**
Die Sicherheitslage im Frühjahr 2026 ist angespannt. Angreifer setzen zunehmend auf Professionalisierung: Statt eigene Schwachstellen zu suchen, missbrauchen sie die Infrastruktur und das Vertrauen in bekannte Marken. Das zeigt sich gleich an mehreren Fronten – von Apples Betriebssystem bis hin zu Hardware-Fehlern in Millionen Smartphones.
Viele iPhone-Nutzer übersehen nach dem Update diese gefährliche Einstellung. Apple-Experte Detlef Meyer erklärt im kostenlosen Ratgeber, wie Sie Ihre Daten mit wenigen Klicks und ohne Fachsprache wirklich schützen. So installieren Sie iOS-Updates sicher
iOS-Update schließt Datenbank-Leck
Am 22. April veröffentlichte Apple die Updates iOS 26.4.2 und iOS 18.7.8. Sie schließen die Sicherheitslücke CVE-2026-28950 im Notification Services Framework. Der Fehler: Gelöschte Nachrichten blieben in Systemprotokollen erhalten – inklusive solcher mit Selbstzerstörungsfunktion.
Bekannt wurde die Lücke durch ein Gerichtsverfahren in Texas. Ermittler hatten forensische Tools genutzt, um gelöschte Signal-Nachrichten aus der Benachrichtigungsdatenbank eines iPhones wiederherzustellen. Signal-Präsidentin Meredith Whittaker machte öffentlich Druck – Apple reagierte mit einer verbesserten Datenbereinigung.
Der Patch steht für Geräte ab dem iPhone 11 sowie diverse iPads bereit. Experten raten zur sofortigen Installation: Die Lücke betrifft nicht nur Strafverfolger, sondern jeden mit physischem Zugriff auf das Gerät.
Phishing aus dem echten Apple-Server
Parallel dazu beobachten Sicherheitsdienstleister eine neue Masche. Seit April nutzen Angreifer Apples eigene Server für Phishing-Kampagnen. Der Trick: Sie erstellen Apple-ID-Konten, hinterlegen betrügerische Texte in Namens- oder Adressfeldern und lösen dann offizielle Sicherheitsbenachrichtigungen aus.
Die Mails kommen von der echten Adresse appleid@id.apple.com – und bestehen sämtliche Prüfverfahren wie SPF, DKIM und DMARC. Inhaltlich wird oft eine teure Bestellung vorgetäuscht, etwa ein iPhone für 899 Dollar. Verunsicherte Nutzer sollen dann eine gefälschte Support-Nummer anrufen.
Der aktuelle „Email Threat Trends Report“ der VIPRE Security Group bestätigt den Trend: Fast 26 Prozent des gesamten Spam-Aufkommens sind Phishing-Versuche. Beim sogenannten Callback-Phishing liegt der Anteil bei 19 Prozent. Am häufigsten nachgeahmt werden Microsoft (41 Prozent), Apple und PayPal (17 Prozent).
Hardware-Lücke in Millionen Snapdragons
Nicht nur Software, auch Hardware wird zum Sicherheitsrisiko. Kaspersky Lab präsentierte auf der Black Hat Asia 2026 eine Schwachstelle in Qualcomm Snapdragon-Chipsätzen. Die Lücke CVE-2026-25262 sitzt im BootROM und betrifft Serien wie MDM9x07 und SDX50.
Ein Angreifer mit physischem USB-zugriff kann Sicherheitsmechanismen umgehen – und auf Daten, Kamera oder Mikrofon zugreifen. Besonders tückisch: Der Fehler liegt im schreibgeschützten Speicher. Eine vollständige Bereinigung ist oft nur durch physische Trennung der Stromzufuhr möglich.
NFC-Malware mit KI-Unterstützung
ESET entdeckte zudem eine neue Variante der NGate-Malware. Seit November 2025 aktiv in Brasilien, nutzt die Schadsoftware trojanisierte Bezahl-Apps, um NFC-Daten von Kreditkarten und PINs abzugreifen. Die Daten werden auf das Gerät der Angreifer übertragen – kontaktlose Geldabhebungen inklusive.
Forscher vermuten bei dieser Malware KI-generierten Code. Ein weiteres Zeichen für die technologische Aufrüstung der Kriminellen.
Geheimdienst warnt vor größter Bedrohung seit Jahrzehnten
Am 23. April warnte der niederländische Geheimdienst AIVD vor der größten Bedrohungslage für die nationale Sicherheit seit Jahrzehnten. Direktorin Simone Smit nannte Russland (Cyberangriffe) und China (illegale Technologiebeschaffung) als Hauptakteure. APT-Gruppen wie „GopherWhisper“ oder „Mustang Panda“ nehmen gezielt Regierungsinstitutionen in Asien und Europa ins Visier.
Passkeys als neuer Standard
Das britische National Cyber Security Centre (NCSC) empfahl im April offiziell, Passkeys als Standard für die Identitätsprüfung einzuführen. Sie basieren auf kryptografischen Verfahren und sind resistenter gegen Phishing als Passwörter oder Einmal-Codes. Google, eBay und PayPal gelten als Vorreiter. In Großbritannien hat bereits die Hälfte der Google-Nutzer einen Passkey registriert.
Angesichts von Millionen gehackter Konten pro Quartal ist der Wechsel auf moderne Sicherheitsstandards wie Passkeys entscheidend. Dieser kostenlose Report zeigt Ihnen, wie Sie die neue Technologie bei Amazon, Microsoft und WhatsApp sofort einrichten und Passwort-Stress beenden. Passkey-Ratgeber jetzt gratis herunterladen
Der Fall der FBI-Ermittlungen zeigt: Verschlüsselung allein reicht nicht. Wenn Metadaten oder Benachrichtigungsfragmente auf Betriebssystemebene ungeschützt bleiben, ist der Schutz lückenhaft. Citizen Lab wies zudem darauf hin, dass Spionagekampagnen oft über „Ghost“-Firmen agieren, die legitime Zugänge zu Telekommunikations-Infrastrukturen missbrauchen.
Ausblick: Cloud-Dienste als neue Kommandozentralen
Für den weiteren Jahresverlauf erwarten Analysten eine Zunahme von Angriffen, die legitime Cloud-Dienste als Command-and-Control-Infrastruktur nutzen. Die APT-Gruppe „GopherWhisper“ setzt bereits Discord, Slack und Microsoft 365 ein, um ihre Aktivitäten zu tarnen.
Die Botschaft der Experten: Die Herkunft einer E-Mail oder Systembenachrichtigung ist kein verlässliches Vertrauenskriterium mehr. Betriebssysteme sollten sofort aktualisiert, moderne Authentifizierungsstandards eingeführt und unaufgeforderte Kommunikation mit Dringlichkeits-Suggestion kritisch hinterfragt werden.
