Die Schäden durch mobile Cyberkriminalität erreichen in diesem Jahr eine neue Rekordmarke.
Banking, PayPal und WhatsApp — auf keinem Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät wirksam vor Hackern und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Von Quishing bis Stimmenklonen: Die neuen Methoden der Täter
Sicherheitsforscher schlagen Alarm. Im ersten Quartal 2026 stiegen sogenannte Quishing-Angriffe um 150 Prozent. Die Masche: Kriminelle platzieren manipulierte QR-Codes, die Nutzer auf gefälschte Banking-Seiten locken. Rund 18 Millionen solcher Fälle wurden bereits registriert.
Noch dramatischer ist die Entwicklung bei Banking-Trojanern. Laut Kaspersky stieg die Zahl der Vorfälle um 196 Prozent auf 1,24 Millionen. Die Schadsoftware lauert in getarnten PDF-Readern oder Kamera-Apps und greift heimlich Zugangsdaten ab.
Besonders perfide: KI-gestütztes Voice-Phishing. Täter klonen Stimmen von Angehörigen oder Bankmitarbeitern täuschend echt. Das Bundeskriminalamt zählte 2024 rund 6.600 solcher Schockanrufe – die Dunkelziffer liegt heute weit höher. In Kombination mit gefälschten Telefonnummern (Spoofing) setzen die Betrüger ihre Opfer massiv unter Druck.
Ein Fall aus Zürich zeigt die neue Dimension: Dort setzten Kriminelle einen SMS-Blaster ein und verschickten manipulierte Kurznachrichten an 50.000 Mobiltelefone in der Umgebung. Ziel war der massenhafte Abgriff von Zugangsdaten.
Wenn die eigene Unterschrift zur Falle wird
Die finanziellen Folgen sind oft existenzbedrohend. Ein 69-jähriger Tiroler verlor zwischen Februar und April 2026 einen hohen fünfstelligen Betrag. Die Täter gaben sich als Investmentberater aus und ließen ihn mehrfach Überweisungen auf ausländische Konten freigeben. Weil der Kunde die Transaktionen selbst autorisierte, ist eine Rückholung der Gelder kaum möglich.
Auch Kleinvieh macht Mist. Eine Kölnerin verlor 300 Euro durch eine gefälschte Park-App während eines Kopenhagen-Urlaubs. Die Täter buchten über Wochen hinweg Kleinstbeträge zwischen 30 und 50 Euro ab. Da die Geschädigte die erste Zahlung per TAN freigegeben hatte, verweigerten die Banken eine Erstattung.
Die Polizei Köln warnt zudem vor Betrug auf Second-Hand-Plattformen. Institute wie DKB und ING raten: Sobald Druck aufgebaut wird, die Kommunikation abbrechen und die Bank über offizielle Kanäle kontaktieren. Der bundesweite Sperr-Notruf 116 116 hilft im Notfall.
Apples und Googles Kampf gegen Sicherheitslücken
Auf technischer Ebene versuchen die Hersteller gegenzusteuern. Apple veröffentlichte am 11. Mai 2026 iOS 26.5 und schloss damit über 60 Sicherheitslücken – darunter die kritische Schwachstelle CVE-2026-28951.
Google integriert in Android 17 eine neue Funktion namens „Theft Detection Lock“. Sie erkennt Diebstähle an untypischen Bewegungsmustern und sperrt das Gerät automatisch. Doch die Sicherheitslücken bleiben zahlreich.
Sicherheitsforscher entdeckten eine Zero-Click-Lücke in Android (CVE-2026-0073). Sie ermöglicht Code-Ausführung ohne Nutzerinteraktion über den ADB-Dienst. Während Google Pixel-Geräte bereits patcht, warten Samsung-, Xiaomi- und Oppo-Nutzer oft wochenlang auf Updates.
Ein veraltetes Betriebssystem ist wie eine offene Haustür für Cyberkriminelle und gefährdet Ihre privaten Passwörter. Dieser kostenlose Report erklärt Ihnen einfach und verständlich, wie Sie Sicherheitslücken durch die richtigen Updates dauerhaft schließen. Kostenlosen Android-Update-Ratgeber herunterladen
Ein weiteres Problem betrifft Android 16: Ein Fehler im VPN-System erlaubt Apps, den geschützten Tunnel zu umgehen und die echte IP-Adresse preiszugeben. Laut Analysen von Mullvad sind alle gängigen VPN-Apps auf diesem System betroffen.
Gefälschte Apps mit Millioneninstallationen
Trotz Sicherheitsprüfungen im Google Play Store schaffen es Malware-Entwickler immer wieder, schädliche Apps zu platzieren. Die Sicherheitsfirma ESET deckte die „CallPhantom“-Kampagne auf: 28 gefälschte Apps mit über 7,3 Millionen Installationen. Sie versprachen Zugriff auf SMS- und Anrufprotokolle, lieferten aber wertlose Zufallsdaten – gegen Gebühren von bis zu 80 US-Dollar.
Malware-Familien wie „Anatsa“ oder „Skinado“ tarnen sich als PDF-Reader oder Kamera-Apps. Einmal installiert, greifen sie Banking-Daten ab. Experten raten daher, Apps nur aus offiziellen Quellen zu beziehen und Antivirenprogramme wie Dr.Web Light einzusetzen.
Wer haftet bei Phishing-Schäden?
Ein Urteil des Landgerichts Berlin II gibt Verbrauchern neue Hoffnung. Die Richter stellten klar: Banken müssen Schäden grundsätzlich erstatten – es sei denn, dem Kunden ist grobe Fahrlässigkeit nachzuweisen. Das ist eine wichtige Hürde für Institute, die Erstattungen oft mit Verweis auf die eigenhändige Freigabe ablehnen.
Branchenvertreter zeigen sich jedoch skeptisch. In vielen Fällen seien Banken machtlos, weil Kunden Zahlungen trotz Warnhinweisen selbst autorisieren. Die Initiative „PHISHEN IMPOSSIBLE“ – ein Zusammenschluss aus Banken, BKA und Telekommunikationsanbietern – setzt daher verstärkt auf Aufklärung.
Die Raiffeisenbank Oberes Innviertel empfiehlt: Zugangsdaten niemals an Dritte weitergeben und für sensible Mitteilungen ausschließlich die bankinterne Mailbox nutzen.
Das Dilemma zwischen Komfort und Sicherheit
Der trend zum mobilen Banking hat die Angriffsfläche für Kriminelle massiv vergrößert. Das Kernproblem: Nutzerfreundlichkeit versus Sicherheit. Während traditionelle Institute auf mehrstufige Verifizierung setzen, locken digitale Angebote mit Schnelligkeit und geringen Hürden. Genau das machen Betrüger zur Waffe – sie greifen den Menschen als schwächstes Glied an.
Die zunehmende Komplexität der Angriffe, besonders durch KI, macht es für Verbraucher immer schwerer, Manipulationen zu erkennen. Eine Umfrage vom Januar 2026 zeigt wachsende Verunsicherung. Selbst Großkonzerne wie Facebook und Google wurden in der Vergangenheit Opfer von Millionenbetrug durch gefälschte Rechnungen. Die Verantwortung verschiebt sich damit zunehmend auf die technische Absicherung der Endgeräte.
Ausblick: Strengere Standards ab September
Am 8. September 2026 endet der Support für Android 5.0 und iOS 13. Geräte mit diesen Systemen erhalten dann keine Sicherheitsupdates mehr – ein erhöhtes Risiko für Online-Banking.
Technologisch setzen die Hersteller auf tiefere Integration von Biometrie und Verhaltensanalyse. Android 17 bringt erweiterte Schutzfunktionen gegen OTP-Diebstahl. Gleichzeitig erhöht Google die Prämien für Bug-Bounty-Programme auf bis zu 1,5 Millionen Dollar pro kritischer Lücke.
Die zentrale Herausforderung für die Finanzbranche: Sicherheitsmechanismen implementieren, die gegen KI-basierte Social-Engineering-Angriffe resistent sind – ohne die Akzeptanz digitaler Dienste durch zu hohe Hürden zu gefährden.
