Apple schließt 60 Sicherheitslücken mit iOS 26.5

Rund 442 Milliarden Euro Schaden verursachen Angriffe auf mobile Geräte weltweit – und die Täter nutzen zunehmend Künstliche Intelligenz. Apple reagiert mit dem Update auf iOS 26.5 und schließt über 60 Sicherheitslücken. Besonders kritisch: die Schwachstelle CVE-2026-28950.

Viele iPhone-Nutzer übersehen nach dem Update auf eine neue Version oft gefährliche Voreinstellungen, die ihre Privatsphäre gefährden können. Apple-Experte Detlef Meyer zeigt Ihnen in diesem kostenlosen Ratgeber, wie Sie Ihr Gerät nach einem Update mit wenigen Klicks optimal absichern. iPhone-Sicherheits-Ratgeber kostenlos herunterladen

KI macht Phishing zur Massenwaffe

86 Prozent aller Phishing-Kampagnen laufen inzwischen KI-gesteuert ab. Täglich flattern 3,4 Milliarden Phishing-Nachrichten in die Postfächer – über 82 Prozent davon KI-generiert. Die Klickrate bei Spear-Phishing-Mails liegt bei alarmierenden 54 Prozent.

Noch bedrohlicher: Die Zahl der Banking-Trojaner explodierte im ersten Quartal um 196 Prozent auf 1,24 Millionen Funde. Die Mamont-Malware-Familie ist für drei Viertel aller Aktivitäten verantwortlich. Mit „PromptSpy“ entdeckten Forscher zudem den ersten Android-Schädling mit eigenem KI-Modell, das seine bösartigen Funktionen dynamisch anpasst.

90 Prozent der Massen-Phishing-Kampagnen greifen auf vorgefertigte „Phishing-as-a-Service“-Kits zurück.

Schwachstellen lösen Passwörter als Einfallstor ab

Ein grundlegender Wandel zeichnet sich ab: Technische Sicherheitslücken haben gestohlene Zugangsdaten als häufigsten Einstiegsvektor abgelöst. Laut aktuellem Verizon DBIR entfallen 31 Prozent aller Einbrüche auf ungepatchte Lücken – im Vorjahr waren es nur 20 Prozent.

Das Problem: Unternehmen brauchen im Schnitt 43 Tage, um kritische Lücken zu schließen. Nur 26 Prozent der am häufigsten ausgenutzten Schwachstellen werden zeitnah behoben.

Parallel dazu läuft eine massive Scareware-Kampagne namens „CypherLoc“. Seit Jahresbeginn zählten Forscher von Barracuda 2,8 Millionen Angriffe. Die Schadsoftware nutzt kryptografische Tricks, um Sicherheitssysteme zu umgehen, und lockt Opfer mit gefälschten Support-Nummern in die Falle. Auch Quishing – Phishing über QR-Codes in PDFs – nimmt zu: 70 Prozent solcher Dokumente führen auf betrügerische Seiten.

App-Stores als Einfallstore

Im Google Play Store entdeckten Sicherheitsforscher 28 manipulierte Apps mit über sieben Millionen Installationen. Die Kampagne „Premium Deception“ setzte zehn Monate lang auf 250 gefälschte Anwendungen – darunter Kopien von TikTok und Facebook Messenger –, um Nutzer in Thailand, Malaysia und Osteuropa in Abo-Fallen zu locken.

Regional zeigen sich kriminelle Kreativität: In Indien geben sich Betrüger als Gasversorger aus und schleusen via SMS Fernzugriffs-Apps auf Geräte. In der Schweiz wurde ein 28-Jähriger verurteilt, der mit einem SMS-Blaster aus einem fahrenden Auto 50.000 Handys anpeilte. In Brasilien stieg die Zahl der Bürger, die von Telefonnummern-Spoofing betroffen sind, von 33 auf 38 Prozent.

Banking-Apps und Messenger auf dem Smartphone sind ein Hauptziel für Hacker, die Sicherheitslücken in Android-Systemen gezielt ausnutzen. Dieser gratis PDF-Ratgeber bietet Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Gerät sofort vor Viren und Datenmissbrauch zu schützen. 5 Schutzmaßnahmen für Ihr Android-Smartphone jetzt entdecken

Gerichte stärken Opferrechte

Die Justiz zieht Konsequenzen: Ein Gericht in Mailand verurteilte die Bank BBVA zur Rückzahlung von 20.000 Euro an ein Spoofing-Opfer. Auch das Landgericht Berlin II stellte klar: Banken haften für Phishing-Schäden, wenn dem Kunden keine grobe Fahrlässigkeit nachgewiesen wird.

Microsoft reagiert und stellt SMS-Codes für die Zwei-Faktor-Authentifizierung bei persönlichen Konten ein – zugunsten biometrischer Verfahren. Nutzer der Microsoft Authenticator App müssen dringend auf die aktuellen Versionen aktualisieren. Android 17 wird neue Schutzfunktionen wie „Theft Detection Lock“ und verifizierte Finanzanrufe enthalten.

Die Ökonomie des digitalen Betrugs

Allein durch Phishing entstehen jährlich 25 Milliarden US-Dollar Schaden. 57 Prozent aller Organisationen sind täglich oder wöchentlich Ziel von Angriffen. Besonders gefährdet: Finanz-, Personal- und IT-Abteilungen, die gezielt über LinkedIn für Spear-Phishing recherchiert werden.

Trotz der Bedrohungslage zeigt sich Resilienz: Im Ransomware-Bereich, der für 48 Prozent aller Vorfälle verantwortlich ist, verweigerten 69 Prozent der Unternehmen die Zahlung. Start-ups wie Ocean, das auf KI-basierte E-Mail-Sicherheit spezialisiert ist, erhalten Millionenfinanzierungen – zuletzt 28 Millionen US-Dollar.

Ausblick: EUDI-Wallet und Voice-Cloning

Ab dem 2. Januar 2027 soll in Europa die EUDI-Wallet verpflichtend bereitstehen. Das System zielt darauf ab, unsichere Passwörter und SMS-TANs überflüssig zu machen.

Gleichzeitig warnen Experten vor Voice-Cloning. Betrüger benötigen nur wenige Sekunden Audiomaterial aus sozialen Medien, um Stimmen für den Enkeltrick zu imitieren. 35 Prozent der Nutzer können eine KI-Stimme nicht mehr von einer echten unterscheiden. Sicherheitsempfehlungen raten zu vorab vereinbarten Codewörtern und Verifizierung über alternative Kanäle. Apple und andere Plattformbetreiber werden wohl weiterhin in kurzen Abständen Updates nachschieben müssen – die Angriffs-KI entwickelt sich rasant weiter.

de | wissenschaft | 69383878 |