Cyberangriffe auf Rekordniveau: 442 Milliarden Euro Schaden durch Mobile-Crime

Softwareentwickler weltweit stehen vor der Herausforderung, mit immer raffinierteren Schwachstellen Schritt zu halten. Allein die Schäden durch mobile Cyberkriminalität werden in diesem Jahr auf 442 Milliarden Euro geschätzt – ein alarmierender Wert, der einen grundlegenden Wandel der Angreiferstrategien widerspiegelt.

Während Passwortdiebstahl lange die größte Sorge war, zeigen aktuelle Analysen ein verändertes Bild: Technische Exploits sind mittlerweile für 31 Prozent aller Sicherheitsverletzungen verantwortlich und haben die traditionelle Passwort-Klau (13 Prozent) weit hinter sich gelassen. Für Entwicklungsteams bedeutet das: Die Schwachstellen aus den gängigen Sicherheitsframeworks – insbesondere bei Lieferketten, Injection-Angriffen und Zugriffskontrollen – müssen endlich konsequent angegangen werden.

Angesichts der rasant steigenden Schäden durch mobile Cyberkriminalität wird der Schutz des eigenen Smartphones zur Priorität. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Lieferketten-Angriffe: Laravel und GitHub im Visier

Die letzte Mai-Woche 2024 stand ganz im Zeichen spektakulärer Supply-Chain-Kompromittierungen, die das Vertrauen in Open-Source-Ökosysteme erschüttern. Zwischen dem 22. und 23. Mai gelang es Angreifern, die Laravel Lang Localization-Pakete zu kapern. Rund 700 Versionen dieser Pakete wurden manipuliert, indem die Angreifer GitHub-Tags in vier spezifischen Repositories überschrieben – darunter solche für Sprachen, HTTP-Statuscodes, Attribute und Aktionen. Durch die Umleitung auf bösartige Forks gelangten die kompromittierten Versionen über das Packagist-Repository in die Hände ahnungsloser Entwickler.

Einmal installiert, nutzten die Pakete einen Autoloading-Mechanismus, um ein Skript auszuführen, das wiederum eine sekundäre Schadsoftware herunterlud. Diese stahl Zugangsdaten auf Linux, macOS und Windows – darunter Cloud-Provider-Keys, Kubernetes-Secrets, Browserdaten und Kryptowährungs-Wallets.

Fast zeitgleich entdeckten Forscher die „Megalodon“-Kampagne, eine automatisierte Supply-Chain-Offensive, die über 5.000 GitHub-Repositories infizierte. Die Alarmbereitschaft bei Hudson Rock ergab, dass ein erheblicher Teil der kompromittierten GitHub-Konten direkt mit Infostealer-Infektionen in Verbindung stand – ein potenzielles Sicherheitsdesaster für tausende Unternehmen.

Selbst Branchengrößen sind nicht immun. Erst Anfang Mai 2026 bestätigte OpenAI einen Sicherheitsvorfall, bei dem zwei Mitarbeitergeräte kompromittiert wurden. Ursache war ein manipuliertes Paket aus dem TanStack-Ökosystem. Die Angreifer erbeuteten interne Zugangsdaten aus Quellcode-Repositories. Kundendaten oder API-Keys blieben zwar unberührt, doch der Vorfall zwang OpenAI, Code-Signing-Zertifikate auszutauschen und Nutzern eine Frist bis Mitte Juni zu setzen.

Injection-Lücken: Exploits innerhalb von 48 Stunden

Injection-Schwachstellen bleiben die Achillesferse vieler Systeme – das zeigt die rasante Ausnutzung eines neuen Fehlers im Drupal-Core. Am 20. Mai 2024 wurde ein Patch für eine kritische SQL-Injection-Lücke veröffentlicht, die als CVE-2026-9082 geführt wird. Der Fehler in der PostgreSQL-API hat einen Schweregrad von 9,8 von 10 – die höchste Stufe.

Was folgte, ist ein Lehrstück über die Geschwindigkeit moderner Cyberangriffe: Innerhalb von 48 Stunden nach Veröffentlichung des Patches registrierten Sicherheitsmonitore über 15.000 Angriffe auf rund 6.000 Websites weltweit. Die Hälfte dieser Attacken traf Unternehmen aus der Gaming- und Finanzdienstleistungsbranche, mit Schwerpunkten in den USA, Singapur und Australien.

Am 24. Mai 2026 setzte die US-Cybersicherheitsbehörde CISA die Drupal-Lücke auf ihre Liste bekannter ausgenutzter Schwachstellen – mit der Anweisung an Bundesbehörden, die Patches bis zum 27. Mai einzuspielen.

Doch nicht jede Schwachstelle lässt sich patchen. Ein Fehler im Qualcomm BootROM (CVE-2026-25262) gilt als nicht reparierbar. Entwickler müssen hier auf zusätzliche Sicherheitsschichten im Betriebssystem und auf Anwendungsebene setzen, um unbefugten Zugriff auf Hardware-Ebene zu verhindern.

Zugriffskontrollen: Das Ende der SMS-Authentifizierung

Die traditionellen Authentifizierungsmethoden bröckeln. Microsoft kündigte an, die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) zugunsten biometrischer Passkeys auslaufen zu lassen. Über 5 Milliarden Passkeys sind bereits im Microsoft-Ökosystem aktiv. Der Grund: Phishing-Plattformen wie Kali365 können Zugriffstokens stehlen und Multi-Faktor-Authentifizierung durch Device-Code-Phishing umgehen.

Die Folgen mangelhafter Zugriffskontrollen zeigten sich auch beim Polymarket-Hack am 22. Mai 2026. Ein Angreifer erbeutete zwischen 520.000 und 700.000 Euro aus einer internen Wallet. Die Ursache: ein kompromittierter privater Schlüssel aus einem sechs Jahre alten Legacy-Wallet. Kundengelder blieben zwar sicher – der Vorfall ist aber eine Mahnung, veraltete administrative Zugangspunkte nicht zu vernachlässigen.

Ein weiteres Beispiel für die Folgen von Zugriffskontrollfehlern: Das Canvas Learning Management System erlitt einen massiven Datenleck. Unbefugte verschafften sich Zugriff auf 3,65 Terabyte Daten von fast 9.000 Bildungseinrichtungen. Der Vorfall, der sich über zwei Sitzungen Ende April und Anfang Mai 2026 erstreckte, legte 275 Millionen Datensätze offen – darunter Schülerausweise und private Nachrichten. Berichten zufolge wurde Mitte Mai ein Lösegeld von zehn Millionen Euro gezahlt, um die Löschung der Daten sicherzustellen.

Da herkömmliche Passwörter und SMS-Verfahren zunehmend unsicher werden, setzen Experten verstärkt auf moderne Alternativen. Wie Sie Passkeys bei Diensten wie Amazon oder WhatsApp einrichten und sich so vor Phishing schützen, erfahren Sie in diesem kostenlosen Report. Sicher, bequem und passwortlos – Jetzt Passkey-Ratgeber herunterladen

KI-gesteuerte Bedrohungen: 3,4 Milliarden Phishing-Nachrichten täglich

Ein prägendes Merkmal der Bedrohungslandschaft 2026 ist die Integration Künstlicher Intelligenz in kriminelle Operationen. Satte 86 Prozent aller Phishing-Kampagnen sind mittlerweile KI-gestützt – das ermöglicht die Verteilung von rund 3,4 Milliarden schädlichen Nachrichten täglich. Die Automatisierung erlaubt extrem überzeugende Köder, wie den „Cockroach Janta Party“-Trend auf WhatsApp, der kürzlich zur Verbreitung von Banking-Trojanern in Indien genutzt wurde.

Auch Quishing (QR-Code-Phishing) boomt: Die Fallzahlen stiegen um 150 Prozent auf 18 Millionen gemeldete Vorfälle. Die Angreifer nutzen dabei oft legitime Plattformen, um Filter zu umgehen – etwa offizielle Microsoft-Benachrichtigungsmails, die auf betrügerische Kontaktnummern weiterleiten.

Die mobile Bedrohungslage verschärft sich rasant. Im ersten Quartal 2026 stiegen die Fälle von Banking-Trojanern um 196 Prozent auf 1,24 Millionen Instanzen. Der Trojaner Mamont ist für über 70 Prozent aller Angriffe auf Android-Geräte verantwortlich. Entwickler mobiler Apps setzen zunehmend auf neue Plattformfunktionen wie „Live Threat Detection“ und „Verified Financial Calls“ in den neuesten Android-Versionen.

Ausblick: Strengere Gesetze und neue Plattform-Updates

Die Politik reagiert auf die Eskalation. Am 21. Mai 2026 verabschiedete Deutschland das Digital Identity Act (DIdG) – die Grundlage für die EUDI-Wallet, die ab Januar 2027 kommen soll. Für Entwickler bedeutet das: Digitale Identitäten werden künftig zentraler und staatlich verifiziert sein. Interoperabilität und Sicherheitskonformität werden zur Pflicht.

Auch die großen Plattformen rüsten auf. Google bereitet die stabile Version von Android 17 (Codename „Cinnamon Bun“) für Pixel-Geräte im Juni 2026 vor. Erwartet werden integrierte Gemini-Intelligenz zur Bedrohungserkennung und native App-Sperrmechanismen. Apple hat mit iOS 26.5 bereits 52 Schwachstellen geschlossen, darunter CVE-2026-28950, und das PQ3-Protokoll für quantenresistente Kryptografie eingeführt.

Für Entwicklungsteams heißt das: Die zweite Jahreshälfte 2026 wird zur Bewährungsprobe. Wer die Angriffsfläche reduzieren will, muss auf schnelle Patches, strenge Prüfung von Drittanbieter-Abhängigkeiten und passwortlose Authentifizierung setzen. Technische Exploits sind zur bevorzugten Methode für wertvolle Angriffe geworden – Sicherheit ist kein optionales Extra mehr, sondern operative Notwendigkeit.

de | wissenschaft | 69411907 |