Cyberangriffe auf Smartphones: Schäden erreichen 442 Milliarden Euro

Laut BSI sind die weltweiten Schäden durch Cyberangriffe auf Smartphones auf 442 Milliarden Euro gestiegen. Im Zentrum der Bedrohung stehen hochspezialisierte Methoden zum Abfangen von Einmalpasswörtern sowie KI-gestützte Betrugsszenarien.

Angesichts der rasant steigenden Schäden durch mobile Cyberkriminalität ist ein Basisschutz für das Smartphone wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Täterstrukturen haben sich drastisch professionalisiert. Branchenanalysten beobachten eine Zunahme von Angriffen auf Schwachstellen in SMS-Diensten und die Manipulation von Identitäten. Apple und Google reagieren mit umfassenden Sicherheitsupdates.

Die Sicherheitslücke im Posteingang

Ein wesentlicher Treiber der Schadenssummen ist die Fragilität der SMS-basierten Authentifizierung. Hacker nutzen verstärkt Sicherheitslücken in A2P-Diensten (Application-to-Person) aus, die Unternehmen für Verifizierungscodes nutzen. Einem Sicherheitsforscher gelang es in einem Experiment, den SMS-Verkehr einer Testnummer vollständig zu kontrollieren – das zeigt die Anfälligkeit der Zwei-Faktor-Authentifizierung via SMS.

Die praktischen Folgen sind alarmierend. In Manitoba, Kanada, verklagt Pro-Pals Industries Unbekannte und ein Finanzinstitut, nachdem durch abgefangene E-Mails und die Imitation eines Versicherungsmaklers über 203.000 US-Dollar veruntreut wurden. Der Betrug begann im Februar 2026 und wurde erst einen Monat später entdeckt. Das kanadische Betrugsbekämpfungszentrum meldete für das erste Quartal 2026 Verluste von 31 Millionen US-Dollar durch „Payment Redirection Fraud“ – nach 68 Millionen US-dollar im gesamten Vorjahr.

In Ohio warnen Behörden vor einer neuen SMS-Betrugswelle. Täter geben sich als Distriktgerichte aus und drohen mit Haftbefehlen wegen angeblich unbezahlter Verkehrsstrafen. In Zürich wurden schätzungsweise 50.000 Mobiltelefone mit Phishing-Nachrichten infiziert – der sogenannte „SMS-Blaster-Fall“.

iOS 26.5 und Android 17: Zwei Strategien gegen die Bedrohung

Apple hat am 16. Mai 2026 iOS 26.5 veröffentlicht. Das Update schließt 52 bis über 60 Sicherheitslücken, darunter den DarkSword-Exploit, den staatliche Akteure zur Kompromittierung von iPhones nutzten. Zu den behobenen Schwachstellen gehören kritische Fehler im Kernel und in der WebKit-Engine (CVE-2026-28951 und CVE-2026-28950, genannt TCLBANKER). Letztere zielte spezifisch auf Banking-Informationen ab.

Apple führt zudem eine verschlüsselte RCS-Kommunikation auf Basis des MLS-Protokolls ein. Im Beta-Stadium wird sie von großen deutschen Providern wie der Telekom, O2 und 1&1 unterstützt. Für sensible Aktionen erzwingt das System nun biometrische Merkmale wie Face ID oder Touch ID.

Google setzt bei Android 17 auf einen KI-zentrierten Ansatz. Die Funktion „Theft Detection Lock“ erkennt das typische Muster eines Entreißdiebstahls und sperrt das Gerät sofort. Die „OTP Protection“ verbirgt Verifizierungscodes für drei Stunden im Benachrichtigungsverlauf. Mit „Verified Financial Calls“ arbeitet Google mit Finanzdienstleistern wie Revolut, Itaú und Nubank zusammen, um die Echtheit von Bankanrufen zu garantieren.

KI-gestützte Taktiken: Vom Enkeltrick zum Quishing

Die Bedrohungslandschaft hat sich durch künstliche Intelligenz grundlegend verändert. Marktforscher verzeichnen einen Anstieg von Phishing-Mails um 1.265 Prozent seit der breiten Verfügbarkeit von generativer KI. Täter erstellen Sprachklone für Enkeltrick-Betrug oder Vishing-Angriffe (Voice Phishing). Das Bundeskriminalamt registrierte 2024 über 6.600 solcher Schockanrufe. Ein prominentes Beispiel: Ein CEO eines britischen Energieunternehmens verlor 243.000 US-Dollar durch einen KI-generierten Sprachklon seines Vorgesetzten.

Quishing – Phishing über QR-Codes – gewinnt massiv an Bedeutung. Im ersten Quartal 2026 wurden weltweit 18 Millionen Fälle registriert, ein Anstieg von 150 Prozent. Täter platzieren bösartige QR-Codes über offiziellen Anzeigen oder in E-Mails. Besonders häufig imitieren sie Marken wie Microsoft, da diese im Geschäftsumfeld hohes Vertrauen genießen.

In Pakistan beobachten Sicherheitsbehörden eine Zunahme von physischem Social Engineering. In öffentlichen Verkehrsmitteln bitten Täter Passanten um Hilfe bei einer Handyeinstellung – und installieren in unbeobachteten Momenten Schadsoftware. Die Polizei warnt davor, Mobilgeräte an Fremde zu übergeben oder unbekannte Videoanrufe anzunehmen.

Wer haftet bei Cyberbetrug?

Das Landgericht Berlin II hat in einem richtungsweisenden Urteil festgestellt: Banken haften grundsätzlich für Schäden durch Phishing – es sei denn, dem Kunden kann grobe Fahrlässigkeit nachgewiesen werden. Das erhöht den Druck auf Finanzinstitute, ihre Sicherheitsarchitekturen über die einfache SMS-Verifizierung hinaus zu verstärken.

Ob Online-Banking oder WhatsApp – wer sein Smartphone täglich nutzt, sollte die empfohlenen Sicherheitsvorkehrungen der Experten kennen. Dieser kostenlose Leitfaden bündelt die wichtigsten Maßnahmen für Android-Nutzer in einem kompakten Paket. Kostenlosen Sicherheits-Ratgeber herunterladen

Experten empfehlen eine mehrschichtige Verteidigungsstrategie:
- Multi-Faktor-Authentifizierung ohne SMS, stattdessen physische Sicherheitsschlüssel oder App-basierte Generatoren
- Sofortige Installation von Sicherheitsupdates. Für Geräte mit Android 5.0 oder iOS 13 endet der Support am 8. September 2026 endgültig
- Mündliche Passwörter innerhalb von Familien oder Unternehmen gegen KI-Stimmenimitationen
- Vorsicht bei unaufgeforderten Pop-ups oder Anrufen, die zu Überweisungen oder Goldkäufen auffordern. In Ottawa wurden Senioren um Beträge von jeweils über 500.000 US-Dollar gebracht

Ausblick: Das Wettrüsten geht weiter

Für den 8. Juni 2026 ist die WWDC angekündigt. Erwartet werden Details zu „Apple Intelligence“ und der On-Device-Verarbeitung sensibler Daten. Ziel ist es, die Privatsphäre durch Private Cloud Compute zu stärken.

Doch das Wettrüsten bleibt bestehen. Kommerzielle Überwachungstools wie GrayKey oder Lösungen von Cellebrite werden kontinuierlich weiterentwickelt, um Verschlüsselungen zu umgehen. Das zwingt die Betriebssystemhersteller zu immer kürzeren Update-Zyklen. Analysten prognostizieren: Der Erfolg gegen mobile Cyberkriminalität wird maßgeblich davon abhängen, wie schnell Nutzer und Unternehmen von veralteten Methoden wie der SMS-Authentifizierung abrücken.

de | wissenschaft | 69351062 |