Gezielte Spionage gegen Politiker, kritische Sicherheitslücken bei Apple und Samsung und eine neue Generation von KI-Betrugsmaschen – die Bedrohungslage für Smartphone-Nutzer hat sich dramatisch verschärft.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verfassungsschutz warnen vor einer großangelegten Phishing-Kampagne gegen den Messenger-Dienst Signal. Betroffen sind unter anderem Bundestagspräsidentin Julia Klöckner, Bauministerin Verena Hubertz und Familienministerin Karin Prien.
Angesichts der aktuellen Spionage-Kampagnen ist der Schutz privater Daten auf dem Handy wichtiger denn je. Experten warnen, dass Millionen Nutzer ohne die richtigen Sicherheitsvorkehrungen Datenverlust und finanzielle Schäden riskieren. 5 Schutzmaßnahmen für Android-Smartphones jetzt entdecken
Signal unter Beschuss: So tricksen die Angreifer
Die Hacker nutzen keine technischen Lücken im Messenger selbst. Stattdessen setzen sie auf Social Engineering: Gefälschte Nachrichten geben sich als offizieller „Signal-Support“ aus und verleiten Nutzer zur Preisgabe ihrer Sicherheits-PIN. Sobald die Täter diese Daten haben, greifen sie auf komplette Chatverläufe und Kontaktlisten zu.
Die Bundesanwaltschaft und der niederländische Geheimdienst vermuten staatlich gesteuerte Cyberakteure aus Russland hinter der Aktion. Bereits im Februar hatten deutsche Behörden erste Warnungen ausgesprochen – nun erreicht die Kampagne eine neue Eskalationsstufe.
Apple und Samsung: Notfall-Updates schließen kritische Lücken
Parallel zu den Spionageangriffen mussten die Hersteller schwerwiegende Sicherheitslücken in ihren Betriebssystemen schließen. Apple veröffentlichte die Notfall-Updates iOS 26.4.2 und iOS 18.7.8. Grund ist eine kritische „Zero-Click“-Lücke im Kernel (CVE-2026-28950). Angreifer konnten ohne jede Nutzerinteraktion auf sensible Daten zugreifen.
Besonders brisant: Spezialisierte Dienstleister für Strafverfolgungsbehörden hatten die Schwachstelle Berichten zufolge bereits genutzt, um verschlüsselte Kommunikation zu knacken.
Auch Samsung-Nutzer sollten sofort handeln. Das aktuelle Sicherheits-Update für das Galaxy S24 behebt 47 Schwachstellen – 14 davon gelten als kritisch. Besonders gefährlich: Eine Lücke im NPU-Treiber (CVE-2025-23099) könnte lokalen Angreifern die vollständige Kontrolle über das Gerät geben.
Sicherheitsforscher von Kaspersky warnen zudem vor einer Schwachstelle im BootROM bestimmter Qualcomm-Prozessoren (CVE-2026-25262). Wer physischen Zugriff auf ein Gerät hat, kann den sicheren Startprozess umgehen und persistente Backdoors installieren – die selbst nach einem Neustart bestehen bleiben.
„Operation NoVoice“: 2,3 Millionen Android-Geräte infiziert
Eine weitere Gefahr lauert im Google Play Store. Die Malware-Kampagne „Operation NoVoice“ infizierte über 50 Apps rund 2,3 Millionen Android-Geräte mit einem Rootkit. Der Schadcode injiziert sich in WhatsApp und übersteht sogar ein Zurücksetzen auf die Werkseinstellungen.
Quishing: Wenn der QR-Code zur Falle wird
Doch nicht nur technische Spionage bereitet Sorgen. Neue Betrugsformen verbreiten sich im Alltag der Verbraucher. Das sogenannte „Quishing“ – Phishing via QR-Code – boomt. Kriminelle überkleben echte Codes an Parkautomaten, Ladestationen oder öffentlichen Einrichtungen mit gefälschten Varianten.
Die Opfer landen auf manipulierten Webseiten und geben dort Kreditkartendaten oder Zugangsdaten preis. Ein Testlauf in Rosebank zeigte die erschreckende Effektivität: 64 Prozent der Passanten scannten manipulierte Codes, fast die Hälfte gab bereitwillig sensible Daten ein.
Der südafrikanische Bankenverband SABRIC verzeichnet einen Anstieg der digitalen Betrugsverluste von 740 Millionen Rand (2022) auf über 1,4 Milliarden Rand (2024).
KI-gestütztes Phishing: Klickraten bis zu 54 Prozent
Kriminelle professionalisieren ihre Methoden durch Künstliche Intelligenz. KI-gestützte Phishing-Kampagnen erreichen mittlerweile Klickraten von bis zu 54 Prozent. Die Nachrichten sind sprachlich perfekt auf die Opfer zugeschnitten.
Interessanter Trend: Während die globalen Verluste durch klassischen SMS-Betrug 2025 bei rund 80 Milliarden US-Dollar lagen, prognostizieren Experten für 2026 einen Rückgang auf 71 Milliarden US-Dollar. Der Grund ist keine Erfolgsmeldung – Kriminelle wandern massenhaft zu Ende-zu-Ende-verschlüsselten Messengern wie WhatsApp, iMessage und Telegram ab. Dort erkennen Netzbetreiber die Angriffe nicht mehr.
In Indien warnen Behörden vor „Screen-Sharing Scams“. Betrüger manipulieren Nutzer zur Installation von Fernwartungs-Apps wie AnyDesk oder TeamViewer. Unter dem Vorwand technischer Hilfe bringen sie die Opfer dazu, Transaktionen selbst zu autorisieren – eine spätere Rückforderung wird so nahezu unmöglich.
Fünf Tipps für mehr Smartphone-Sicherheit
Das BSI und Branchenexperten geben konkrete Handlungsempfehlungen:
Sofort updaten: Betriebssysteme und Apps immer auf dem neuesten Stand halten. Die aktuellen Patches von Apple und Samsung sofort installieren.
Messenger-Anfragen skeptisch prüfen: Offizielle Stellen fordern niemals Sicherheits-PINs oder Passwörter per Chat an. Bei Geldforderungen von Freunden oder Verwandten immer per Anruf unter der bekannten Nummer verifizieren.
QR-Codes vor dem Scannen checken: Auf physische Manipulation achten. Nach dem Scan die URL der Zielseite genau kontrollieren.
WLAN und Bluetooth nur bei Bedarf aktivieren: Das minimiert Angriffsflächen wie „Bluesnarfing“ oder manipulierte Hotspots.
Authentifizierung stärken: FIDO2-Sicherheitsschlüssel oder Passkeys statt SMS-basierter Einmal-Codes nutzen. Das schützt vor Phishing und MFA-Fatigue-Angriffen – deren Zahl stieg zuletzt um 200 Prozent.
Der Artikel empfiehlt Passkeys als starken Schutz gegen Phishing und den Diebstahl von Online-Konten. Mit dieser neuen Methode wird das Einloggen bei Amazon, Microsoft oder WhatsApp sicher, schnell und komplett passwortlos. Kostenlosen Passkey-Ratgeber herunterladen
Wirtschaftliche Folgen: 200 Milliarden Euro Schaden jährlich
Die wirtschaftlichen Schäden durch Cyberkriminalität sind enorm. Der Branchenverband Bitkom beziffert den jährlichen Schaden für die deutsche Wirtschaft auf rund 200 Milliarden Euro. Im globalen Finanzsektor beliefen sich die Verluste durch Betrug 2024 auf etwa 12,5 Milliarden US-Dollar.
Ein Lichtblick für Verbraucher: Das Oberlandesgericht Koblenz entschied, dass Banken in bestimmten Fällen Phishing-Opfer entschädigen müssen – besonders wenn die Täuschung so professionell war, dass sie für Durchschnittsnutzer kaum erkennbar ist.
2026: Schlüsseljahr für digitale Regulierung
In der Europäischen Union stehen weitreichende Änderungen an. Ab August treten wesentliche Teile der KI-Verordnung in Kraft, das NIS-2-Umsetzungsgesetz verpflichtet Unternehmen und Behörden zu strengeren Sicherheitsmaßnahmen. Die EU Digital ID Wallet soll bis Jahresende bereitstehen.
Doch es gibt auch Rückschläge. Eine EU-App zur Altersverifizierung wurde kurz nach dem Start von Sicherheitsforschern kompromittiert. Experte Paul Moore kritisierte, dass PIN-Daten lokal unsicher gespeichert wurden – ein herber Vertrauensverlust für staatlich geförderte Sicherheitsarchitekturen.
Bleibt die Erkenntnis: Eigene Wachsamkeit ist und bleibt der wichtigste Schutz gegen zunehmend professionelle Cyberkriminelle.
