentlich ganz gut.

Maren Behrensen: Mein größtes Problem mit der Argumentation des Longtermismus ist, dass es menschliche Bedürfnisse hier und jetzt vollkommen vernachlässigt, auf eine meines Erachtens völlig fahrlässige Weise. Longtermisten formulieren Zukunftsversprechen, von denen völlig unklar ist, ob sie jemals so eintreten.

Moralische Katastrophen kann der Longtermismus nicht einordnen. Ein Genozid oder eine schwere Epidemie, die viele Menschen tötet, wäre im Longtermismus nicht weiter erwähnenswert, solange die Menschheit als solche weiter besteht. Er abstrahiert völlig von den Bedürfnissen und der Not der jetzt lebenden Menschen.

netzpolitik.org: Wie kommen Menschen als Maschinenwesen ins Spiel?

Maren Behrensen: Manche Longtermisten träumen davon, dass wir irgendwann gar nicht mehr als körperliche Wesen existieren, sondern einfach als virtuelle Wesen in einer Cloud. Wenn es so käme, dann würden damit viele Bedürfnisse wegfallen, die Menschen als körperliche Wesen haben. Schlaf oder Essen wären wahrscheinlich obsolet.

netzpolitik.org: Ist das für uns als Nutzer*innen der Technologie ein Problem, dass viele KI-Hersteller uns als potenzielle Maschinenwesen verstehen?

Maren Behrensen: Zum einen zeigt sich in der longtermistischen Ideologie ein entwürdigender, oft rassistischer, sexistischer und ableistischer Blick auf Menschen. Wenn Menschen, die einer solchen Ideologie anhängen, uns nicht nur ihre Produkte verkaufen, sondern ihren Reichtum auch dazu nutzen, direkten politischen Einfluss auszuüben, wie das etwa Peter Thiel und Elon Musk in der USA tun – dann droht gleichzeitig ein faschistoider Umbau der politischen Verhältnisse.

Die Angst des Philosophen

netzpolitik.org: Wie wirkt sich das aus, wenn Nutzer*innen dem Marketing von der KI als Alleskönner auf den Leim gehen?

Maren Behrensen: Es schürt falsche Erwartungen. Menschen missverstehen ChatGPT zum Beispiel als ein Programm, das direkt Informationen liefern kann. Das ist eine falsche Annahme.

Wenn man das Missverständnis von KI als Suchmaschine ins Gesellschaftliche weiterdenkt, dann landet man bei dem, was man als die Angst des Philosophen beschreiben könnte: Menschen lassen ChatGPT für sich denken. Aber ChatGPT macht kritisches Denken nicht automatisch obsolet.

Das Ganze erinnert an das Taschenrechner-Problem: Als der Taschenrechner in die Klassenzimmer kam, gab es auch diese Sorge, dass man den jungen Menschen Mathematik nicht mehr vermitteln kann. Doch einen Taschenrechner kann ich erst dann sinnvoll und effizient nutzen, wenn ich schon Ahnung von Mathe habe, und wenn ich weiß, welche Probleme ich mit ihm lösen soll. ChatGPT und andere KI-Tools kann ich auch dann gewinnbringender nutzen, wenn ich eine klare Vorstellung davon habe, was ich erfragen oder erreichen will.

netzpolitik.org: Das heißt, die Sorge ist unbegründet?

Maren Behrensen: Ich halte die Sorge für übertrieben. Sie sagt mehr über die Menschen aus, die KI als alternativlose Allzwecklösung anpreisen und gleichzeitig von einem radikalen Umbau der Gesellschaft fantasieren. Faschisten käme es sehr gelegen, wenn KI das kritische Denken ersetzen würde – aber das heißt nicht, dass jegliche Nutzung von KI einer Aufgabe des Denkens gleichkommt.

Nutzer*innen widersetzen sich Marketing

Umso interessanter ist es, dass viele Menschen KI-Systeme auf eine Weise nutzen, die sich dem Nützlichkeitsprinzip widersetzt. Ich denke hier insbesondere an eine Form der Nutzung, die KI als eine Art Dialogpartnerin begreift – als interaktives Tagebuch oder Hilfe beim Sortieren von Gedanken oder Routinen.

Natürlich kann auch das gefährlich sein: wenn jemand sich durch den Umgang mit KI weiter in Wahnvorstellungen hineinsteigert. Aber wenn Menschen KIs als Dialogpartnerin behandeln, wählen sie eine andere Herangehensweise als die der reinen Selbstoptimierung durch den Umgang mit einem Werkzeug.

Und das finde ich spannend: Was kann eigentlich menschliche Kreativität aus und mit diesem Ding machen? Das meine ich wertneutral, aber es zeigt meines Erachtens, dass Menschen einen kreativen Zugang zu KI haben, der über die Marketingnarrative „kann alles“, „weiß alles“, „ist eh unausweichlich“ oder „kann alles besser als du“ hinausgeht.

Wenn nur noch der Chatbot zuhört

netzpolitik.org: Was sind die Risiken, wenn Menschen KI-Tools unreflektiert nutzen?

Maren Behrensen: Wenn sie beispielsweise ChatGPT als Gesprächspartner*innen und als echte Person wahrnehmen oder den Output des Programms unhinterfragt glauben, birgt das die Gefahr, Illusionen zu verstärken. Es zeigt aber auch: Es gibt viele Menschen, die sich sonst nicht gehört fühlen – und die dieses Zuhören nun in der Maschine finden.

Das kann wie gesagt gefährlich sein: In den USA beginnt gerade ein Rechtsstreit gegen OpenAI, in dem es darum gehen wird, ob ChatGPT einen jungen Menschen in den Suizid getrieben hat.

Chatbots imitieren Sprachhandeln

netzpolitik.org: Wie kommt es zu dieser Dynamik?

Maren Behrensen: Chatbots sind nicht auf Wahrheitssuche ausgelegt, sondern darauf, menschliches Sprachhandeln zu imitieren. Das hat oft wenig damit zu tun, Argumente oder Evidenz auszutauschen und kritisch zu hinterfragen. Vielmehr geht es darum, einen Konsens herzustellen, einen gemeinsamen Entschluss zu fassen oder gemeinsame Glaubenssätze zu formulieren.

Je besser Chatbots darin werden, menschliches Sprachhandeln zu imitieren, desto größer wird auch die Gefahr, dass sie als Autorität wahrgenommen werden. Und Autoritäten können toxisch sein, sie können ihre Macht ausnutzen. Dabei unterstelle ich natürlich nicht, dass KI eine Intelligenz wäre, die dies bewusst tut. Aber wie bei toxischen menschlichen Autoritäten gilt: Es liegt an uns, ob wir ihnen diese Macht über uns geben oder nicht.

KI-Programme haben ja keinen Personenstatus, geschweige denn Bewusstsein. Sie fungieren häufig wie Echokammern, ähnlich Social Media, aber eben nicht nur.

Wie kann ein Angreifer einen Mitarbeiter einer großen Firma dazu bewegen, ihm freiwillig geheime Informationen oder Zugang zum Computernetzwerk zu geben? Er ruft in der Firma an, erzählt eine Geschichte und bittet um Hilfe. Ja, genauso einfach funktioniert das. Man behauptet, im IT-Support zu arbeiten und dringend Informationen über das eingesetzte VPN zu benötigen, um ein Problem im Netzwerk zu debuggen. Ein solcher Betrug heißt dann Vishing (von Voice Phishing), und die Geschichte ist der sogenannte Pretext. In einem aktuellen iX-Artikel werden die Details zu diesen Social-Engineering-Angriffen erklärt.

Wer aber tiefer in die Materie einsteigen möchte, bemerkt schnell, dass es im Gegensatz zum klassischen Phishing per E-Mail kaum Beispiele für Vishing-Angriffe gibt. Keine YouTube-Videos. Nichts! Warum? Weil es in den USA und Europa verboten ist, ein Telefonat ohne das Einverständnis beider Gesprächspartner aufzuzeichnen. Was nicht aufgezeichnet ist, kann nicht auf YouTube landen. Für das Verständnis und die Abwehr von Vishing-Attacken ist es jedoch notwendig, sich solche Telefonate einmal anzuhören. Nur so versteht man, wie Angreifer unter anderem mit eingespielten Hintergrundgeräuschen (Tastaturtippen, Call-Center-Rauschen, Durchsagen am Flughafen, weinendes Kind) schnell eine Atmosphäre schaffen, in der ein Anruf so glaubwürdig wirkt, dass man Dinge ausplaudert, die eigentlich vertraulich bleiben sollten.

Vishing-Wettbewerb als Zuschauermagnet

Einmal im Jahr gibt es eine Lösung für dieses Problem: die Vishing Competition im Social Engineering Village auf der Hackerkonferenz Def Con in Las Vegas. Dort konnte man Anfang August die US-amerikanische Crème de la Crème der Social-Engineering-Consultants bei der Arbeit beobachten und die Telefonate live mithören.

Der Wettbewerb erfolgt in verschiedenen Phasen. Die teilnehmenden Teams melden sich Monate vorher an und bekommen ein Angriffsziel (in diesem Jahr waren es Fortune-500-Firmen mit vielen Filialen) zugeteilt. Sie müssen per Open Source Intelligence (OSINT) ihr Ziel analysieren und frei verfügbare Informationen sammeln. So entsteht auch eine Liste mit Telefonnummern. Die OSINT-Arbeit der Teams wird von der dreiköpfigen Jury des Wettbewerbs mit einem Punktesystem bewertet. Diese Punkte fließen in die Endbewertung ein und bestimmen die Reihenfolge im Wettkampf. Das schwächste Team fängt an – ein kleiner Vorteil, da der Wettbewerb an einem Freitag stattfindet und im Laufe des Arbeitstages immer mehr potenzielle Ziele ins Wochenende verschwinden. Anrufe auf privaten Handys sind laut Code of Conduct des Wettbewerbs verboten. Ebenso ist es untersagt, Druck oder Angst als Methode einzusetzen – an diesem Punkt weicht der Wettbewerb stark von der Realität ab.

Die Teilnehmer telefonieren mit Headsets in einer schallisolierten Box und tragen teilweise Kostüme, die zum Pretext passen (etwa eine Pilotenuniform beim Angriff auf eine Fluggesellschaft). Gute Verkleidungen bringen Zusatzpunkte. Das Gespräch wird live über Lautsprecher an die rund 300 Besucher im Raum übertragen. Und es wird strikt darauf geachtet, dass niemand ein Gespräch aufzeichnet. Innerhalb des 22-Minuten-Zeitlimits können beliebig viele Telefonate geführt werden. Die Atmosphäre im Raum ist locker: Jurymitglieder werden von den Teilnehmern scherzhaft mit kleinen Geschenken (meist Süßigkeiten, abgelaufene Gutscheine oder Alkohol) im Vorfeld der Telefonate „bestochen“.

Der Wettbewerb ist bei Def-Con-Besuchern sehr beliebt. Vor dem Einlass reicht die Schlange durch das gesamte dritte Stockwerk des Las Vegas Convention Center West Hall. Der Autor hat sich morgens um 6:30 Uhr angestellt, um beim Start um 9 Uhr sicher einen Platz zu ergattern – und war nicht einmal der Erste. Wer im Laufe des Tages auf die Toilette muss, hat ein Problem: Wer den Raum verlässt, verliert seinen Sitzplatz und muss sich draußen neu anstellen.

OSINT-Vorbereitung extrem wichtig

Insgesamt traten 2025 beim Hauptwettbewerb elf Teams gegeneinander an. Es gab zwar mehr Anmeldungen, aber einige Teams konnten im Vorfeld mit ihrer OSINT-Arbeit nicht überzeugen, und teilweise scheiterte es an Visa-Problemen. Aus der Telefonbox gibt es einen Video-Livefeed auf zwei große Leinwände. Viele Teilnehmer tragen Sport-Pulsmessarmbänder, deren Werte in diesen Livefeed eingeblendet werden. Je nach Sitzplatz kann man auch durch ein kleines Fenster in die Box hineinschauen. Meist ist es sehr still im Raum, doch wenn ein besonders guter Coup gelingt, gibt es lauten Applaus und Jubel. Deshalb hört die Jury die Telefonate über Kopfhörer mit.

Beim Start des Wettbewerbs zeigt sich schnell, wie wichtig gute OSINT-Arbeit ist. Schwache Teams leiden nicht nur unter schlechten Telefonnummern, durch die sie gefühlte Ewigkeiten in Warteschleifen hängen oder direkt auf Mailboxen landen, sondern auch unter mangelhaften Pretexts und fehlender Kenntnis firmenspezifischer Begriffe. Natürlich kann man mal improvisieren, aber die besten Angriffe zeigen, dass sich die Angreifer intensiv mit der Firma beschäftigt hatten. Ein gutes Beispiel: „Hi, hier ist Lisa, Assistant Manager der Filiale 103510, uns ist der Käse ausgegangen. Könnt ihr uns helfen?“ – dieser Pretext passte perfekt zu einer Fast-Food-Kette, in der intern mit Filialnummern kommuniziert wird und Käse regelmäßig ausgeht. Eine andere Angreiferin fand bei der OSINT-Recherche Mitarbeiter-Badges auf Instagram-Posts und konnte daraus Namen und gültige Mitarbeiternummern extrahieren. Mit dieser Nummer konnte sie sich im IVR-Menü der Firma unter falschem Namen authentifizieren.

Falls sich Leser wundern, warum die Opfer die Telefonnummer nicht prüfen: Das bringt wenig, denn eine übertragene Anrufer-ID ist leicht manipulierbar und sollte nie als Identifikationsmechanismus benutzt werden. Aber das wissen die wenigsten – und selbst Profis fallen schon mal auf diesen Trick herein. Gleiches gilt für Stimmen: Es ist heute für Angreifer kein Problem, Stimmen mit Spezialsoftware zu imitieren. Wenn also der eigene Chef vom Handy anruft, ist das keine sichere Authentifizierung.

Immer die gleichen Fragen

Bewertet werden Antworten auf vorher definierte Fragen. Die Teilnehmer sollen unter anderem fragen, ob die Zielperson im Homeoffice oder Büro arbeitet, welches Betriebssystem, welchen Webbrowser, welche Antivirensoftware, welches VPN und welches WLAN verwendet wird. Zusätzlich soll erfragt werden, ob das Login per Multi-Faktor-Authentifizierung (MFA) erfolgt und wie die physischen Sicherheitseinrichtungen aussehen. Benutzen die Firmen Schlüssel oder Keycards? Wie sehen die Mitarbeiter-Badges aus? Gibt es Sicherheitsleute und Überwachungskameras? Sind diese über das Internet einsehbar? Gibt es Hinweisschilder gegen Tailgating (eine unbefugte Person geht hinter einer befugten Person durch die Tür)? Welche Sicherheitsschulungen werden durchgeführt und wie regelmäßig? Wie wird Müll entsorgt?

Die Kirsche auf der Torte ist die Bitte, eine bestimmte Webseite im Browser aufzurufen. Es handelt sich dabei um Test-URLs der Jury, die amüsante Fehlermeldungen erzeugen, die dann vorgelesen werden müssen. In der Realität wäre dies das Einfallstor, um Schadsoftware zu installieren und den Rechner zu übernehmen. Zusätzlich gibt es immer eine Fun-Frage, die vom Publikum per Online-Abstimmung vorgegeben wird, etwa: „Welche Comicfigur würden Sie bei einem Banküberfall als Helfer mitnehmen?“, „Welcher Song sollte gespielt werden, wenn Sie einen Raum betreten?“, „Was ist Ihre Lieblingseissorte?“ oder „Was ist das Schrägste, das Ihnen je jemand erzählt hat?“. Bei der letzten Frage hat der Angerufene sogar Kollegen im Callcenter befragt.

Viele Leser dieses Artikels werden sich fragen, wie man auch nur eine dieser Fragen ohne Authentifizierung einem Fremden am Telefon beantworten kann. Und in etwa 30 Prozent der Telefonate beißen die Teilnehmer auch auf Granit – diese Gespräche enden schnell. Aber die restlichen 70 Prozent sind Diamanten – teils von extremer Reinheit und Größe.

Die Angreifer stellen vor jedem Anruf dem Publikum den Pretext vor. Viele wählen den klassischen Weg und geben sich als Mitarbeiter einer externen IT-Firma aus, die eine Umfrage durchführt. Als Zuschauer greift man sich an den Kopf – dass Menschen auf so etwas hereinfallen, erscheint unglaublich. Aber auch 2025 funktioniert es noch sehr gut. Besonders erfolgreich sind maßgeschneiderte Pretexts. So plante das Team „0xf1sh“ eine große Lieferung und fragte plump, wie man durch die verschlossene Eingangstür kommt, ob Schlüssel oder Badges nötig sind und ob Wachpersonal vor Ort sei. Innerhalb von zwei Minuten wurden sogar die Anzahl und der Zustand der Überwachungskameras (seit drei Wochen offline) erfragt.

Kooperation trotz Schulungen

Als Zuschauer erlebt man einen Mix aus Fremdschämen, ungläubigem Kopfschütteln und Lachtränen. Viele Firmen führen zwar Schulungen zu Phishing und Vishing durch, dennoch folgen Mitarbeiter manchmal der Bitte, eine URL aufzurufen – oder gehen sogar in andere Büros, um fremde Rechner zu nutzen.

Ein Mitarbeiter von Southwest Airlines war anfangs sehr gesprächsbereit. Er arbeitete im Homeoffice und hatte mehrere Schulungen besucht, fühlte sich sicher. Doch nach einigen Fragen merkte er, dass er viel zu offen war – und beendete abrupt das Gespräch. Die Veranstalter vermuteten zunächst einen Maulwurf im Publikum, doch am Folgetag berichtete eine Mitarbeiterin des Southwest-Redteams, dass der Kollege selbst einen Alarm ausgelöst hatte. Er bekam später sogar den Mitschnitt zur Nachbereitung – ein spannendes Gespräch mit der Jury entstand.

Besonders faszinierend waren Telefonate, die zunächst aussichtslos wirkten, sich dann aber zu Goldgruben entwickelten. Manche Angreifer schafften es buchstäblich in der letzten Sekunde, wichtige Punkte zu erzielen. Flexibilität war dabei entscheidend: Ein Team hatte eine Firma mit vielen Filialen als Ziel – die jedoch eine Woche vorher Konkurs anmeldete. Anstatt aufzugeben, nutzte die Angreiferin die Situation: Sie gab sich als externe Beraterin für die Abwicklung aus und konnte mit diesem Pretext sehr erfolgreiche Anrufe führen.

Die Jury hatte 2025 eine Neuerung: Die Anrufer sollten versuchen, einen Bot zu simulieren und gleich zu Beginn erklären, dass es sich um einen automatisierten Anruf handelt. Der Rest des Fragebogens blieb identisch. Überraschenderweise war das sehr erfolgreich: Viele Angerufene stellten keinerlei kritische Rückfragen und arbeiteten sogar mit dem Bot. Manche gaben ihm Befehle wie „Bitte wiederholen“.

Zusätzlich gab es „Cold Calls“ für Amateure aus dem Publikum: Sie mussten zufällig gezogene Fragen beantworten lassen. Auch hier scheiterten einige sofort – etwa, wenn es unglaubwürdig war, dass die IT-Abteilung am Sonntag anruft. Andere plauderten dagegen frei heraus, sodass die fünf Minuten kaum gebraucht wurden.

Telefonangriff per Bot

Ein zukunftsweisender Höhepunkt war der Battle of the Bots am zweiten Tag. Hier mussten Teams Angriffe vollständig mit Bots durchführen – ohne menschliches Eingreifen. Die KI-Agenten führten eigenständig Anrufe über SIP-Software und arbeiteten mit OSINT-Vorbereitung. Das größte Problem war die Latenz: Telefonate sind wie Pingpong. Wenn die Antwort zu lange dauert, wirkt es unnatürlich. Die Verarbeitung durch ASR (Automatic Speech Recognition wie Whisper), LLM und Text-to-Speech dauerte oft mehrere Sekunden. Clevere Teams erklärten dies gleich zu Beginn mit einem Pretext („Wir haben heute VoIP-Probleme, deshalb lange Pausen“). Manche füllten Lücken mit „hmms“. Stimmen mit Akzent funktionierten am besten. Im Code of Conduct ist es verboten, Stimmen realer CEOs zu nutzen – echte Angreifer müssten sich daran natürlich nicht halten. In einem Fall wurde ein Bot beleidigend, in anderen wiederholte er ständig die gleiche Frage. Dennoch zeigte sich klar das enorme Potenzial dieser Methode. Ein Bot schaffte es sogar, das Opfer dazu zu bringen, eine URL aufzurufen – der Worst Case, aber auch ein Beweis für die Machbarkeit.

Wer selbst solche Bots bauen möchte, kann dies mit elevenlabs.io oder der Python-Bibliothek Pipecat ausprobieren.

(fo)