Weltweit beläuft sich der Schaden durch mobile Cyberkriminalität im laufenden Jahr bereits auf rund 21 Milliarden Euro. Besonders alarmierend: Die Fallzahlen beim sogenannten Quishing – einer Kombination aus QR-Codes und Phishing – stiegen allein im ersten Quartal um 146 Prozent auf 18,7 Millionen Fälle.
Quishing: Der gefährliche Trend im Online-Banking
Beim Quishing versenden Täter gefälschte Briefe, die etwa das Branding der Deutschen Bank imitieren. Die Schreiben enthalten QR-Codes, die auf manipulierte Webseiten führen und sensible Zugangsdaten fürs Online-Banking abgreifen. Experten beobachten eine zunehmende Professionalisierung – die gefälschten Portale sind kaum noch von den Originalen zu unterscheiden.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die Polizei warnt eindringlich davor, QR-Codes aus unbekannten Quellen zu scannen. Betroffene Bankkunden erreichen den Sperr-Notruf unter 116116. Parallel verzeichnen Ermittlungsbehörden vermehrte Erfolge von Betrügern, die sich als Bankmitarbeiter ausgeben.
Anfang Mai wurde in Harthausen ein Senior Opfer dieser Masche. Die Täter erlangten EC-Karten und die zugehörige PIN und hoben anschließend unberechtigt Geld ab. Ein ähnlicher Fall in Schöneck: Eine Frau verlor durch eine vorgetäuschte Sparkassen-Geschichte rund 1.000 Euro. Sogar prominente Opfer wie Moderatorin Amira Aly wurden Mitte Mai durch SMS-Phishing hereingelegt.
Der Cybersicherheitsmonitor 2026 zeigt: Der Anteil der Cyberkriminalitäts-Opfer unter deutschen Internetnutzern stieg auf 11 Prozent – im Vorjahr waren es 7 Prozent. 13 Prozent der Delikte entfallen auf Online-Banking-Betrug. Besonders kritisch: Trotz steigender Fallzahlen schätzen 55 Prozent der Nutzer ihr eigenes Risiko weiterhin als gering ein.
Google rüstet Android-Sicherheit massiv auf
Als Reaktion auf die eskalierende Bedrohungslage hat Google auf seiner Entwicklerkonferenz Mitte Mai umfassende Neuerungen für Android angekündigt. Kernfeature: Schutz gegen Spoofing-Anrufe. Das System verifiziert künftig eingehende Anrufe über installierte Banking-Apps. Erkennt das Smartphone einen Betrugsversuch durch einen gefälschten Bankmitarbeiter, legt es automatisch auf.
Erste Partner für diese Funktion sind Institute wie Revolut, Itaú und Nubank. Das Feature soll für Geräte ab Android 11 verfügbar sein. Zusätzlich führt Google eine „Live Threat Detection“ ein, die vor der Weiterleitung von SMS-Nachrichten und missbräuchlicher Nutzung von Bedienungshilfen warnt – letztere werden häufig von Trojanern genutzt.
Für die zweite Jahreshälfte ist zudem ein „Dynamic Signal Monitoring“ für Android 17 geplant. Beim Diebstahlschutz erfordert die Funktion „Mark as Lost“ künftig biometrische Authentifizierung. In ausgewählten Regionen werden Diebstahlschutz-Features bereits ab Android 10 standardmäßig aktiviert. Android 17 reduziert zudem die Anzahl möglicher PIN-Versuche und verlängert Wartezeiten nach Fehlversuchen.
Für Journalisten und Menschenrechtsaktivisten mit erhöhtem Risiko integriert Google in Zusammenarbeit mit Amnesty International ein „Intrusion Logging“ – detaillierte, verschlüsselte Protokolle über Systemzugriffe.
Neue Angriffsmethoden: TrickMo.C und ScarCruft
Trotz dieser Schutzmaßnahmen entwickeln Angreifer stetig neue Methoden. Seit Januar 2026 verbreitet sich der Android-Trojaner TrickMo.C verstärkt in Europa – insbesondere in Frankreich, Italien und Österreich. Die Malware tarnt sich als harmlose Streaming- oder Social-Media-App wie TikTok und übernimmt die vollständige Kontrolle über infizierte Geräte. Eine Besonderheit: TrickMo.C nutzt das TON-Netzwerk zur Tarnung der Kommunikation mit den Befehlsservern.
Auch staatlich akteurierte Gruppen sind weiter aktiv. Die nordkoreanische ScarCruft (APT37) verbreitet eine Android-Version des BirdCall-Backdoors über manipulierte Spieleplattformen. Die Malware sammelt Kontakte, SMS und Anruflisten und fertigt zu bestimmten Tageszeiten Audioaufzeichnungen an.
Im offiziellen Google Play Store wurden zudem 28 bösartige Apps der Familie „CallPhantom“ identifiziert. Sie wurden bereits über 7,3 Millionen Mal heruntergeladen und zielen auf Finanzdaten ab.
WhatsApp-Sicherheitslücken: Updates bereits verfügbar
Mitte Mai wurden zwei Sicherheitslücken in WhatsApp gemeldet. Die Schwachstelle CVE-2026-23866 betrifft iOS- und Android-Versionen und ermöglicht das Nachladen externer Medieninhalte über manipulierte Instagram-Reels. Eine zweite Lücke, CVE-2026-23863, betrifft die Windows-Version und erlaubt Schadcode durch spezielle NUL-Zeichen, die als harmlose Dokumente getarnt sind.
Millionen Android-Nutzer sind täglich Hackern schutzlos ausgeliefert – ohne es zu wissen. Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle. Dieser kostenlose Report zeigt, wie Sie sich schützen. Kostenlosen Sicherheits-Ratgeber herunterladen
Meta hat für beide Schwachstellen bereits Updates bereitgestellt. Großflächige Ausnutzung sei bisher nicht bekannt.
Regulatorische Forderungen: Banken in der Pflicht
Die Zunahme der Vorfälle führt auch auf politischer Ebene zu neuen Forderungen. In Österreich setzt sich die Arbeiterkammer für besseren Schutz bei digitalen Geldgeschäften ein. Fast jede fünfte Person hatte bereits Probleme mit Onlineüberweisungen. Die AK fordert, dass Banken bei Phishing-Angriffen grundsätzlich haften sollten.
Aktuell verlieren drei Viertel der Betroffenen bei solchen Vorfällen Beträge von bis zu 600 Euro.
Instagram beendet Ende-zu-Ende-Verschlüsselung
Während Apple mit iOS 26.5 die Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten in Zusammenarbeit mit Telekom, O2 und 1&1 einführt, geht Meta bei Instagram den umgekehrten Weg. Seit Anfang Mai wurde dort die Ende-zu-Ende-Verschlüsselung für Direktnachrichten beendet – die Funktion sei kaum genutzt worden.
Nutzer werden explizit gewarnt, keine sensiblen Dokumente wie Ausweisfotos oder Bankdaten über Instagram-DMs zu versenden.
KI-Exploits und Post-Quanten-Kryptographie
Die kommenden Monate werden durch verstärkten KI-Einsatz auf beiden Seiten geprägt sein. Google identifizierte kürzlich den ersten durch KI entwickelten Zero-Day-Exploit, der die Multifaktor-Authentifizierung in Systemverwaltungstools umgehen konnte. Zur Abwehr setzt der Konzern auf eigene KI-Agenten wie „Big Sleep“ und „CodeMender“, die Schwachstellen autonom finden und beheben.
Für das zweite Halbjahr 2026 wird mit der Einführung von Post-Quanten-Kryptographie in mobilen Betriebssystemen gerechnet. Gleichzeitig bereiten sich Anbieter auf das Support-Ende älterer Systemversionen vor: WhatsApp stellt am 8. September 2026 den Support für Android 5.0 und iOS 13 ein. Nutzer älterer Hardware müssen ihre Geräte aktualisieren, um weiterhin von Sicherheitsupdates zu profitieren.
