Statt Sicherheitslücken im Code auszunutzen, loggen sich Cyberkriminelle einfach ein – mit gestohlenen Identitäten. Das hat dramatische Folgen für Verbraucher.
Besonders Smartphone-Nutzer stehen im Fadenkreuz. Das mobile Endgerät ist längst zum zentralen Schlüssel für Bankkonten, Job-Kommunikation und persönliche Daten geworden. Genau hier schlagen die Angreifer zu.
Banking, PayPal und private Chats — auf keinem Gerät sind unsere Daten so verwundbar wie auf dem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Jeder vierte Bundesbürger betroffen
Eine Ende April veröffentlichte Schufa-Erhebung zeigt die alarmierende Lage: Mindestens jeder vierte Deutsche ist bereits Opfer von Smartphone-Betrug geworden. Das sind sechs Prozentpunkte mehr als im Vorjahr.
Der wirtschaftliche Schaden ist gewaltig: Rund zehn Milliarden Euro beträgt der Gesamtschaden durch diese Angriffe. Besonders brisant: Bei 58 Prozent der Opfer entstand ein direkter finanzieller Verlust. 13 Prozent der Geschädigten verloren zwischen 1.000 und 10.000 Euro, sechs Prozent sogar mehr als 10.000 Euro.
Analysten führen den Anstieg auf die gestiegene Qualität der Attacken zurück. Knapp 70 Prozent der Verbraucher fühlen sich angesichts der neuen KI-gestützten Methoden zunehmend unsicher. Die Kriminellen nutzen Technologien für täuschend echte Phishing-Kampagnen oder imitieren per Voice-Cloning die Stimmen von Vorgesetzten.
Messenger im Visier
Ein aktueller Schwerpunkt der Angriffe liegt auf weit verbreiteten Diensten wie Signal und WhatsApp. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte zuletzt vor großangelegten Kampagnen zur Kontoübernahme.
Die Täter geben sich als offizieller Support aus und verleiten Nutzer zur Preisgabe ihrer Sicherheits-PIN oder Verifizierungscodes. Sobald die Angreifer diese Daten haben, übernehmen sie die Accounts komplett – inklusive Chatverläufen und Kontaktlisten.
Neben der Manipulation kommen auch technische Infektionen zum Einsatz. Unter dem Namen „Operation NoVoice“ wurde Ende April eine Schadsoftware-Kampagne bekannt, die über den Google Play Store verbreitet wurde. Mehr als 50 Apps infizierten rund 2,3 Millionen Android-Geräte mit einem Rootkit. Der Schadcode injiziert sich in Kommunikations-Apps und übersteht sogar das Zurücksetzen auf Werkseinstellungen.
Besonders tückisch: Die Spyware „Morpheus“ tarnt sich als harmloses System-Update und imitiert nach der Installation die Oberfläche von Messengern, um biometrische Daten abzugreifen.
Apple und Samsung schließen Sicherheitslücken
Die Industrie reagiert mit Notfall-Updates und neuen Sicherheitsmechanismen. Apple und Samsung mussten im Frühjahr mehrere kritische Schwachstellen schließen, die bereits aktiv für Spionage genutzt wurden.
Im Fokus stand die CVE-2026-28950, eine sogenannte „Zero-Click“-Lücke im Kernel. Sie erlaubte Angreifern Zugriff auf sensible Systembereiche – ohne jede Nutzerinteraktion. Apple veröffentlichte die Sicherheitsupdates iOS 26.4.2 und iOS 18.7.8.
Auch Xiaomi kämpft mit Problemen: Im März verbreitete der integrierte MiBrowser gefälschte Nachrichten und Phishing-Links. Der Hersteller reagierte mit einem neuen Verifizierungsmechanismus für Push-Benachrichtigungen.
Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, da Hacker gezielt Sicherheitslücken in älteren Systemversionen ausnutzen. Erfahren Sie in diesem gratis Report, wie Sie durch die richtigen Updates Malware und Datenverlust dauerhaft verhindern. Kostenlosen Android-Update-Guide sichern
Das Ende des Passworts?
Die Erkenntnisse der RSA-Konferenz und aktueller Bedrohungsanalysen von Microsoft und Verizon sind eindeutig: Die Kombination aus Benutzername und Passwort hat als Sicherheitsmerkmal ausgedient.
Die Statistik zeigt: In fast 40 Prozent der Sicherheitsvorfälle war die missbräuchliche Nutzung gültiger Zugangsdaten der erste Schritt der Angreifer. Klassische Software-Schwachstellen oder Brute-Force-Attacken sind dagegen selten geworden.
Der Grund ist simpel: Ein Zero-Day-Exploit kostet Monate Entwicklungszeit – gestohlene Identitäten gibt es auf Schwarzmärkten für wenig Geld. Und selbst die Multifaktor-Authentifizierung (MFA) ist kein Hindernis mehr. Mit „MFA-Fatigue“ zermürben Angreifer ihre Opfer mit Freigabeanfragen, bis sie zustimmen. Oder sie nutzen Fernwartungs-Apps wie AnyDesk für „Screen-Sharing-Betrug“ – vor allem beim mobilen Banking. Das Opfer autorisiert die Transaktion selbst, eine Rückforderung wird fast unmöglich.
Was jetzt hilft
Die Branche setzt auf passwortlose Verfahren und phishing-resistente Technologien. Passkeys auf Basis des FIDO-Standards gelten als wichtigster Schritt. Apple und Samsung haben sie bereits in ihre Betriebssysteme integriert.
Doch Technik allein reicht nicht. Die Kluft zwischen Besorgnis und Handeln bleibt groß: Die meisten Bürger haben Angst vor Identitätsdiebstahl, nutzen aber nur selten physische Sicherheitsschlüssel oder Passwort-Manager.
Experten erwarten, dass KI-basierte Risikoerkennung zum Standard wird. Sie analysiert Verhaltensmuster in Echtzeit und erkennt unbefugte Logins trotz korrekter Zugangsdaten. Für Verbraucher bedeutet das: Sicherheit ist kein einmalig installiertes Produkt, sondern ein kontinuierlicher Prozess. Das Bewusstsein dafür, dass ein Login genauso gefährlich sein kann wie ein Systemabsturz, wird zur entscheidenden Verteidigungslinie im digitalen Alltag 2026.
