Insgesamt 442 Milliarden Euro beträgt der weltweite Schaden – ein neuer Negativrekord.
Banking, PayPal und WhatsApp auf dem Smartphone sind bequem, aber ohne die richtigen Vorkehrungen extrem riskant. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Android-Gerät effektiv vor Hackern und Viren zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Haupttreiber dieser Entwicklung sind spezialisierte Schadsoftware und der zunehmende Einsatz von Künstlicher Intelligenz bei Betrugsversuchen. Besonders alarmierend: Allein im ersten Quartal 2026 stiegen die Fälle von Banking-Trojanern um 196 Prozent auf 1,24 Millionen Vorfälle. Parallel dazu legte „Quishing“ – eine Form des Phishings mit manipulierten QR-Codes – um 150 Prozent zu. Rund 18 Millionen solcher Fälle wurden registriert.
Die großen Tech-Plattformen wie Meta, Google und Microsoft reagieren mit Hochdruck. Ihre Antwort: die nächste Generation von Authentifizierungsstandards.
Der Siegeszug der Passkeys
Fünf Milliarden Passkeys sind weltweit bereits im Einsatz – und die Technologie wird zum zentralen Schutzschild gegen die Flut von Angriffen. Die Bekanntheit liegt bei rund 90 Prozent, drei Viertel der Nutzer haben mindestens einen Passkey für ihre digitalen Konten aktiviert.
Besonders die Finanzbranche treibt die Umstellung voran: 60 Prozent der Fintech-Plattformen setzen bereits auf das kryptografische Verfahren. Die Login-Zeiten konnten dadurch um bis zu 20 Prozent verkürzt werden.
Hinter den Kulissen läuft ein technologischer Umbau auf Hochtouren. Die Branche wechselt vom Sicherheitsstandard FIPS 140-2 auf die fortschrittlichere Version FIPS 140-3. Ein entscheidender Baustein ist das Credential Exchange Protocol (CXP), das die FIDO Alliance Ende 2024 und Anfang 2026 finalisiert hat. Es löst das „Lock-in“-Problem: Nutzer können private Schlüssel künftig sicher zwischen verschiedenen Geräten und Passwort-Managern übertragen.
Google testet derzeit eine neue Schnittstelle für seinen Passwort-Manager auf Android, die CXP integriert. Apple hat vergleichbare Funktionen bereits in seinen aktuellen Betriebssystemen eingeführt. Microsoft wiederum macht Passkeys zum Standard für private Konten und verabschiedet sich damit schrittweise von SMS-basierten Codes – eine Reaktion auf die anhaltende Verwundbarkeit durch SIM-Swapping und Phishing.
Pro Quartal werden in Deutschland Millionen Konten gehackt, oft weil Passwörter leicht zu knacken oder durch Phishing abgreifbar sind. Erfahren Sie in diesem kostenlosen Report, wie Sie die neue Passkey-Technologie bei Diensten wie Amazon oder WhatsApp nutzen und sich so dauerhaft absichern. Kostenlosen Passkey-Ratgeber jetzt herunterladen
WhatsApp rüstet auf: Neue Sicherheitsfunktionen
Meta plant mehrere neue Schutzschichten für WhatsApp. Dazu gehört ein optionaler Passwortschutz für Konten. Er soll aus sechs bis zwanzig Zeichen bestehen – eine Kombination aus Zahlen und Buchstaben. Die Funktion wird voraussichtlich 2026 ausgerollt und ergänzt die bestehende Zwei-Faktor-Authentifizierung. Sie greift bei der Registrierung neuer Geräte oder nach bestimmten Zeitintervallen.
Ein weiteres Novum: „Private Processing“ für die KI-Integration in WhatsApp. Die Technologie nutzt vertrauenswürdige Ausführungsumgebungen (Trusted Execution Environments), um temporäre, verschlüsselte Inkognito-Chats mit der Künstlichen Intelligenz zu ermöglichen. Selbst der Plattformbetreiber kann auf diese Inhalte nicht zugreifen, die Daten werden nicht dauerhaft gespeichert.
Beta-Versionen testen zudem Funktionen zum Löschen nach dem Lesen sowie anpassbare Statusfilter – mehr Kontrolle für die Nutzer über ihre digitalen Spuren.
Neue Malware-Welle: „Reaper“ im Visier
Doch während die Schutzmaßnahmen greifen, entwickeln Angreifer neue Methoden. Die Schadsoftware „Reaper“, eine Variante von SHub, hat macOS-Nutzer im Visier. Sie tarnt sich als vertrauenswürdige Marken wie Microsoft oder Google und stiehlt Passwörter sowie Kryptowährungen. Danach installiert sie eine persistente Hintertür auf dem infizierten System.
„Reaper“ umgeht selbst aktuelle Sicherheitsupdates – durch sogenannte Typo-Squatting-Domains, die legitime Installationsseiten für Kollaborationstools nachahmen.
Auch die Lieferkette für Software bleibt eine Schwachstelle. Auf dem npm-Registry entdeckten Forscher ein Bündel bösartiger Pakete, darunter einen Klon der Malware „Shai-Hulud“. Diese Pakete wurden über 2.600 Mal heruntergeladen, bevor sie aufflogen. Ihr Ziel: Cloud-Konfigurationen, SSH-Schlüssel und digitale Vermögenswerte abzugreifen.
Datenlecks durch Fehlkonfigurationen
Ein japanisches Hotel-Check-in-System namens Tabiq legte mehr als eine Million Kundendokumente offen – darunter Reisepässe und Führerscheine. Ursache: ein falsch konfigurierter Cloud-Speicher. Die Daten waren seit Anfang 2020 zugänglich, erst nach Hinweisen von Sicherheitsforschern wurde der Zugriff unterbunden.
In Irland traf ein Datenleck beim Drittanbieter Pitney Bowes 137 Mitarbeiter der Steuerbehörde Revenue. Kontaktdaten wurden offengelegt, interne Warnungen vor möglichen Phishing-Kampagnen folgten.
Die neue Bedrohung: KI-generierte Zero-Day-Exploits
Die aktuelle Welle der Cyberkriminalität vereint alte Schwachstellen mit hochmodernen Angriffsmethoden. Während „123456“ nach wie vor das häufigste Passwort ist – eine Analyse von 1,3 Milliarden kompromittierten Zugangsdaten belegt dies –, setzen professionelle Angreifer längst auf KI.
Die Google Threat Intelligence Group entdeckte den ersten KI-generierten Zero-Day-Exploit. Er zielte auf Logikfehler in einem Open-Source-Verwaltungstool ab. Die Künstliche Intelligenz fand und nutzte Schwachstellen, die herkömmliche Scanner übersehen hatten.
Gruppen wie Storm-2949 demonstrieren zudem, wie Social Engineering die Selbstbedienungsfunktionen zur Passwortzurücksetzung missbraucht. Durch die Kompromittierung von IT-Mitarbeitern und Führungskräften gelangen Angreifer an sensible Daten aus Cloud-Speichern – ohne ein einziges Passwort knacken zu müssen.
Andere Werkzeuge wie Tycoon 2FA nutzen OAuth-basiertes Phishing. Sie kapern Zugriffstokens, indem sie Nutzer dazu bringen, bösartigen Anwendungen Berechtigungen zu erteilen.
Ausblick: Wettrüsten ohne Ende
Der Rest von 2026 verspricht ein weiteres Wettrüsten zwischen automatisierten Angriffswerkzeugen und kryptografischen Abwehrmechanismen zu werden. Microsoft plant für September die Veröffentlichung eines „Cloud-Initiated Driver Recovery“-Systems – eine Reaktion auf den Zero-Day-Exploit „MiniPlasma“, der Anfang Mai Windows-Cloud-Filtertreiber angriff.
Die Branche arbeitet an einem passwortlosen Ökosystem, das benutzerfreundlich bleibt. Doch Experten warnen: Solange Wiederherstellungsmethoden an veraltete Systeme oder einzelne Fehlerquellen gekoppelt sind, bleibt das Risiko eines vollständigen Kontoverlusts bestehen.
Die FIDO Alliance entwickelt bereits neue Standards speziell für KI-Agenten. Die Zukunft, in der autonome Software sicher im Namen menschlicher Nutzer authentifizieren muss, ist näher als gedacht. Bis dahin gilt für Unternehmen: Lange, einzigartige Zugangsdaten in Kombination mit robuster Multi-Faktor-Authentifizierung bleiben der beste Schutz gegen die 442-Milliarden-Euro-Bedrohung.
