Hochrangige Politiker, Minister, Militärangehörige und Journalisten wurden Ziel von Angriffen auf den vermeintlich sicheren Messenger Signal. Die Täter gaben sich als offizieller Signal-Support oder vertrauenswürdige Kontakte aus – mit dem Ziel, Authentifizierungscodes zu stehlen und die Kontrolle über die Accounts zu übernehmen.
Banking, PayPal und private Chats – wenn Hacker die Kontrolle über Ihr Smartphone übernehmen, ist der Schaden oft immens. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Spionage und Datenraub schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Unter den Opfern: Die Abgeordnete Julia Klöckner. Auch im Umfeld von Bundeskanzler Friedrich Merz wurden Angriffsversuche registriert. Die deutschen Strafverfolgungsbehörden leiteten Mitte Februar Ermittlungen ein. Sicherheitsexperten vermuten eine staatlich gesteuerte Operation mit Ursprung in Russland.
Strukturelle Mängel in der App-Sicherheit
Die Anfälligkeit einzelner Plattformen ist nur ein Teil des Problems. Eine Untersuchung des Sicherheitsunternehmens Quokka aus dem Frühjahr 2026 zeichnet ein alarmierendes Bild: Von 150.000 analysierten Apps für Android und iOS fehlen grundlegende Sicherheitsmechanismen oder sind fehlerhaft implementiert.
94,3 Prozent der Android-Apps und 61,7 Prozent der iOS-Anwendungen nutzen unsichere HTTP-URLs statt verschlüsselter Verbindungen. Besonders kritisch: Bei Android verwenden 89,1 Prozent der Apps unverschlüsselte Sockets. Hartcodierte kryptografische Schlüssel fanden die Forscher in fast der Hälfte aller Android-Apps (47,8 Prozent) und in 17,6 Prozent der iOS-Anwendungen. In über 50 Apps entdeckten sie sogar Zugangsdaten für Cloud-Dienste wie AWS.
Physische Angriffsmethoden: SMS-Blaster und manipulierte Apps
Parallel entwickeln Kriminelle immer physischere Methoden. In Toronto verhaftete die Polizei drei Männer, die einen sogenannten SMS-Blaster eingesetzt haben sollen. Das Gerät imitiert Mobilfunkmasten und zwingt Handys in der Nähe, sich mit dem gefälschten Netzwerk zu verbinden.
Über diese Technik wurden zehntausende Nutzer mit betrügerischen Nachrichten bombardiert – scheinbar von Banken oder staatlichen Stellen. Die Ermittler zählten über 13 Millionen Netzwerkstörungen. Experten raten, die 2G-Funktionalität in den Geräteeinstellungen zu deaktivieren, da die Technologie oft auf veraltete 2G-Netzwerke zurückgreift.
Auch offizielle Kommunikationswege der Mobilfunkanbieter sind betroffen. Beim US-Anbieter Verizon manipulierten Betrüger Push-Benachrichtigungen der offiziellen App. In einem dokumentierten Fall wurde einem Kunden ein iPad Pro zugestellt – die Täter versuchten anschließend, das Gerät durch eine vorgetäuschte Falschlieferung umzuleiten.
RCS und Sicherheits-Updates als Gegenmaßnahmen
Apple plant mit iOS 26.5 im Mai 2026 die Unterstützung für den RCS-Standard (Rich Communication Services). Eine Ende-zu-Ende-Verschlüsselung für die Kommunikation mit Android-Geräten soll eingeführt werden. Ein Schloss-Symbol zeigt künftig an, ob eine Nachricht sicher verschlüsselt ist.
Samsung veröffentlichte Updates für seine Galaxy-Modelle, die mehrere kritische Schwachstellen beheben. Auch Google stellte neue Versionen der Play Services und des System WebView bereit. Neue Analyse-Tools wie „Mobile App Risk Intelligence“ (MARI) von NowSecure sollen Unternehmen helfen, Risiken durch Drittanbieter-Apps besser einzuschätzen. Eine Überprüfung von 50.000 Anwendungen ergab: 53 Prozent enthalten bereits KI-Komponenten, deren Datenflüsse oft intransparent sind.
Ein veraltetes Betriebssystem ist wie eine offene Haustür für Kriminelle, die Sicherheitslücken in Ihren Apps gezielt ausnutzen. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie mit den richtigen Updates Ihre Daten und Passwörter dauerhaft vor Malware schützen. Android-Sicherheits-Report jetzt gratis anfordern
Die Verschiebung der Angriffsvektoren
Während klassisches E-Mail-Phishing durch bessere Filter seltener Erfolg hat, verlagert sich das Geschehen auf Messenger und mobile Dienste. „Phishing-as-a-Service“ (PhaaS)-Plattformen, oft aus Asien, ermöglichen kriminellen Gruppen großangelegte Smishing-Kampagnen mit minimalem Aufwand. SIM-Boxen imitieren reguläre Mobilfunknummern und umgehen herkömmliche Spam-Filter.
Ein wesentlicher Faktor: Die Ausnutzung von Vertrauensverhältnissen in geschlossenen Kommunikationssystemen wie Signal. Wenn Nutzer glauben, eine Nachricht in einer verschlüsselten Umgebung sei per se sicher, sinkt die Wachsamkeit. Dass nun auch staatliche Akteure diese Methoden nutzen, hebt die Problematik auf die nationale Sicherheitsebene.
Ausblick: KI-gestützte Betrugswelle erwartet
Für den restlichen Teil des Jahres 2026 ist mit einer Zunahme automatisierter und KI-gestützter Betrugsversuche zu rechnen. Berichte der Federal Reserve und Analysen von NICE Actimize deuten darauf hin, dass Account-Übernahmen schneller wachsen als die entsprechenden Transaktionsvolumina.
Die Einführung verschlüsselter RCS-Nachrichten könnte mittelfristig eine sicherere Alternative zu SMS bieten. Für Verbraucher bleibt die Sensibilisierung für Social-Engineering-Taktiken die wichtigste Verteidigungslinie. Technologische Lösungen wie Passkeys und die Deaktivierung veralteter Netzwerkstandards werden zunehmend zu notwendigen Basismaßnahmen.
