Das geht aus aktuellen Daten des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Besonders alarmierend: 88 Prozent der Betroffenen erleiden direkte finanzielle Verluste. Die Täter setzen zunehmend auf ausgefeilte Tarnmethoden und personalisierte Betrugsmaschen, die herkömmliche Schutzsysteme umgehen.
Quishing-Boom: 150 Prozent mehr QR-Code-Betrug
Eine der gefährlichsten neuen Entwicklungen ist der massive Anstieg von „Quishing“ – Phishing über QR-Codes. Allein im ersten Quartal 2026 registrierten Sicherheitsbehörden 18 Millionen Fälle, ein Anstieg von 150 Prozent im Vergleich zum Vorjahreszeitraum. Da Smartphones längst zum zentralen Zugang für Banking und Beruf geworden sind, geraten Identitätsdiebstahl und Finanzbetrug zunehmend in den Fokus globaler Sicherheitsbehörden.
Angesichts der rasant steigenden Zahl von Betrugsfällen beim mobilen Banking ist die Sicherheit des eigenen Smartphones heute kein optionaler Luxus mehr. Dieser kostenlose Ratgeber enthüllt die fünf entscheidenden Maßnahmen, mit denen Sie Ihr Android-Gerät wirksam vor Hackern und finanziellen Verlusten absichern. 5 Schutzmaßnahmen jetzt entdecken
Hacker setzen auf virtuelle Tarnung
Die Hackergruppe FlowerStorm hat eine neue Methode entwickelt, die selbst erfahrene Sicherheitsexperten vor Herausforderungen stellt. Die Gruppe nutzt die Open-Source-Software KrakVM, eine virtuelle JavaScript-Maschine, um Schadcode in HTML-Anhängen zu verstecken. Die Angriffe zielen auf Zugangsdaten und Multi-Faktor-Authentifizierungscodes (MFA) für Microsoft 365, GoDaddy und Hotmail ab. Besonders betroffen: Logistik-, Immobilien- und Einzelhandelsunternehmen.
Parallel dazu setzt die Gruppe TA4903 seit dem Frühjahr fast ausschließlich auf Device-Code-Phishing. Dabei werden dynamische Codes generiert, um Microsoft-365-Konten zu übernehmen – oft der erste Schritt zu schwerwiegenderen Angriffen wie Business Email Compromise (BEC) oder Ransomware.
Signal-Phishing und Captcha-Falle
Ein besonders perfider Angriff zielte auf 13.500 Signal-Nutzer ab. Die Täter gaben sich als Signal-Support aus und nutzten ein automatisiertes Werkzeug namens „ApocalypseZ“. Hinweise deuten auf russischsprachige Urheber hin.
Das BSI warnte zudem vor einer neuen Schadsoftware, die sich als Captcha tarnt. Nutzer werden aufgefordert, bestimmte Tastenkombinationen einzugeben – angeblich zur Verifikation. In Wirklichkeit installiert dies eine Software, die Passwörter und Bankdaten stiehlt.
KI als Waffe und Schutzschild
Die Bedrohungslage hat eine Gegenbewegung ausgelöst: Mitte Mai stellte OpenAI den GPT-5.4-Cyber vor – ein KI-Tool speziell für die Cybersicherheit. Es unterstützt Experten bei Reverse Engineering und Schwachstellenanalyse. Zugänglich ist es zunächst nur für verifizierte Partner.
Auch Cofense hat seine Sicherheitsplattform aktualisiert. KI-gestützte Kampagnenerkennung soll die wachsende Flut personalisierter Phishing-Angriffe stoppen. Die Dringlichkeit solcher Maßnahmen zeigt ein alarmierender Wert: Die Diskussionen über KI-gestützte Angriffe in illegalen Foren stiegen Ende 2025 um 1.500 Prozent.
Die schiere Menge gestohlener Daten verschärft die Lage: Über 11 Millionen Rechner wurden im vergangenen Jahr infiziert, 3,3 Milliarden Zugangsdaten erbeutet. Diese Datenbasis erlaubt es Angreifern, täuschend echte Nachrichten zu verfassen.
Android 17 und iOS 26.5: Betriebssysteme rüsten auf
Die großen Plattformbetreiber reagieren mit tiefgreifenden Sicherheitsupdates. Android 17 wird eine Live-Bedrohungserkennung und einen „Theft Detection Lock“ enthalten, der das Gerät nach mehreren fehlgeschlagenen Authentifizierungsversuchen sperrt. Apple schließt mit iOS 26.5 über 60 Sicherheitslücken, darunter eine kritische Schwachstelle (CVE-2026-28951).
Doch es gibt einen Haken: Der Support für Android 5.0 und iOS 13 endet Anfang September 2026. Millionen ältere Geräte bleiben dann ohne Sicherheitsupdates – ein Einfallstor für Angreifer.
WhatsApp führt zudem ein neues Passwort-Feature für die Android-Beta ein. Bei der Registrierung auf einem neuen Gerät ist künftig ein Passwort (6 bis 20 Zeichen) erforderlich. Ein „Inkognito-Modus“ für die Interaktion mit Meta AI verhindert zudem die Speicherung von Gesprächen.
Gericht stärkt Verbraucherschutz: Banken haften bei Phishing
Ein wegweisendes Urteil des Landgerichts Berlin II stellt die Weichen neu: Banken haften grundsätzlich für Phishing-Schäden – es sei denn, sie können grobe Fahrlässigkeit des Kunden nachweisen. Dies zwingt Finanzinstitute zu strengeren Authentifizierungsverfahren und sogenannten „Verified Financial Call“-Systemen. Besonders relevant, da Banking-Trojaner wie TCLBANKER weiterhin Dutzende Plattformen weltweit angreifen.
Da Kriminelle ihre Methoden zur Identitätsausspähung ständig verfeinern, reicht ein einfaches Passwort oft nicht mehr aus. Welche einfachen Schritte Experten für eine proaktive Absicherung Ihrer Daten empfehlen, erfahren Sie in diesem praxisnahen Sicherheits-Paket. Gratis-Sicherheits-Check für Android sichern
Ausblick: Der Mensch bleibt die größte Schwachstelle
Der massive Datenleak beim niederländischen Anbieter Odido im Februar, von dem rund 6,2 Millionen Menschen betroffen waren, zeigt: Selbst große Datenbestände sind nicht sicher. Experten fordern daher einen Paradigmenwechsel – weg von reiner Erkennung, hin zu proaktiver Identitätsabsicherung.
Organisationen müssen dringend auf robustere MFA-Methoden setzen, die nicht auf abfangbare SMS-Codes angewiesen sind. Auch der Schutz des „digitalen Erbes“ – die Sicherung von Online-Konten über den Tod des Inhabers hinaus – gewinnt an Bedeutung. Die Halb-Billion-Euro-Marke bei den Schäden rückt näher. Ob KI-gestützte Abwehr, strengere Gesetze oder Plattform-Updates das Blatt wenden können, wird sich in den kommenden Monaten entscheiden.
