Mittlerweile ist jeder neunte Internetnutzer in Deutschland von Cyberkriminalität betroffen – ein Anstieg von sieben auf elf Prozent innerhalb eines Jahres. Das zeigt der aktuelle Cybersicherheitsmonitor 2026, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit der Polizeilichen Kriminalprävention vorstellte.
Besonders alarmierend: Rund 88 Prozent der Betroffenen meldeten einen Schaden. Ein Drittel erlitt direkte finanzielle Verluste.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Kriminelle industrialisieren den Betrug mit KI
Tätergruppen professionalisieren sich rasant – und setzen dabei massiv auf künstliche Intelligenz. KI-gestützte Werkzeuge überwinden Sprachbarrieren und ermöglichen Phishing-Kampagnen in bisher ungekannter Qualität und frequenz. Über 50 Prozent der Verbraucher sehen sich monatlich mit Betrugsversuchen konfrontiert.
Die weltweiten Schäden beziffert die Global Anti-Scam Alliance (GASA) auf rund 442 Milliarden Euro.
Smishing und Quishing: Neue Maschen im Aufwind
Ein zentraler Treiber ist das sogenannte Smishing – Phishing-Versuche via SMS oder Messenger. Im ersten Quartal 2026 verzeichneten Sicherheitsforscher rund 8,3 Milliarden Phishing-Versuche weltweit. Besonders perfide: Täter fahren mit sogenannten SMS-Blastern durch Wohngebiete und fangen Handysignale ab.
Erst vor wenigen Tagen nahm die Schweizer Polizei einen 28-Jährigen fest, der im Tessin und in Zürich mit einem solchen Gerät unterwegs war. Er fing die Signale von rund 50.000 Mobiltelefonen ab und verschickte betrügerische Nachrichten im Namen von Paketdiensten wie der Post oder DPD.
Auch Quishing – die Kombination von QR-Codes und Phishing – nimmt massiv zu. Im März 2026 stiegen derartige Angriffe um 146 Prozent auf 18 Millionen Fälle. Die Verbraucherzentrale NRW warnt aktuell vor gefälschten Zahlungsaufforderungen für den Rundfunkbeitrag, manipulierten Elster-IBAN-Bestätigungen und betrügerischen Bußgeldbescheiden.
Die häufigsten Delikte: Betrug beim Onlineshopping (22 Prozent), Fremdzugriffe auf Online-Accounts (14 Prozent) und Onlinebanking-Betrug (13 Prozent).
Mobile Banking im Visier: Trojaner umgehen Sicherheitsbarrieren
Smartphones stehen im Fokus der organisierten Kriminalität – sie sind zur zentralen Schnittstelle für Finanztransaktionen geworden. Der Schaden durch mobile Cyberkriminalität wird für 2026 auf rund 21 Milliarden US-Dollar geschätzt. Immer komplexere Trojaner umgehen Sicherheitsmechanismen wie die Zwei-Faktor-Authentisierung (2FA).
Im deutschen Raum gelten drei Android-Banking-Trojaner als besonders gefährlich:
Anatsa (TeaBot): Tarnt sich in scheinbar harmlosen Apps im Google Play Store und nimmt gezielt über 400 verschiedene Banking-Anwendungen ins Visier.
Crocodilus: Ermöglicht eine komplette Fernsteuerung des Smartphones. Die Malware nutzt sogenannte Blackscreen-Attacken, um Nutzeraktivitäten zu verschleiern, während im Hintergrund Transaktionen stattfinden.
Hook: Kann auf über 600 verschiedene Apps zugreifen und nutzt intensiv die Bedienungshilfen von Android-Geräten, um Daten abzugreifen.
Besondere Aufmerksamkeit erregte die Entdeckung der Malware „TrickMo.C“. Sie nutzt für ihre Kommunikation mit Befehlsservern das dezentrale Netzwerk der TON-Blockchain. Die Software zeichnet Tastatureingaben auf, fängt SMS ab und missbraucht infizierte Geräte als Netzwerk-Knotenpunkte für weitere Angriffe.
Auch im offiziellen Google Play Store schlugen Sicherheitsforscher Alarm: Die App-Reihe „CallPhantom“ verzeichnete über 7,3 Millionen Downloads. Die Apps täuschten Zugriff auf Anrufdaten vor, dienten jedoch primär dazu, unberechtigte Zahlungen über Google Pay zu initiieren.
Psychologische Kriegsführung: Wenn Betrüger Vertrauen erschleichen
Trotz des technologischen Wettrüstens bleibt der Faktor Mensch die größte Schwachstelle. Social Engineering – die psychologische Manipulation – wird oft mit technischem Betrug kombiniert.
Ein aktueller Fall aus der Lutherstadt Eisleben verdeutlicht die Hartnäckigkeit der Täter: Eine 78-jährige Seniorin wurde innerhalb kurzer Zeit gleich zweimal Opfer. Die Betrüger gaben sich als Bankmitarbeiter aus und erlangten Zugriff auf Transaktionsnummern. Selbst nach einer Kontosperrung gelang es ihnen nach der Wiederfreigabe erneut zuzuschlagen – und einen fünfstelligen Betrag ins Ausland zu überweisen.
Auch Prominente bleiben nicht verschont. Moderatorin Amira Aly berichtete über einen Vorfall, bei dem sie nach einer gefälschten SMS über eine angebliche Kreditkartenzahlung von einem vermeintlichen Bankmitarbeiter kontaktiert wurde. Unter dem Vorwand, Geld auf einen „Sicherheitsfonds“ zu transferieren, tätigte sie eine Überweisung auf ein fremdes Konto.
In Bielefeld nutzten Täter eine Fernzugriffssoftware, um einen 90-jährigen Mann um einen fünfstelligen Betrag zu bringen – nachdem sie ihm zuvor einen Gewinn von 20.000 Euro in Aussicht gestellt hatten.
Internationale Trends zeigen zudem, dass Kriminelle kulturelle Gegebenheiten ausnutzen. In Indien verbreitete sich Malware über gefälschte Hochzeitseinladungen, die als APK-Dateien via WhatsApp versendet wurden. Beim Öffnen installierte sich der Trojaner „SpyMax RAT“, der Fernzugriff auf das Gerät gewährte und Bankkonten plünderte.
Wirtschaftliche Schäden: Milliardenverluste und neue Haftungsrisiken
Die wirtschaftlichen Auswirkungen sind massiv. Neben den direkten Verlusten der Verbraucher geraten auch Finanzinstitute unter Druck. Das Landgericht Berlin II entschied kürzlich, dass die Apobank für einen Phishing-Schaden von über 200.000 Euro haften muss – ein richtungsweisendes Urteil, das die wachsende Verantwortung der Anbieter unterstreicht.
BSI-Präsidentin Claudia Plattner fordert angesichts der neuen Zahlen eine einfachere Handhabung von Sicherheitsmaßnahmen. Laut Studie fühlen sich 25 Prozent der Nutzer mit den aktuellen Schutzvorkehrungen überfordert. 27 Prozent schätzen ihr persönliches Risiko fälschlicherweise als zu gering ein. Nur rund 14 Prozent informieren sich regelmäßig aktiv über Sicherheitsrisiken.
Plattner fordert eine stärkere Herstellerverantwortung: Sicherheit müsse bereits im Design von Produkten verankert sein.
Für Unternehmen stellt zudem die langfristige Bedrohung durch Quantencomputer eine Herausforderung dar. Das BSI empfiehlt bereits jetzt die Umstellung auf quantenresistente Kryptografie (PQC). Bis 2031 sollte die Umstellung abgeschlossen sein.
Gefährliche Lücke: Wahrnehmung und Realität klaffen auseinander
Die Daten verdeutlichen eine gefährliche Diskrepanz. 84 Prozent der Menschen geben an, Angst vor KI-gestütztem Betrug zu haben. Gleichzeitig nutzen nur rund 55 Prozent starke Passwörter oder aktuelle Antivirenprogramme. Diese Lücke zwischen Problembewusstsein und proaktivem Handeln bietet Kriminelle weiterhin weitreichende Angriffsflächen.
Millionen Android-Nutzer sind täglich Hackern schutzlos ausgeliefert – ohne es zu wissen. Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle. Dieser kostenlose Report zeigt, wie Sie Sicherheitslücken schließen. Kostenlosen Android-Sicherheitsratgeber herunterladen
Hinzu kommt eine hohe Dunkelziffer: Viele Opfer verzichten aus Scham oder Unkenntnis über die Meldewege auf eine Anzeige. Ein Fall aus São Paulo macht deutlich, wie schnell Schutzmechanismen versagen können: Ein portugiesisches Rentnerpaar verlor nach einem Handyraub innerhalb von nur 36 Minuten 30.000 Euro durch 14 unautorisierte Transaktionen.
Ausblick: Neue Schutzmechanismen und regulatorische Impulse
Für die kommenden Monate zeichnen sich technologische Neuerungen ab. Apple hat mit iOS 26.5 bereits rund 50 Sicherheitslücken geschlossen. Google treibt die Einführung einer „Cloud Fraud Defence“ voran. Besonders hohe Erwartungen liegen auf Android 17, das im Juni 2026 erscheinen soll – mit neuen nativen Schutzmechanismen gegen Malware-Zugriffe auf sensible Systemressourcen.
Experten raten zu grundlegenden Schutzmaßnahmen: Fernzugriffsoptionen für Unbekannte deaktivieren, App-Berechtigungen kritisch prüfen und Kommunikation strikt von Transaktionsfreigaben trennen. Angesichts der Industrialisierung des Betrugs wird individuelle Wachsamkeit in Kombination mit automatisierten Schutzsystemen zum entscheidenden Faktor.
