Künstliche Intelligenz und automatisierte Angriffsmodelle treiben die Cyberkriminalität auf ein neues Niveau – mit verheerenden Folgen für Unternehmen und Verbraucher.
Phishing-as-a-Service: Angriffe von der Stange
Der Markt für digitale Erpressung ist industrialisiert. Laut dem aktuellen Email Threats Report entfällt fast die Hälfte aller bösartigen E-Mails auf Phishing. Besonders alarmierend: 90 Prozent der Massenkampagnen nutzen inzwischen sogenannte Phishing-as-a-Service-Modelle (PhaaS). Kriminelle mieten sich quasi in fertige Angriffsplattformen ein – ohne eigene technische Expertise.
Die Täter setzen zunehmend auf visuelle Fallen. Rund 70 Prozent aller schädlichen PDF-Anhänge enthalten mittlerweile QR-Codes, die zu betrügerischen Seiten führen. Dieser „Quishing“-Trend umgeht klassische Textfilter. Gleichzeitig produziert generative KI Nachrichten mit perfekter Rechtschreibung und täuschend echter Dringlichkeit.
Da Kriminelle immer raffiniertere Methoden wie Quishing und KI-generierte Nachrichten einsetzen, wird der wirksame Schutz vor Betrugsversuchen zur geschäftskritischen Aufgabe. Dieses kostenlose Anti-Phishing-Paket hilft Ihnen, aktuelle Manipulationstaktiken frühzeitig zu erkennen und abzuwehren. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Die Behörden schlagen Alarm. In den USA warnte die Verkehrsbehörde von Oregon vor einer landesweiten Welle gefälschter SMS und E-Mails, die angeblich von der Kfz-Zulassungsstelle stammen. Die KI-generierten Texte fordern Zahlungen für angebliche Mautgebühren oder Verkehrsstrafen – und sind kaum noch von echten Schreiben zu unterscheiden.
Wirtschaftlicher Schaden verdoppelt sich
Die finanziellen Folgen sind immens. Eine Studie von F-Secure zeigt: 56 Prozent der Verbraucher werden monatlich mit Betrugsversuchen konfrontiert. Die Verluste haben sich verdoppelt, 52 Prozent der Geschädigten büßten tatsächlich Geld ein. Allein in den USA wurden im vergangenen Jahr fast 40 Millionen Menschen Opfer von Cyberkriminalität.
Besonders betroffen: ältere Menschen. Rund 60 Prozent der Opfer zwischen 65 und 74 Jahren erlitten finanzielle Einbußen. Die häufigsten Betrugsmaschen sind gefälschte Rechnungen (20 Prozent), Anlagebetrug (19 Prozent) und Bankentäuschungen (11 Prozent).
Da Phishing-Angriffe und gefälschte SMS zunehmend die sensiblen Daten auf dem Smartphone ins Visier nehmen, ist ein gezielter Schutz für mobile Endgeräte unerlässlich. Dieser Gratis-Ratgeber zeigt Ihnen fünf einfache Maßnahmen, um Ihr Android-Gerät gegen Hacker und Datenmissbrauch abzusichern. 5 Schutzmaßnahmen für Android-Smartphones jetzt kostenlos sichern
Auch Deutschland bleibt nicht verschont. Der aktuelle Cybersecurity Monitor des BSI und der Polizeilichen Kriminalprävention (ProPK) verzeichnet einen Anstieg der Cybercrime-Opfer von 7 auf 11 Prozent. Online-Shopping-Betrug und unbefugter Kontozugriff dominieren hierzulande die Statistik. 88 Prozent der betroffenen Deutschen erlitten einen messbaren Schaden.
Bildungseinrichtungen im Visier
Der Fall des Lernplattform-Betreibers Instructure zeigt die Verwundbarkeit kritischer Infrastruktur. Die Hackergruppe ShinyHunters kompromittierte das Canvas-System gleich zweimal – Ende April und Anfang Mai 2026. Die Angreifer nutzten Sicherheitslücken in sogenannten „Free for Teacher“-Konten.
Es handelt sich um einen der größten Datendiebstähle im Bildungssektor. Die Täter erbeuteten zwischen 3,6 und 6,6 Terabyte an Daten – darunter Namen, E-Mail-Adressen und private Nachrichten von schätzungsweise 275 bis 280 Millionen Nutzern. Rund 9.000 Bildungseinrichtungen waren betroffen. Nach dem zweiten Angriff am 7. Mai, bei dem die Angreifer Login-Portale verunstalteten, nahm Instructure die Plattform mitten in der Prüfungsphase vom Netz.
Am heutigen Dienstag bestätigte die Unternehmensführung eine Einigung mit den Erpressern. Die Gruppe habe die gestohlenen Daten zurückgegeben und deren Löschung nachgewiesen. Dennoch wurde die „Free for Teacher“-Funktion vorerst deaktiviert. Der CEO entschuldigte sich öffentlich für die massiven Beeinträchtigungen des Studienbetriebs.
Neue Schadsoftware und raffinierte Täuschung
Die technische Raffinesse der Angreifer wächst. Am 11. Mai identifizierten Sicherheitsforscher einen neuen Wurm namens „Shai-Hulud“ im npm-Paketmanager. Die Schadsoftware, die rund 250.000 Mal monatlich heruntergeladen wird, stiehlt Zugangsdaten für GitHub und Cloud-Dienste wie AWS, GCP und Azure.
Parallel dazu setzen Kriminelle auf ausgefeilte soziale Manipulation. Eine neue Welle von Grußkarten-Betrug täuscht vor, dass Freunde über legitime Dienste wie Paperless Post Einladungen verschicken. Die Empfänger landen auf gefälschten Login-Seiten. Sicherheitsexperten warnen: Diese Angriffe stammen oft von zuvor kompromittierten Konten – der erste Eindruck täuscht daher selbst erfahrene Nutzer.
Eine weitere Masche: Gefälschte Sicherheitswarnungen mit dem Betreff „Ungewöhnliche Spam-Aktivität“. Die Empfänger erhalten eine 24-Stunden-Frist zur erneuten Authentifizierung – und geben ihre Zugangsdaten auf einer Phishing-Seite preis.
Die Kluft zwischen Gefahr und Vorsorge
Die aktuellen Entwicklungen offenbaren ein gefährliches Missverhältnis. 93 Prozent der Verbraucher geben an, dass Cybersicherheit für sie höchste Priorität hat – doch nur 14 Prozent informieren sich regelmäßig über Schutzmaßnahmen. Diese Lücke nutzen Angreifer gezielt aus, etwa durch mehrstufige Attacken: Ein Datendiebstahl wird unmittelbar von einer Phishing-Kampagne gegen die betroffenen Nutzer gefolgt.
Sicherheitsfirmen setzen daher zunehmend auf technische Abwehr statt auf optische Prüfung von E-Mails. Domain-Verifikation und Multi-Faktor-Authentifizierung (MFA) gelten als verlässlicher als jedes Training zur Erkennung von Phishing-Mails.
Regulierung als Antwort
Die Politik reagiert. Die US-amerikanische Federal Communications Commission (FCC) hat im Frühjahr 2026 einen Vorstoß für verbindliche „Know Your Customer“-Regeln (KYC) für VoIP- und Telekommunikationsanbieter vorgelegt. Ziel ist es, illegale Robocalls und SMS-Phishing zu unterbinden, indem Anbieter die Identität ihrer Kunden verifizieren müssen. Der Vorschlag befindet sich derzeit in der öffentlichen Konsultation – eine Umsetzung wäre frühestens in einem Jahr zu erwarten.
Für die zweite Jahreshälfte 2026 zeichnet sich ein klarer Trend ab: weg von reaktiver Erkennung, hin zu proaktiver Identitätsprüfung und Risikomanagement in der Lieferkette. Die Ära des KI-gestützten Massenbetrugs hat gerade erst begonnen.
