Branchenberichten zufolge belaufen sich die Schäden auf rund 442 Milliarden Euro. Besonders alarmierend: Rund 86 Prozent aller Phishing-Kampagnen werden inzwischen von Künstlicher Intelligenz gesteuert. Täglich fluten etwa 3,4 Milliarden betrügerische Nachrichten die Smartphones weltweit.
KI und Phishing-as-a-Service treiben die Angriffswelle
Die Automatisierung des Betrugs schreitet rasant voran. Rund 90 Prozent der Massenkampagnen laufen über spezialisierte Plattformen nach dem Modell „Phishing-as-a-Service“. Diese Infrastruktur ermöglicht auch technisch unerfahrenen Tätern hochwirksame Attacken. KI-Modelle machen die Nachrichten kaum noch von offizieller Kommunikation unterscheidbar.
Angesichts der Flut an KI-gesteuerten Angriffen auf mobile Endgeräte ist ein proaktiver Schutz wichtiger denn je. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort wirksam gegen Hacker und Datenmissbrauch absichern können. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Der klassische Passwortdiebstahl verliert mit nur noch 13 Prozent an Bedeutung. Technische Exploits haben mit 31 Prozent die Spitzenposition übernommen. Besonders dramatisch ist die Lage beim mobilen Banking: Im ersten Quartal 2026 stiegen Banking-Trojaner um 196 Prozent auf 1,24 Millionen Fälle. Die Malware „Mamont“ ist dabei der dominante Akteur – sie verantwortet über 70 Prozent der Angriffe auf Android-Systeme. Ihr Ziel: Einmalpasswörter (OTP) abfangen und Finanztransaktionen kapern.
Quishing und Social-Media-Fallen im Kommen
Phishing via QR-Code – sogenanntes Quishing – gewinnt massiv an Boden. Die Fallzahlen stiegen im ersten Quartal um 150 Prozent auf rund 18 Millionen Vorfälle. Täter manipulieren QR-Codes in E-Mails oder im öffentlichen Raum, um Nutzer auf gefälschte Anmeldeseiten zu locken.
Sicherheitsbehörden warnen zudem vor einer neuen Form des Social-Media-Betrugs. Angreifer nutzen die Popularität der satirischen Online-Bewegung „Cockroach Janata Party“ aus. Über WhatsApp verbreiten sie Links, die als Mitgliedseinladungen getarnt sind. Tatsächlich installieren sie Remote-Access-Trojaner (RAT) und Spyware. Ähnliche Kampagnen wurden auch in Vietnam beobachtet, wo Täter Malware unter dem Vorwand von Grundbuchauszügen in staatliche Apps einschleusen wollten.
Auch Apple-Nutzer geraten ins Visier. Eine aktuelle Kampagne nutzt gefälschte SMS des Apple-Supports, um Besitzer gestohlener iPhones zur Preisgabe ihrer Apple-ID zu bewegen. Ziel: Die „Wo ist?“-Funktion deaktivieren, um die Geräte auf dem Gebrauchtmarkt zu verkaufen.
Hardware-Lücke bei Qualcomm – nicht reparierbar
Eine neu entdeckte Schwachstelle sorgt für zusätzliche Brisanz. Die BootROM-Lücke CVE-2026-25262 betrifft Qualcomm-Prozessoren. Das Problem: Sie ist in der Hardware-Logik verankert und lässt sich nicht durch Software-Updates schließen. Experten fordern deshalb proaktive Sicherheitsmechanismen auf Betriebssystemebene.
Die Tech-Giganten reagieren. Microsoft stellt die klassische SMS-basierte Zwei-Faktor-Authentifizierung ein und setzt auf biometrische Passkeys – über 5 Milliarden sind bereits aktiv. Hintergrund: SMS ist anfällig für Abfangversuche und Schwachstellen wie CVE-2026-41615.
Während Tech-Giganten wie Microsoft bereits massiv auf passwortlose Logins setzen, stellt sich für viele Nutzer die Frage, wie sie diese neue Technologie sicher in ihren Alltag integrieren. Ein aktueller PDF-Report erklärt verständlich, wie Sie Passkeys bei Diensten wie WhatsApp oder Amazon einrichten und sich so dauerhaft vor Phishing schützen. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Apple veröffentlichte am 20. Mai iOS 26.5, das 52 Sicherheitslücken schließt, darunter die kritische CVE-2026-28950. Mit dem PQ3-Protokoll rüstet der Konzern seine Nachrichtendienste für die Quanten-Kryptografie. Google integrierte Mitte Mai neue Funktionen in seine Play Services. Das Feature „Theft Detection Lock“ erkennt per Sensor und KI, wenn jemand ein Smartphone entreißt, und sperrt es sofort.
Signal reagierte am 23. Mai mit Version 8.12 auf die Zunahme von KI-Phishing. Ein orangefarbenes Symbol warnt nun vor unbestätigten Profilnamen.
Bundeskabinett beschließt Digital-Identitäts-Gesetz
Das deutsche Bundeskabinett verabschiedete am 21. Mai das Digital-Identitäts-Gesetz. Es bildet die Grundlage für die EUDI-Wallet (European Digital Identity Wallet), die am 2. Januar 2027 starten soll. Ziel: Eine sichere, staatlich verifizierte digitale Identifikation, die die Abhängigkeit von unsicheren privaten Methoden verringert.
Die Strafverfolgung meldet Erfolge. Bei der Interpol-Operation „FRONTIER+ III“ gab es weltweit 3.018 Festnahmen. Die Behörden stellten rund 161 Millionen US-Dollar sicher und zerschlugen das Botnetz „Kimwolf“, das etwa zwei Millionen Android-TV-Geräte infiziert hatte. In Deutschland warnten die Verbraucherzentralen Mitte Mai vor Betrug mit dem Deutschlandticket – Täter gaben sich als Deutsche Bahn aus und erschlichen Zahlungen per Instant-SEPA.
Die Ära nach dem Passwort hat begonnen
Das klassische Passwort als alleiniges Sicherheitsmerkmal hat ausgedient. Zwar betont Professor Dörr vom HPI, dass Passwörter für viele Nutzer ein zentraler Baustein bleiben. Doch der Trend geht zur passwortlosen Authentifizierung. Eine aktuelle Umfrage zeigt: Bereits 41 Prozent der Generation Z bevorzugen passwortlose Logins.
Mit der EUDI-Wallet ab 2027 und der weiteren Verbreitung von Passkeys soll die Angriffsfläche für klassisches Phishing schrumpfen. Sicherheitsverbände empfehlen dennoch weiterhin Passwort-Manager und biometrische Verfahren – die Gefahr durch KI-gesteuerte Angriffe und spezialisierte mobile Malware bleibt hoch.
