Während klassische SMS-Betrugsmaschen weltweit leicht rückläufig sind, verlagern Kriminelle ihre Aktivitäten massiv auf verschlüsselte Messenger wie WhatsApp, Signal und Telegram. Die Kombination aus KI, neuer Schadsoftware und Social Engineering stellt Sicherheitsverantwortliche vor völlig neue Herausforderungen.
Banking, PayPal, WhatsApp — auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät wirksam vor Hackern und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Professionalisierung der Betrugsmaschen
Internationale Sicherheitsbehörden melden eine signifikante Zunahme von Betrugsfällen über Messenger-Dienste. In Richards Bay, Südafrika, warnte die Polizei kürzlich vor einer neuen Welle von WhatsApp-Betrug. Kriminelle übernehmen Nutzerkonten und bitten im Namen der Betroffenen Freunde und Familie um finanzielle Soforthilfe – oft über Dienste wie Cash Send. Die Polizei empfiehlt dringend, solche Anfragen per Telefonanruf zu verifizieren.
Auch der als besonders sicher geltende Messenger Signal ist betroffen. Deutsche Behörden – darunter BSI und Verfassungsschutz – warnen vor gezielten Phishing-Attacken gegen das politische Umfeld. Zu den Betroffenen gehören Bundestagspräsidentin Julia Klöckner sowie die Ministerinnen Verena Hubertz und Karin Prien. Die Angreifer nutzen keine technischen Schwachstellen der Ende-zu-Ende-Verschlüsselung, sondern setzen auf Social Engineering. Über gefälschte Support-Nachrichten oder PIN-Abfragen versuchen sie, Zugriff auf Konten zu erlangen. Der niederländische Geheimdienst und deutsche Ermittler vermuten einen staatlich gesteuerten Akteur – mit Hinweisen in Richtung Russland. Die Bundesanwaltschaft hat bereits Spionageermittlungen eingeleitet.
In Schweden meldete die Polizei für das erste Quartal 2026 einen Anstieg der Betrugsfälle über gefälschte Kurznachrichten um 220 Prozent. Psychologische Studien der Universität Umeå zeigen: Rund 68 Prozent der Opfer handeln unter künstlich erzeugtem Zeitdruck innerhalb von nur 90 Sekunden.
Technische Infiltration durch Rootkits und Zero-Day-Lücken
Neben der Manipulation des Nutzers kommen zunehmend hochkomplexe technische Angriffswerkzeuge zum Einsatz. Ein prominentes Beispiel ist die Kampagne „Operation NoVoice“. Sicherheitsforscher von McAfee identifizierten ein Android-Rootkit, das über 50 scheinbar harmlose Apps im Google Play Store verbreitet wurde. Die Malware infizierte weltweit etwa 2,3 Millionen Geräte. Das Besondere: Das Rootkit nutzt 22 verschiedene Exploits für Kernel-Lücken aus den Jahren 2016 bis 2021 und übersteht sogar das Zurücksetzen auf Werkseinstellungen.
Auch die Hardware-Ebene ist betroffen. Forscher von Kaspersky warnten vor einer kritischen Sicherheitslücke in bestimmten Qualcomm-Chips (CVE-2026-25262), die Angreifern mit physischem Zugriff ermöglicht, die sichere Boot-Kette zu umgehen. Apple veröffentlichte Notfall-Updates für iOS (Versionen 26.4.2 und 18.7.8) und schloss damit die Lücke CVE-2026-28950 – eine Zero-Click-Kernel-Schwachstelle in den Benachrichtigungsdiensten, die bereits aktiv ausgenutzt wurde.
Samsung behob im April mit einem Sicherheitsupdate für die Galaxy-Serie insgesamt 47 Schwachstellen. 14 davon wurden als kritisch eingestuft, insbesondere solche, die den NPU-Treiber betrafen (CVE-2025-23099). Trotz der Patches berichten Nutzer vereinzelt von Stabilitätsproblemen wie Überhitzung.
Wirtschaftliche Schäden und die Rolle künstlicher Intelligenz
Die ökonomischen Auswirkungen sind massiv. Die globalen Verluste durch SMS-Betrug beliefen sich 2025 auf rund 80 Milliarden US-Dollar. Für 2026 wird eine leichte Entspannung auf etwa 71 Milliarden US-Dollar prognostiziert – was primär an der Abwanderung der Täter zu Messenger-Diensten liegt. Für die deutsche Wirtschaft beziffert der Branchenverband Bitkom den jährlichen Gesamtschaden durch Cyberkriminalität auf etwa 200 Milliarden Euro.
Ein wesentlicher Treiber moderner Phishing-Kampagnen ist der Einsatz künstlicher Intelligenz. KI-generierte Nachrichten erreichen mittlerweile Klickraten von bis zu 54 Prozent. Das Volumen an Deepfake-Dateien stieg innerhalb von zwei Jahren um 900 Prozent. In Südafrika beobachten Finanzinstitute zudem eine Zunahme des sogenannten „Quishing“ (QR-Code-Phishing). Dabei werden echte QR-Codes in öffentlichen Räumen durch manipulierte Versionen ersetzt. Laut der Organisation SABRIC stiegen die Verluste durch digitalen Bankbetrug in der Region von 740 Millionen Rand im Jahr 2022 auf über 1,4 Milliarden Rand im Jahr 2024.
Auch im Bereich der Altersverifizierung gibt es Rückschläge. Eine neu eingeführte EU-App zur Altersprüfung wurde bereits einen Tag nach ihrem Start kompromittiert. Durch einfache Änderungen in den Konfigurationswerten konnten biometrische Kontrollen deaktiviert werden – ein herber Kritikpunkt an der technischen Umsetzung durch die beteiligten Partner Deutsche Telekom und Scytales.
Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle und macht es Hackern besonders leicht, Sicherheitslücken auszunutzen. Erfahren Sie in diesem kostenlosen Report, wie Sie durch die richtigen Updates Malware dauerhaft verhindern und Ihr Gerät rund um die Uhr schützen. Kostenlosen Android-Sicherheits-Report herunterladen
Prävention und regulatorische Entwicklungen
Um den wachsenden Gefahren zu begegnen, setzen Behörden und Unternehmen auf technische Aufrüstung und strengere Regulierung. In Deutschland schreiben neue BSI-Richtlinien (BSI-TR-03161) für sensible Bereiche wie die Bundeswehr die Nutzung von FIDO2-Sicherheitsschlüsseln vor. Statistiken zeigen: 92 Prozent der kompromittierten Konten nutzten lediglich eine SMS-Verifikation, aber kein Hardware-Token.
Auf europäischer Ebene werden die rechtlichen Rahmenbedingungen angepasst. Das NIS-2-Umsetzungsgesetz ist bereits in Kraft getreten. Ab Ende 2026 müssen die Mitgliedstaaten Lösungen für eine digitale EU-Identität (EU Digital Identity Wallet) bereitstellen. Google plant zudem, ab September 2026 eine verpflichtende Identitätsverifikation für alle App-Entwickler einzuführen.
Verbraucherschützer raten zur erhöhten Wachsamkeit. Neben der Aktivierung der Zwei-Faktor-Authentisierung ohne SMS-Fallback wird empfohlen, WLAN, Bluetooth und NFC nur bei direktem Bedarf zu aktivieren. Bei Verdacht auf Betrug im Onlinebanking sollten Kunden die Notrufnummer 116 116 wählen. Die Rechtsprechung stärkt zunehmend die Position der Verbraucher: Banken müssen Phishing-Opfer entschädigen, wenn die Täuschung für Laien kaum erkennbar war – so entschied etwa das OLG Koblenz.
