Allein im März zählte Microsoft 18,7 Millionen Quishing-Angriffe – ein Anstieg um 146 Prozent seit Januar.
Die digitale Bedrohungslage hat sich 2026 drastisch verschärft. Während klassische Phishing-Methoden weiterhin hohe Volumen erreichen, verlagern Kriminelle ihre Strategien auf visuelle Schnittstellen. Insgesamt identifizierten Sicherheitsforscher im ersten Quartal rund 8,3 Milliarden E-Mail-Phishing-Bedrohungen.
Angesichts von Milliarden Phishing-Bedrohungen und der Zunahme von Quishing-Angriffen wird der Schutz Ihrer digitalen Konten zur Priorität. Dieser kostenlose PDF-Report zeigt Ihnen, wie Sie mit Passkeys Phishing-Angriffe bei Amazon, WhatsApp und Co. effektiv verhindern. Sichere Alternative zu Passwörtern jetzt kostenlos entdecken
Doch die Professionalisierung zeigt sich nicht nur in der Quantität. Die Täter setzen verstärkt auf Automatisierung und Künstliche Intelligenz.
PDFs als Trojaner für QR-Codes
Der Haupttreiber: QR-Codes in PDF-Dateien. Rund 70 Prozent aller Quishing-Angriffe nutzen dieses Format. Die Täter kapern das Vertrauen der Nutzer in offizielle Dokumente.
Scannt ein Anwender den Code, landet er auf gefälschten Anmeldeseiten. Dort werden Anmeldedaten oder Sitzungs-Token in Echtzeit abgegriffen.
Parallel dazu wächst das „Phishing-as-a-Service“-Modell. Plattformen wie Bluekit bieten selbst Laien professionelle Kampagnen-Tools. Die Kits enthalten über 40 Vorlagen, die Marken wie Gmail, Outlook oder iCloud imitieren. Dazu kommen integrierte Funktionen zum Domain-Kauf und zur Umgehung von Sicherheitsanalysen.
Device-Code-Phishing: MFA ade?
Ein weiterer Trend: Angriffe über Device-Code-Phishing. Barracuda meldete im April rund sieben Millionen solcher Vorfälle innerhalb von 28 Tagen.
Die Methode ist tückisch. Angreifer nutzen legitime Microsoft-Anmelseiten, um OAuth-Tokens zu stehlen. Damit umgehen sie oft bestehende Multi-Faktor-Authentifizierungen. Tools wie EvilTokens industrialisieren diesen Prozess zunehmend.
86 Prozent aller Angriffe sind KI-gesteuert
KI revolutioniert die Angriffskette. Laut KnowBe4 sind mittlerweile rund 86 Prozent aller Phishing-Angriffe KI-gesteuert. Die Technologie generiert personalisierte, sprachlich fehlerfreie Nachrichten – kaum noch erkennbar für den Endnutzer.
Die Zahlen sprechen eine deutliche Sprache: Kalender-Phishing stieg um 49 Prozent, Angriffe über Microsoft Teams um 41 Prozent.
Während KI-gesteuerte Angriffe auf dem Vormarsch sind, vernachlässigen viele Nutzer den Schutz ihres wichtigsten Alltagsbegleiters. Erfahren Sie in diesem gratis Ratgeber, mit welchen 5 einfachen Schutzmaßnahmen Sie Ihr Android-Smartphone effektiv gegen Viren und Datenmissbrauch absichern. Kostenloses PDF-Sicherheitspaket für Android anfordern
Auch automatisierte Bots treiben die Bedrohung. Der Thales Bad Bot Report zeigt: Bots machen 53 Prozent des gesamten Internet-Traffics aus. Der Anteil bösartiger Bots liegt bei rund 40 Prozent. KI-gesteuerte Bot-Angriffe erreichen Spitzenwerte von 25 Millionen täglich.
KYCShadow: Malware tarnt sich als Banking-App
Im mobilen Sektor verbreitet sich spezialisierte Malware. Ende April identifizierten Forscher in Indien die Android-Malware KYCShadow. Sie tarnt sich über WhatsApp-Nachrichten als notwendige Kunden-Updates.
Die manipulierte App stiehlt ATM-PINs, Kreditkartendaten und Einmalpasswörter.
Qualcomm-Lücke: Komplettzugriff in Minuten
Hardware-Schwachstellen setzen Smartphones zusätzlich unter Druck. Kaspersky-Forscher entdeckten eine kritische Lücke in Qualcomm-Snapdragon-Chipsätzen. Die Schwachstelle CVE-2026-25262 im BootROM ermöglicht Angreifern mit physischem Zugriff, ein Gerät innerhalb weniger Minuten zu kompromittieren. Kamera, Mikrofon und alle Daten sind offen.
Auch Software-Updates sorgen für Ärger. Nutzer von Samsung Galaxy S25 und S24 berichten nach dem April-Sicherheitsupdate über massiven Akkuverbrauch und Überhitzung. Verdacht: ein Fehler in der Knox-Matrix-Architektur.
Gleichzeitig stellt Samsung den Support für die Galaxy-S21-Serie und das Note 20 ein. Diese Geräte erhalten keine Sicherheits-Patches mehr.
Passkeys als Rettung?
Experten und das BSI empfehlen den Umstieg auf Passkeys. Die FIDO-basierte Technologie gilt als phishing-resistent. Sie setzt auf Public-Key-Verschlüsselung und biometrische Authentifizierung statt auf klassische Passwörter.
15,9 Milliarden Dollar Schaden in den USA
Die wirtschaftlichen Folgen sind enorm. In den USA verursachte Online-Betrug 2025 Schäden von 15,9 Milliarden Dollar – ein Plus von 27 Prozent. Rund 30 Prozent dieser Verluste starteten in sozialen Medien.
In Deutschland gehen Schätzungen von bis zu 20 Millionen gehackten Konten aus. Besonders alarmierend: 81 Prozent der Banken melden eine Zunahme von sogenannten Mule-Konten.
Cyber Resilience Act: BSI wird zur Marktüberwachung
Die EU reagiert mit dem Cyber Resilience Act. Das Bundeskabinett hat die Umsetzung beschlossen. Das BSI wird zur zentralen Marktüberwachungsbehörde für vernetzte Produkte aufgewertet.
Hersteller müssen künftig Sicherheit über den gesamten Produktlebenszyklus gewährleisten. Aktiv ausgenutzte Schwachstellen sind ab September 2026 zu melden. Das BSI wird personell deutlich aufgestockt.
Die Grenzen verschwimmen
Die Entwicklung zeigt: Physischer Diebstahl und digitaler Betrug verschmelzen. Kriminelle nutzen Social-Engineering-Taktiken – von Angriffen auf Signal-Konten bis zu Vishing-Anrufen unter Behörden-Deckmantel.
KI-Tools wie Bluekit oder Phoenix treiben die Komplexität. Sicherheitsexperten erwarten einen massiven Wachstumsmarkt für mobilen Datenschutz. Mobile Geräte werden zum primären Ziel für KI-gestützte Malware und Deepfakes.
Kurzfristig bleibt individuelle Prävention entscheidend: Ungenutzte Apps löschen, verschlüsselte Übertragungswege nutzen, Einmalpasswörter niemals am Telefon preisgeben.
