Sicherheitsbehörden und Branchenanalysten zeichnen das Bild einer hochentwickelten Kriminalitätsstruktur, die gezielt Schwachstellen in der menschlichen Kommunikation und technischen Infrastruktur ausnutzt. Besonders im Fokus: Messenger-Dienste wie Signal und WhatsApp sowie manipulierte Unternehmens-Apps.
Signal im Visier: 300 hochrangige Betroffene
Eine koordinierte Phishing-Kampagne gegen Nutzer des verschlüsselten Messengers Signal beschäftigt derzeit Sicherheitsbehörden in ganz Europa. Seit Februar 2026 warnen das BSI und das Bundesamt für Verfassungsschutz vor einer Operation, die mutmaßlich staatlichen Akteuren aus Russland zugeordnet wird.
Messenger-Dienste wie WhatsApp und Signal stehen zunehmend im Fokus von Hackern, die es auf Ihre privaten Daten abgesehen haben. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen solche Zugriffe absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die Angreifer gehen äußerst raffiniert vor. Sie geben sich als offizieller Signal-Support oder vertraute Kontakte aus, um Authentifizierungscodes oder QR-Codes zu erschleichen. Ziel: die vollständige Kontrolle über die Konten der Opfer.
Unter den Betroffenen befinden sich prominente Vertreter der deutschen Politik. Das Konto der Bundestagsabgeordneten Julia Klöckner wurde kompromittiert. Auch gegen Bundeskanzler Friedrich Merz soll es Versuche gegeben haben – diese wurden jedoch nicht bestätigt. Weitere Betroffene: Bauministerin Verena Hubertz (SPD) und Familienministerin Karin Prien (CDU). Insgesamt stehen rund 300 Personen aus Politik, Diplomatie, Militär und Journalismus im Visier der Angreifer.
Die Betreiber von Signal betonen: Die Verschlüsselung der App selbst wurde nicht gehackt. Stattdessen nutzten die Täter klassisches Social Engineering, um Login-Daten zu stehlen und verknüpfte Telefonnummern zu ändern. Der Bundestag prüft als Reaktion einen Wechsel zum europäischen Messenger Wire. Signal kündigte zusätzliche Schutzmaßnahmen an.
SMS-Blaster und manipulierte Push-Benachrichtigungen
Neben der Messenger-Manipulation greifen Kriminelle verstärkt auf hardwarebasierte Angriffsmethoden zurück. In Kanada gelang der Polizei von Toronto ein Schlag gegen ein Netzwerk, das sogenannte SMS-Blaster einsetzte. Die Geräte waren in Fahrzeugen versteckt und simulierten Mobilfunkmasten.
Sie zwangen Handys in der Umgebung, sich mit dem gefälschten Mast zu verbinden. Daraufhin wurden massenhaft betrügerische SMS im Namen von Banken oder Providern versendet. Die Ermittlungen begannen im November 2025 und führten zur Festnahme von drei Verdächtigen im Alter von 21 bis 27 Jahren. Die Geräte verursachten über 13 Millionen Netzwerkstörungen und blockierten zeitweise sogar Notrufe.
Ein weiteres Beispiel für die wachsende Komplexität: eine Masche gegen Kunden des US-Mobilfunkriesen Verizon. Betrügern gelang es, Push-Benachrichtigungen über die offizielle My Verizon-App auszulösen. Den Opfern wurde ein Treueangebot in Form eines hochwertigen Tablets versprochen.
Nachdem das Gerät – ein iPad Pro im Wert von rund 1.500 US-Dollar – tatsächlich geliefert wurde, erhielten die Nutzer die Aufforderung, es aufgrund eines angeblichen Fehlers an eine Adresse in New York zurückzusenden. Ziel der Täter: das Gerät über offizielle Kanäle auf Kosten des Opfers zu bestellen und durch die Umleitung der Rücksendung abzugreifen.
Klassische Passwörter sind bei modernen Angriffen wie Phishing oder SMS-Blastern oft kein ausreichender Schutz mehr für Ihre Online-Konten. Erfahren Sie in diesem Gratis-Report, wie Sie die neue Passkey-Technologie nutzen, um sich bei Diensten wie WhatsApp oder Amazon hacker-sicher anzumelden. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Auch KI-generierte Deepfakes werden immer häufiger eingesetzt. Branchenexperten wie Marc Atkins von Vodafone warnen vor Sprachklonierung bei Betrugsanrufen, bei denen Kriminelle Familienmitglieder oder Vorgesetzte imitieren. Die Anti-Phishing Working Group (APWG) registrierte im zweiten Quartal 2025 einen Rekordwert von über 1,1 Millionen Phishing-Vorfällen.
App-Ökosysteme: 94 Prozent der Android-Apps unsicher
Eine Studie des Sicherheitsunternehmens Quokka unterstreicht die systemischen Risiken im mobilen App-Markt. Für den Bericht wurden rund 150.000 Anwendungen für Android und iOS analysiert. Die Ergebnisse sind alarmierend: 94,3 Prozent der untersuchten Android-Apps und 61,7 Prozent der iOS-Apps verwenden weiterhin unverschlüsselte HTTP-URLs für die Datenübertragung.
Zudem fanden die Forscher in fast jeder zweiten Android-App hartcodierte kryptografische Schlüssel – das macht die Verschlüsselung hinfällig. Besonders kritisch: die Verwendung von Drittanbieter-Komponenten. Bei etwa 11 Prozent der Android-Apps und 13 Prozent der iOS-Apps wurden kritische Sicherheitslücken in diesen Bibliotheken gefunden.
Über 50 Anwendungen enthielten sogar hartcodierte Zugangsdaten für Cloud-Dienste wie Amazon Web Services. Das könnte Angreifern direkten Zugriff auf sensible Unternehmensdaten ermöglichen.
Kürzlich wurde zudem eine kritische Schwachstelle in Apple-Betriebssystemen bekannt. Mit dem Update auf iOS 26.4.2 reagierte der Hersteller auf die Lücke CVE-2026-28950. Diese ermöglichte es Angreifern, bereits gelöschte Benachrichtigungen aus dem Speicher zu rekonstruieren – darunter vertrauliche Chat-Verläufe von Signal. Der Patch steht für Geräte ab dem iPhone 11 zur Verfügung.
Kampf gegen die „Scamdemie“: Milliarden-Schäden und neue Strategien
Angesichts der rasanten Entwicklung fordern Strafverfolger und Politiker neue Strategien. Oberstaatsanwalt Nino Goldbeck von der Zentralstelle Cybercrime Bayern schätzt den jährlichen Schaden durch Online-Betrug in Deutschland auf über 10 Milliarden Euro.
Eine besonders verlustreiche Methode: das sogenannte Pig Butchering. Dabei werden Opfer über Monate hinweg emotional manipuliert, bevor sie hohe Summen in gefälschte Anlageprodukte investieren. Goldbeck sowie Vertreter von Union und Grünen fordern die Einrichtung eines nationalen Anti-Scam-Zentrums nach dem Vorbild von Australien, Kanada oder Singapur.
Erste Erfolge zeigen technische Schutzmaßnahmen auf Provider-Ebene. Vodafone gab bekannt, dass ein Warnsystem bereits 64,5 Millionen Alarme bei potenziellen Betrugsanrufen ausgelöst hat. Nur 14 Prozent der Kunden nehmen einen so markierten Anruf entgegen – bei anonymen Nummern liegt die Annahmequote bei 60 Prozent. Die Deutsche Telekom verzeichnet an Werktagen zwischen 400.000 und 600.000 Betrugsversuche in ihrem Netz.
Sicherheitsberater empfehlen den Umstieg auf modernere Authentifizierungsverfahren. Statt der Zwei-Faktor-Authentisierung via SMS sollten Nutzer auf Passkeys und dedizierte Authentifizierungs-Apps setzen. Unternehmen sollten zudem verstärkt auf DNS-Filter setzen, um den Zugriff auf bekannte Phishing-Domains präventiv zu unterbinden.
Ausblick: KI-Angriffe auf dem Vormarsch
Die Prognosen für die kommenden Monate deuten auf eine weitere Intensivierung der Cyber-Kriminalität hin. Laut FBI beliefen sich die Gesamtschäden durch Internetkriminalität im Jahr 2025 auf rund 21 Milliarden US-Dollar. Besonders der Anstieg bei automatisierten Angriffen durch Phishing-as-a-Service (PhaaS)-Plattformen bereitet Experten Sorge.
Diese Dienste ermöglichen es auch weniger technisch versierten Tätern, großangelegte Kampagnen über SMS, iMessage und RCS zu steuern. Das für Mai 2026 erwartete iOS-Update 26.5 könnte zumindest im Bereich der Messenger-Kommunikation für mehr Sicherheit sorgen – Apple führt die Ende-zu-Ende-Verschlüsselung für den RCS-Standard in einer Beta-Version ein.
Dennoch bleibt die menschliche Komponente das schwächste Glied in der Sicherheitskette. Die zunehmende Qualität von KI-generierten Texten und Stimmen macht es für Endverbraucher wie für professionelle Anwender immer schwieriger, betrügerische Absichten rechtzeitig zu erkennen.
