Internationale Sicherheitsbehörden warnen vor einer neuen Qualität der Bedrohung, die gezielt Apple-Kunden ins Visier nimmt. Angreifer setzen auf Hybrid-Cyberkriminalität: Sie kombinieren physischen Diebstahl mit hochspezialisierten digitalen Folgeangriffen. Der weltweite Schaden durch mobile Cyberkriminalität wird für 2026 auf rund 21 Milliarden US-Dollar geschätzt.
Viele iPhone-Nutzer sind verunsichert, wenn sie mit technischen Begriffen wie Hybrid-Cyberkriminalität oder OAuth konfrontiert werden. Dieses kostenlose Lexikon erklärt die 53 wichtigsten Apple-Begriffe verständlich und ohne Fachchinesisch. In 10 Minuten die Apple-Sprache verstehen
Wenn der Diebstahl erst der Anfang ist
Besonders perfide: eine koordinierte Kampagne, die die indische Sicherheitsbehörde I4C dokumentiert hat. Sobald ein iPhone gestohlen wird oder verloren geht, erhalten die Besitzer SMS-Nachrichten. Die Täter imitieren den offiziellen Apple-Support oder den Dienst „Find My iPhone“. In den Nachrichten heißt es, das Gerät sei lokalisiert worden – oder es bestehe dringender Handlungsbedarf.
Die Phishing-SMS enthalten Links zu gefälschten Anmeldeseiten. Sie sind optisch kaum von der echten iCloud-Umgebung zu unterscheiden. Ziel: Apple-ID, Passwörter und Einmalcodes (OTP) abgreifen. Mit diesen Daten können Kriminelle den Fernzugriff deaktivieren, das Gerät für den Wiederverkauf vorbereiten und sensible Daten aus der Cloud stehlen.
Sicherheitsberater raten: Niemals auf Links in solchen Nachrichten klicken. Stattdessen ausschließlich die offizielle Adresse icloud.com/find verwenden.
Parallel dazu gibt es Betrugsmaschen ohne vorherigen Diebstahl. Kriminelle versenden SMS mit Warnungen vor vollem iCloud-Speicher oder behaupten, die Apple-ID laufe ab. Eine Kampagne nutzte die Domain appleidlogin.co.uk, um neben Login-Daten sogar Passnummern abzufragen. Apple betont: Speicherwarnungen oder Kontenverifizierungen versendet das Unternehmen grundsätzlich nicht per SMS.
Phishing wird zur Industrie
Die Professionalisierung der Angriffe zeigt sich auch beim Device-Code-Phishing. Laut Analysen von Push Security ist diese Angriffsform auf Microsoft 365 seit Jahresbeginn um das 15-fache gestiegen. Angreifer nutzen den OAuth Device Code Grant – ein Protokoll, das ursprünglich für Geräte ohne Tastatur wie Smart-TVs entwickelt wurde.
Dank Phishing-as-a-Service-Tools wie „EvilTokens“ müssen Angreifer keine klassischen Anmeldedaten mehr stehlen. Stattdessen verleiten sie Opfer dazu, eine bösartige App zu autorisieren. Bestätigt der Nutzer den Code auf einer täuschend echten Microsoft-Seite, erhält der Angreifer ein Zugriffstoken. Das umgeht oft sogar die Zwei-Faktor-Authentifizierung.
Hinzu kommen neue Trojaner-Varianten. Die Malware TrickMo.C nutzt die TON-Blockchain für ihre Kommunikation. Durch .adnl-Identitäten in der Blockchain werden klassische Domain-Takedowns wirkungslos. Die Malware hat vollständigen Zugriff auf infizierte Android-Geräte, fängt SMS ab und betreibt Keylogging. Besonders bedrohlich: für Online-Banking und Krypto-Wallets in Europa.
WhatsApp mit kritischen Sicherheitslücken
Auch technische Schwachstellen in weit verbreiteter Software bereiten Sicherheitsexperten Sorgen. Für WhatsApp wurden zwei kritische Lücken gemeldet. Die Schwachstelle CVE-2026-23866 betrifft iOS und Android: Manipulierte Nachrichten laden Medieninhalte von externen, angreiferkontrollierten Servern nach.
Die zweite Lücke, CVE-2026-23863, betrifft die Windows-App. Angreifer können durch NUL-Zeichen in Dateinamen Schadcode ausführen – Anhänge erscheinen in der Vorschau harmlos. Aktive Ausnutzungen sind zwar nicht bekannt, Experten empfehlen aber dringend Updates über die App-Stores.
Aus Indien kommen Berichte über gefälschte Hochzeitseinladungen per WhatsApp. Sie enthalten bösartige APK-Dateien, die Bankdaten stehlen und SMS-TANs in Echtzeit abfangen. In Bengaluru verlor ein Geschäftsmann auf diese Weise über 500.000 Indische Rupien – umgerechnet rund 5.500 Euro.
iOS 26.5: Apple schließt über 50 Lücken
Apple hat Anfang der Woche iOS 26.5 veröffentlicht. Das Update ist mit über 8 Gigabyte ungewöhnlich umfangreich. Es schließt mehr als 50 dokumentierte Sicherheitslücken, darunter die kritische Schwachstelle CVE-2026-28950. Die Patches betreffen Kernel, Sandbox und Identitätsmanagement.
Viele iPhone-Nutzer übersehen nach einem Update wichtige Einstellungen zum Schutz ihrer Privatsphäre. Ein kostenloser PDF-Ratgeber von Apple-Experte Detlef Meyer zeigt Ihnen die einfache Methode für sichere iOS-Updates. Jetzt kostenlosen Update-Guide sichern
Eine wichtige Neuerung: die Ende-zu-Ende-Verschlüsselung für den Nachrichtenstandard RCS. Sie basiert auf dem MLS-Protokoll und entstand in Kooperation mit Google. In Deutschland unterstützen Telekom, Vodafone, O2 und 1&1 die verschlüsselten RCS-Chats bereits in einer Beta-Phase. Damit schließt sich eine langjährige Sicherheitslücke in der providerbasierten Textkommunikation.
Gleichzeitig treibt die Branche die Abkehr von klassischen Passwörtern voran. Weltweit sind bereits über 5 Milliarden Passkeys im Einsatz. Amazon verzeichnet einen Anstieg der Passkey-Nutzer um 75 Prozent. Auch Microsoft forciert die Umstellung auf passwortlose Konten.
Jeder neunte Deutsche betroffen
Der aktuelle Cybersicherheitsmonitor 2026 von BSI und Polizeilicher Kriminalprävention zeigt das Ausmaß: Im Jahr 2025 war jeder neunte Internetnutzer in Deutschland von Cyberkriminalität betroffen. Die häufigsten Delikte: Betrug beim Online-Einkauf, Fremdzugriffe auf Benutzerkonten und Onlinebanking-Betrug.
Besorgniserregend: die Diskrepanz zwischen Wahrnehmung und Schutzverhalten. 88 Prozent der Opfer erlitten einen Schaden – doch 55 Prozent der Befragten halten ihr persönliches Risiko für gering. Nur 40 Prozent nutzen konsequent eine Zwei-Faktor-Authentisierung. Weniger als die Hälfte greift auf sichere Passwort-Manager zurück.
KI-gestützte Tools verschärfen die Situation. Sie senken die Hürden für täuschend echte Phishing-Inhalte und automatisieren das Aufspüren von Schwachstellen. Sicherheitsbehörden betonen: Automatische Updates aktivieren und Skepsis gegenüber unaufgeforderten Nachrichten – das wird noch wichtiger.
Ausblick: iOS 27 und die Quanten-Gefahr
Für den Sommer 2026 erwartet die Branche die WWDC. Apple wird voraussichtlich iOS 27 vorstellen. Branchenbeobachter rechnen mit KI-gestützten Sicherheitsfunktionen, die proaktiv auf Bedrohungen wie Hybrid-Betrug reagieren.
Langfristig droht eine ganz andere Gefahr: Das BSI warnt vor Quantencomputern, die heutige Verschlüsselungsstandards ab den 2030er Jahren gefährden könnten. Kurzfristig bleibt die Absicherung der täglichen digitalen Kommunikation die größte Herausforderung. Im September 2026 endet der Support für Android 5.0 und iOS 13. Millionen Nutzer müssen dann auf modernere Hardware umsteigen – sonst gibt es keine Sicherheits-Patches mehr.
