Klassisches E-Mail-Phishing bleibt zwar auf Rekordniveau, doch spezialisierte Angriffe auf Microsoft-Ökosysteme und mobile Schnittstellen gewinnen rasant an Fahrt. Besonders QR-Code-Phishing und die Ausnutzung von Systemintegrationen setzen Unternehmen unter Druck.
Microsoft meldet Rekordzahlen bei QR-Angriffen
Der Microsoft Threat Intelligence Report für das erste Quartal 2026 zeigt eine massive Zunahme von QR-Code-Phishing, auch „Quishing“ genannt. Die Zahl dieser Angriffe stieg zwischen Januar und März um 146 Prozent. Waren es zu Jahresbeginn noch rund 7,6 Millionen Vorfälle, kletterte der Wert bis März auf 18,7 Millionen.
Insgesamt identifizierten Microsofts Sicherheitssysteme im gleichen Zeitraum über 8,3 Milliarden Phishing-Bedrohungen auf E-Mail-Basis. Die Gefahr beim Quishing: Bösartige URLs verstecken sich hinter harmlosen QR-Codes. Herkömmliche Sicherheitsfilter erkennen sie deutlich schwerer als Klartext-Links.
Neue Taktiken wie „CAPTCHA-gated Phishing“ erhöhen die Glaubwürdigkeit der Betrugsseiten. Die Opfer lösen zunächst eine Sicherheitsabfrage, was die betrügerische Seite vertrauenswürdiger erscheinen lässt. In Großbritannien warnte die Verbraucherschutzorganisation Which? kürzlich vor manipulierten QR-Codes an Parkautomaten. Die gemeldeten Betrugsfälle stiegen von 9 im Jahr 2022 auf 133 im Jahr 2025. Der Gesamtschaden: über 56.000 Britische Pfund.
CloudZ RAT: Angriff über die Desktop-Mobile-Schnittstelle
Ein besonders besorgniserregender Trend ist die Kompromittierung von Smartphones über verbundene Windows-Systeme. Seit Anfang 2026 ist eine Malware-Kampagne aktiv, die den CloudZ RAT (Remote Access Trojaner) einsetzt. Dieser nutzt gezielt die Microsoft Phone Link-Funktion aus, um sensible Daten von Android-Geräten zu entwenden – ohne das Smartphone selbst direkt zu infizieren.
Laut Untersuchungen von Cisco Talos ermöglicht das zugehörige „Pheno“-Plugin den Angreifern, SMS-Nachrichten, Einmalpasswörter (OTPs) für die Zwei-Faktor-Authentifizierung und Browser-Zugangsdaten direkt vom PC abzugreifen. Die Infektion erfolgt häufig über täuschend echte, aber gefälschte Software-Updates.
Da neue Bedrohungen wie der CloudZ RAT gezielt mobile Schnittstellen ausnutzen, ist ein proaktiver Schutz des Handys unerlässlich. Ein kostenloser PDF-Ratgeber zeigt 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone in wenigen Minuten gegen Hacker absichern. Android-Sicherheitspaket jetzt gratis herunterladen
Da die Datenextraktion lokal aus den von Windows gespeicherten Phone-Link-Daten erfolgt, greifen mobile Sicherheitslösungen auf dem Telefon oft nicht. Experten raten daher verstärkt zu Hardware-Sicherheitsschlüsseln oder dedizierten Authentifikator-Apps statt SMS-basierten Verfahren.
Parallel dazu identifizierte Zimperium zLabs die Kampagne „Arsink RAT“. Diese nutzt vertrauenswürdige Cloud-Plattformen wie Google Drive, Firebase und Telegram für die Command-and-Control-Kommunikation. Mit rund 1.216 Malware-Proben und über 45.000 infizierten Geräten in 143 Ländern zeigt die Kampagne die globale Dimension von Marken-Imitationen. Die Angreifer tarnen ihre Schadsoftware als über 50 bekannte Marken.
Betrug im großen Stil: CallPhantom und SMS-Blaster-Netzwerke
Die Bedrohungslage wird durch betrügerische Anwendungen in offiziellen App-Stores weiter verschärft. Der von ESET aufgedeckte „CallPhantom“-Betrug verdeutlicht die Anfälligkeit des Google Play Stores. Insgesamt 28 Apps, die vorgaben, Zugriff auf Anrufprotokolle oder WhatsApp-Nachrichten zu ermöglichen, wurden über 7,3 Millionen Mal heruntergeladen.
Die Apps lieferten lediglich Zufallsdaten, verlangten für ihre Dienste aber Gebühren von bis zu 80 US-Dollar. ESET meldete die Anwendungen bereits im Dezember 2025 an Google, woraufhin eine Entfernung erfolgte. Da Zahlungen teilweise über Drittanbieter außerhalb des Google-Ökosystems abgewickelt wurden, gestalten sich Rückerstattungen für die Opfer schwierig.
Angesichts der professionalisierten Täuschungstaktiken von Cyberkriminellen sollten Sie den Schutz Ihrer Daten nicht dem Zufall überlassen. In diesem kostenlosen Report erfahren Sie verständlich, wie regelmäßige Updates und die richtigen Einstellungen Ihr Gerät rund um die Uhr schützen. Kostenlosen Android-Sicherheits-Guide sichern
Ein weiterer technischer Eskalationsschritt wurde in Kanada beobachtet. Die Polizei in Toronto nahm im Mai 2026 drei Männer fest, die seit November 2025 ein SMS-Blaster-Netzwerk betrieben hatten. Diese Geräte imitieren Mobilfunkmasten und nutzen Schwachstellen in veralteten 2G-Netzwerken aus, um massenhaft Phishing-SMS an zehntausende Geräte zu versenden. Ziel war der Diebstahl von Bankdaten. Es handelt sich um den ersten dokumentierten Fall dieser Art in Kanada.
Die Vorfälle spiegeln sich in den Statistiken der US-Handelsbehörde FTC wider. Für das Jahr 2025 verzeichnete die FTC über eine Million Meldungen zu Identitätsbetrug. Die Gesamtschäden stiegen um fast 20 Prozent auf rund 3,5 Milliarden US-Dollar. Besonders drastisch war der Zuwachs bei Betrugsmaschen durch angebliche Behördenvertreter.
Neue Abwehrmechanismen und regulatorische Rahmenbedingungen
Als Reaktion auf die zunehmende Komplexität der Angriffe haben Technologieunternehmen und Regulierungsbehörden neue Sicherheitsmaßnahmen eingeleitet. Google führte zum 1. Mai 2026 einen öffentlichen Verifizierungsmechanismus für Android-Apps ein. Die „Binary Transparency“ nutzt ein kryptografisches Logbuch, um sicherzustellen, dass installierte Anwendungen den offiziellen Versionen entsprechen.
Gleichzeitig verschärft die Europäische Union die regulatorische Aufsicht. Am 7. Mai 2026 erzielten EU-Parlament und Rat eine vorläufige Einigung über Anpassungen am AI Act. Diese sehen strikte Fristen für Hochrisiko-KI-Systeme und ein Verbot von Anwendungen vor, die zur Erstellung von Kindesmissbrauchsmaterial oder sogenannten „Nudifier“-Inhalten genutzt werden können. Eine Wasserzeichenpflicht für KI-generierte Inhalte soll bis zum 2. Dezember 2026 umgesetzt werden.
Der Digital Markets Act (DMA) sorgt ebenfalls für Bewegung im Markt. Die EU-Kommission schloss Mitte Mai 2026 eine Konsultation zur Interoperabilität von Android ab. Alphabet wird darin verpflichtet, Drittanbietern effektiven Zugang zu Systemfunktionen zu gewähren. Konkurrierende KI-Dienste können künftig komplexe Aufgaben wie das Bestellen von Essen oder das Versenden von E-Mails per Sprachbefehl übernehmen.
Die Professionalisierung der Täuschung
Die aktuelle Datenlage zeigt: Cyberkriminelle setzen zunehmend auf eine Kombination aus technischer Raffinesse und psychologischer Manipulation. Die Ausnutzung bekannter Markennamen – durch gefälschte Apps im Play Store oder die Imitation von Systembenachrichtigungen in Windows – zielt darauf ab, das Vertrauen der Nutzer in etablierte Ökosysteme zu untergraben.
Studien von Kaspersky unterstreichen die weiterhin bestehende Problematik mangelhafter Basissicherheit. Bei der Analyse von 231 Millionen Passwörtern im Zeitraum von 2023 bis 2026 stellten die Forscher fest: Fast die Hälfte der Passwörter kann in weniger als einer Minute geknackt werden. Leistungsstarke Hardware beschleunigt diesen Prozess erheblich.
Trotz steigender Diebstahlszahlen – allein in Großbritannien stiegen die gemeldeten Handy-Diebstähle bis März 2025 um 16 Prozent auf 272.000 Fälle – nutzen laut Uswitch über 11 Millionen Briten keinerlei Sicherheitsfunktionen auf ihren Geräten.
Zwischen Bequemlichkeit und maximaler Sicherheit
Die Branche steht vor einem Wendepunkt. Funktionen wie Microsoft Phone Link oder On-Device-KI erhöhen den Komfort im digitalen Alltag, schaffen aber gleichzeitig neue Angriffsflächen. Die Diskussion um Googles Integration des Gemini Nano Modells in den Chrome-Browser zeigt das Spannungsfeld zwischen funktionalem Mehrwert und Datenschutzbedenken. Datenschützer kritisierten im Mai 2026 den automatischen Download des 4 Gigabyte großen KI-Modells ohne explizite Nutzerzustimmung.
In den kommenden Monaten wird entscheidend sein, wie effektiv neue Standards wie das vom französischen ANSSI zertifizierte ETSI-Schutzprofil für Smartphones greifen. Diese Zertifizierungen sollen die Grundlage für den künftigen EU Cyber Resilience Act bilden. Für Endnutzer bleibt die Empfehlung: Sicherheits-Updates zeitnah installieren – wie den im Mai 2026 veröffentlichten Patch für kritische Android-Lücken – und bei QR-Codes sowie Systemkopplungen erhöhte Skepsis walten lassen.
