Smartphone-Nutzer in Deutschland sind aktuell mit einer nie dagewesenen Welle professioneller Cyberangriffe konfrontiert. Während der globale Handy-Absatz mit 298,5 Millionen Einheiten im ersten Quartal 2026 nur leicht um ein Prozent stieg, explodieren die Schäden durch Online-Betrug. Allein in Deutschland entstand 2025 ein Schaden von rund zehn Milliarden Euro.
Die Täter setzen zunehmend auf Künstliche Intelligenz, um Sicherheitsmechanismen auszuhebeln. Besonders betroffen: Messenger-Dienste und digitale Bezahlvorgänge.
Angesichts der Professionalität neuer Cyberangriffe reicht ein einfacher Virenschutz oft nicht mehr aus, um sensible Daten zu sichern. Dieser kostenlose Ratgeber zeigt Ihnen 5 sofort umsetzbare Maßnahmen, mit denen Sie Ihr Android-Smartphone wirksam gegen Hacker und finanzielle Schäden absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt kostenlos entdecken
WhatsApp-Betrug mit grünem Haken
Sicherheitsforscher warnen vor einer perfiden neuen Masche. Kriminelle nutzen gefälschte WhatsApp-Support-Profile mit nachgeahmtem grünen Verifizierungshaken. Per manipulierte SMS locken sie Nutzer zu einem angeblichen Kundenservice-Bot.
Der gibt vor, eine Sicherheitsprüfung durchzuführen. Die Forderung: einen sechsstelligen Code über die Funktion für verknüpfte Geräte eingeben. Wer das tut, gibt den Angreifern vollen Zugriff auf sein Konto.
Parallel warnt die Verbraucherzentrale vor gefälschten Deutschlandticket-Forderungen. Betrüger verschicken E-Mails im Namen der Deutschen Bahn mit angeblichen SEPA-Problemen. Sie fordern Nachzahlungen – mit Drohungen von bis zu 170 Euro Verzugszinsen und rechtlichen Schritten binnen 48 Stunden.
Die Absenderadressen stammen oft von privaten Anbietern wie Proton-Mail. Offizielle Bahn-Kommunikation sieht anders aus.
Auch im lokalen Umfeld steigen die Fälle. Im Raum Freiburg häufen sich Anrufe falscher Bankmitarbeiter, die EC-Karten und PINs ergaunern. Der Schaden liegt bereits im fünfstelligen Bereich.
KI macht Angriffe gefährlicher
Die Bedrohungslage eskaliert durch Künstliche Intelligenz. Mittlerweile sind 86 Prozent aller Phishing-Angriffe KI-gesteuert. Tools wie „EvilTokens“ ermöglichen automatisierte Device-Code-Phishing-Angriffe im großen Stil.
Allein im April 2026 registrierten Sicherheitsforscher rund sieben Millionen solcher Angriffe auf Microsoft-365-Umgebungen. Die Täter imitieren legitime Login-Seiten, um OAuth-Tokens zu stehlen und die Zwei-Faktor-Authentifizierung zu umgehen.
Ein weiteres Problem: sogenannte SMS-Blaster oder IMSI-Catcher. In Kanada zerschlugen Behörden ein Netzwerk, das mit nachgebauten Mobilfunkmasten in Fahrzeugen Phishing-Nachrichten direkt an Endgeräte schickte. Die Angriffe zwangen Geräte gezielt in unsichere 2G-Netze. In Toronto verursachte das rund 13 Millionen Netzwerkstörungen.
Auch die Hardware-Sicherheit rückt in den Fokus. Kaspersky-Forscher entdeckten im Qualcomm Snapdragon BootROM eine kritische Schwachstelle (CVE-2026-25262). Mit physischem Zugriff können Angreifer ein Gerät in Minuten vollständig übernehmen.
Samsung reagierte Ende April mit einem Notfall-Patch für 47 Sicherheitslücken. Darunter eine Zero-Click-Lücke in Exynos-Modems (CVE-2025-54328), die Angriffe per SMS ohne Nutzerinteraktion ermöglichte.
BSI wird zum digitalen TÜV
Die Politik zieht Konsequenzen. Am 30. April 2026 beschloss das Bundeskabinett den Entwurf zur Umsetzung des EU Cyber Resilience Act. Das BSI wird zur zentralen Marktüberwachungsbehörde ausgebaut – quasi ein digitaler TÜV für vernetzte Produkte.
Ab September 2026 gilt eine Meldepflicht für aktiv ausgenutzte Schwachstellen. Die vollständigen Sicherheitsanforderungen greifen ab Dezember 2027. Das BSI erhält bereits 95 neue Stellen, bis 2029 soll der Aufwuchs auf 141 Stellen steigen.
Auch die US-Fernmeldebehörde FCC verschärft die KYC-Regeln für Telekommunikationsanbieter. In der EU drängt die Kommission auf die Öffnung von Android-Systemen für alternative KI-Dienste – ein Schritt zur Stärkung des Wettbewerbs und der Nutzerautonomie.
Ein kritischer Punkt für Verbraucher: Samsung stellt 2026 die Sicherheitsupdates für ältere Modelle wie die Galaxy S21-Serie, das Note 20 sowie die A52- und A22-Modelle ein. Das betrifft sensible Anwendungen wie Mobile Banking oder die elektronische Patientenakte.
Krankenkassen wie AOK und Techniker Krankenkasse unterstützen ePA-Apps ab Juli 2026 nicht mehr auf Android 13 – Google hatte die Sicherheitspatches dafür bereits im März eingestellt.
Passkeys statt Passwörter
Experten raten zu einem mehrschichtigen Sicherheitskonzept. Der wichtigste Schritt: der Umstieg von Passwörtern auf Passkeys. Diese Public-Key-Verschlüsselung gilt als weitgehend phishing-resistent, weil der private Schlüssel lokal auf dem Gerät bleibt und biometrisch geschützt wird.
Um sich vor der Flut an KI-gesteuerten Hackerangriffen zu schützen, ist der Wechsel auf Passkeys eine der effektivsten Maßnahmen. Dieser kostenlose PDF-Ratgeber erklärt Ihnen Schritt für Schritt, wie Sie die neue, passwortlose Anmeldung sicher und bequem auf all Ihren Geräten einrichten. Jetzt Passkey-Report kostenlos anfordern
Die FIDO Alliance arbeitet an neuen Standards gegen automatisierte KI-Agenten.
Die wichtigsten Tipps der Sicherheitsbehörden:
- Standardpasswörter bei Smart-Home-Geräten sofort ändern
- Ungenutzte Apps regelmäßig löschen
- Links in SMS oder Messengern kritisch prüfen
- Bei Apple-Geräten den Lockdown Mode für gefährdete Nutzer aktivieren
Die Branche reagiert mit tieferer KI-Integration in die Sicherheitsarchitektur. Android 17, das voraussichtlich im Juni 2026 erscheint, soll verdächtige App-Aktivitäten in Echtzeit erkennen. Samsung setzt beim Galaxy S26 Ultra auf eine „Personal Data Engine“ für lokale Datenverarbeitung – weniger Cloud-Abhängigkeit bedeutet weniger Angriffspunkte.
Doch die durchschnittliche Nutzungsdauer von Smartphones liegt bei 4,2 Jahren. Veraltete Softwarestände bleiben ein Dauerrisiko für die digitale Infrastruktur.
