Haupttreiber ist der massive Einsatz Künstlicher Intelligenz, der Kriminellen eine nie dagewesene Angriffspräzision ermöglicht.
KI als Brandbeschleuniger für Phishing-Wellen
86 Prozent aller Phishing-Aktivitäten sind mittlerweile KI-gesteuert. Täglich werden rund 3,4 Milliarden betrügerische Nachrichten verschickt. Die Technologie erlaubt täuschend echte Imitationen von Banken, Paketdiensten oder Behörden – kaum noch von echter Kommunikation zu unterscheiden.
Angesichts der rasanten Zunahme von KI-gesteuerten Phishing-Angriffen ist ein proaktiver Schutz für Ihr Mobilgerät wichtiger denn je. Ein kostenloser PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort wirksam gegen Hacker und Datenmissbrauch absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Das Modell „Phishing-as-a-Service“ hat sich als dominanter Marktfaktor etabliert. Rund 90 Prozent der Massen-Phishing-Kampagnen laufen über solche Plattformen. Auch technisch weniger versierte Kriminelle können so gegen Gebühr großflächige Angriffe starten.
Ein neuer trend: „Quishing“ – schädliche Links in QR-Codes. Im ersten Quartal 2026 verzeichneten Sicherheitsforscher einen Anstieg um 150 Prozent auf 18 Millionen dokumentierte Fälle. Die Codes werden im öffentlichen Raum platziert, etwa an Parkautomaten oder in der Gastronomie.
Banking-Trojaner auf dem Vormarsch
Die Zahl der Banking-Trojaner-Infektionen stieg im ersten Quartal um 196 Prozent auf rund 1,24 Millionen Fälle. Besonders aggressiv ist der Trojaner „Mamont“ – verantwortlich für mehr als 70 Prozent der Angriffe auf Android-Geräte. Die Schadsoftware greift Anmeldedaten für Finanz-Apps ab und liest Einmalpasswörter aus SMS-Nachrichten mit.
Sicherheitsbehörden beobachten auch regional spezifische Operationen. In Indien stuften Analysten die Kampagne „Cockroach Janta Party“ als kritisch ein. Nutzer werden über Messenger wie WhatsApp zur Installation manipulierter APK-Dateien verleitet. Ähnliche Vorfälle gab es in Vietnam mit einer gefälschten Sozialversicherungs-App.
Auch offizielle App-Marktplätze bleiben nicht verschont. In der Kampagne „Trapdoor“ identifizierten Forscher 455 bösartige Anwendungen im Google Play Store mit über 24 Millionen Downloads. Apple verhinderte im Jahr 2025 durch präventive Maßnahmen Schäden in Höhe von 2,2 Milliarden US-Dollar. Dennoch: In 31 Prozent der Kompromittierungen waren technische Schwachstellen die Hauptursache.
Nicht patchbare Hardware-Lücken
Die Hardware-Ebene rückt in den Fokus. Besonders besorgniserregend: Die Schwachstelle CVE-2026-25262 im Qualcomm BootROM. Der Fehler sitzt tief in der Hardware-Architektur und gilt als nicht patchbar. Betroffene Geräte bleiben dauerhaft einem Risiko ausgesetzt.
Die Betriebssystem-Entwickler reagieren. Google führt mit Android 17 Beta das „Theft Detection Lock“ ein. Sensoren und KI erkennen typische Diebstahl-Bewegungen – etwa das plötzliche Entreißen des Geräts – und sperren das Display sofort. Eine „Live Threat Detection“ soll schädliche App-Aktivitäten in Echtzeit unterbinden.
Apple schloss mit iOS 26.5 Anfang Mai insgesamt 52 Sicherheitslücken, darunter die kritische Schwachstelle CVE-2026-28950. Ein Meilenstein: Das PQ3-Protokoll für Post-Quanten-Kryptografie in TLS und VPN schützt Kommunikation gegen künftige Entschlüsselungsversuche durch Quantencomputer.
Microsoft setzt auf das Ende der klassischen SMS-Zwei-Faktor-Authentifizierung. Das Unternehmen forciert biometrische Passkeys – über fünf Milliarden wurden bereits aktiviert.
Da herkömmliche Passwörter und SMS-Verfahren zunehmend ins Visier von Hackern geraten, bietet die neue Passkey-Technologie eine sichere und passwortlose Alternative. In diesem kostenlosen Report erfahren Sie, wie Sie die sicherere Anmeldung bei Diensten wie WhatsApp oder Amazon in wenigen Minuten einrichten. Gratis-Report zu Passkeys jetzt anfordern
Gesetzliche Weichenstellungen
Der Deutsche Bundestag verabschiedete am 21. Mai das Digital-Identitäts-Gesetz (DIdG). Es bildet die Grundlage für die EUDI-Wallet (European Digital Identity), deren Start für den 2. Januar 2027 geplant ist. Bürger erhalten eine sichere, staatlich verifizierte Möglichkeit, Identitätsnachweise auf dem Smartphone zu speichern.
Der juristische Druck auf Tech-Konzerne wächst. In den USA reichte der Bundesstaat Texas Klage gegen Meta ein. Vorwurf: Das Unternehmen habe Nutzer über die tatsächliche Ende-zu-Ende-Verschlüsselung bei WhatsApp getäuscht.
In Europa reichte die Arbeiterkammer Wien mit 28 Partnerorganisationen Beschwerde gegen Meta, TikTok und Google ein. Die Plattformen kämen ihren Verpflichtungen aus dem Digital Services Act nicht nach – insbesondere bei der Entfernung betrügerischer Finanzwerbung, die monatlich rund 200 Millionen Menschen in Europa erreicht.
Ein Erfolg gelang Interpol: Bei der Operation „FRONTIER+ III“ gab es mehr als 3.000 Festnahmen. Vermögenswerte in Höhe von über 160 Millionen US-Dollar wurden sichergestellt. Ermittler zerschlugen zudem das Botnetz „Kimwolf“, das rund zwei Millionen Android-TV-Geräte für kriminelle Zwecke missbrauchte.
Der Faktor Mensch bleibt die größte Schwachstelle
Die Diskrepanz zwischen Selbstwahrnehmung und tatsächlichem Schutzverhalten ist eklatant. 74 Prozent der deutschen Nutzer halten ihre Passwörter für sicher – doch nur 32 Prozent setzen auf moderne Passkeys. Die Nutzung von Zwei-Faktor-Authentifizierung stagniert bei etwa 25 Prozent.
Kriminelle nutzen dieses Gefälle durch „Hybrid-Attacken“: Physischer Diebstahl kombiniert mit gezieltem Social Engineering. Opfer erhalten kurz nach dem Verlust ihres Smartphones gefälschte Benachrichtigungen, angeblich vom Herstellersupport, die zur Preisgabe von Zugangsdaten auf präparierten Webseiten führen sollen.
Ausblick
Apple bereitet für Anfang Juni die Vorstellung von iOS 27 im Rahmen der WWDC vor. Experten erwarten weitere Sicherheitsintegrationen. Gleichzeitig müssen Unternehmen auf neue Bedrohungen wie „DevilNFC“ oder „BeatBanker“ reagieren, die gezielt kontaktlose Bezahlfunktionen angreifen.
Für Verbraucher bedeutet die Lage eine Abkehr von klassischen Sicherheitskonzepten. Passwörter allein bieten keinen ausreichenden Schutz mehr, SMS-basierte Verfahren werden zunehmend kompromittiert. Der Übergang zu biometrischen Verfahren und hardwaregebundenen Identitäten dürfte alternativlos werden. Die EUDI-Wallet Anfang 2027 gilt als entscheidender Testlauf für staatlich digitalisierte Identitätsmanagement-Systeme.
