Cyberkriminalität erreicht neue Dimension: Behörden schlagen Alarm

Hacker imitieren immer professioneller Regierungsstellen und Großkonzerne – die Schäden gehen in die Millionen.

Mitte Mai 2026 haben US-Behörden und Finanzinstitute eine Welle von Sicherheitswarnungen ausgesprochen. Der Grund: Cyberkriminelle perfektionieren ihre Methoden, offizielle Stellen zu imitieren. Von gefälschten Grundsteuer-Mails in Kalifornien bis zu ausgeklügelten „Quishing"-Angriffen auf Microsoft-365-Nutzer – die aktuelle Bedrohungslage offenbart eine kritische Schwachstelle im digitalen Identitätsmanagement.

Die Angriffswelle trifft auf eine besonders gefährdete Zielgruppe: Steuerzahler und Berufseinsteiger. Sicherheitsforscher warnen, dass die meisten globalen Passwörter inzwischen innerhalb eines Tages geknackt werden können. Die Wiederherstellungskosten nach Identitätsdiebstählen klettern in die Hunderttausende.

Angesichts der zunehmenden Professionalität von Hackerangriffen ist der Schutz privater Konten wichtiger denn je. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten und so Ihre Sicherheit massiv erhöhen. Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll?

Steuerbetrug und Job-Fallen: Wer gerade im Visier steht

Die US-Steuerbehörde IRS und die Wertpapieraufsicht von Alabama warnten Mitte Mai vor saisonalen Betrugsmaschen. Die Behörde betont: Das IRS nimmt niemals per E-Mail Kontakt auf, um persönliche Daten abzufragen. Hintergrund ist eine bevorstehende Frist für Steuervorteile aus dem Jahr 2010 – ein gefundenes Fressen für Betrüger, die „kostenloses Geld" oder Sofort-Rückzahlungen versprechen.

Parallel dazu entdeckte das Planungsamt von Los Angeles County am 17. Mai Phishing-Kampagnen gegen Grundstückseigentümer. Kriminelle nutzen gefälschte E-Mail-Domains, um an sensible Daten zu gelangen. Die Behörde stellte klar: Offizielle Schreiben kommen ausschließlich von echten Regierungs-Domains.

Besonders perfide: Job-Betrug, der Berufseinsteiger ins Visier nimmt. 2025 verloren 20- bis 29-Jährige allein in den USA über 550 Millionen Dollar durch solche Maschen. Rund 33 Millionen Dollar entfielen auf gefälschte Stellenangebote. Die Masche: angebliche Bewerbungsgebühren oder Zahlungen für Arbeitsmaterial. Die goldene Regel: Kein seriöser Arbeitgeber verlangt Geld für eine Bewerbung.

Unternehmen unter Beschuss: Millionen-Schäden durch Identitätsdiebstahl

Die Wirtschaft steht vor einer ähnlichen Herausforderung. Der „State of Identity Security 2026"-Report von Sophos zeigt: 71 Prozent aller Organisationen erlitten im vergangenen Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall. Die Energiebranche ist mit 80,3 Prozent am stärksten betroffen. Hauptursachen: menschliches Versagen (43 Prozent) und mangelhaftes Management nicht-menschlicher Identitäten (41 Prozent).

Die finanziellen Folgen sind gewaltig. Die durchschnittlichen Wiederherstellungskosten pro Vorfall liegen bei rund 750.000 Dollar. Ein prominentes Beispiel: Fidelity Investments einigte sich am 17. Mai auf einen Vergleich über 2,5 Millionen Dollar. Der Fall geht auf einen Datenleck im August 2024 zurück, bei dem Sozialversicherungsnummern und Bankdaten von über 155.000 Kunden offengelegt wurden. Betroffene können nun bis zu 5.000 Dollar erhalten.

Aktueller: Die Überwachungsplattform Grafana meldete am 18. Mai einen GitHub-Token-Vorfall. Zwar blieben Kundendaten unberührt, doch ein Angreifer verschaffte sich Zugriff auf Teile des Quellcodes. Das Unternehmen wies eine Erpressungsforderung zurück und verschärfte die Sicherheitsmaßnahmen.

Quishing und Banking-Trojaner: Die neuen Gefahren

Cyberkriminelle setzen zunehmend auf technisch ausgefeilte Methoden. Das Phishing-Kit „Tycoon2FA" gilt als große Bedrohung für Microsoft-365-Konten. Es nutzt eine vierstufige Angriffskette und sogenannte Device-Code-Phishing-Attacken, um Sicherheitsmechanismen zu umgehen. Sicherheitsfirmen empfehlen, den Device-Code-Fluss zu deaktivieren, wo er nicht benötigt wird.

Auf mobilen Plattformen eskaliert die Bedrohung rasant. Der Kaspersky Mobile Threat Report 2025 verzeichnet einen Anstieg von Banking-Trojanern auf Android um 56 Prozent im Jahresvergleich. Der Mirax-Trojaner legte sogar um 196 Prozent zu – auf 1,2 Millionen gemeldete Fälle. „Quishing" – der Einsatz bösartiger QR-Codes – stieg um 150 Prozent, mit 18 Millionen Fällen allein im ersten Quartal 2026.

Eine neue Variante des TrickMo-Banking-Trojaners, genannt TrickMo.C, wurde in Frankreich, Italien und Österreich entdeckt. Die Schadsoftware versteckt ihre Anweisungen in der TON-Blockchain – ein Albtraum für traditionelle Sicherheitssoftware. Sie zielt vor allem auf Banking- und Kryptowährungs-Apps ab.

Besonders Smartphone-Nutzer, die Online-Banking und PayPal nutzen, stehen im Fadenkreuz der Kriminellen. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Gerät sofort gegen Viren und Hacker absichern. So sichern Sie Ihr Android-Smartphone in wenigen Minuten gegen Hacker ab – kostenlos

Automatisierte Angriffe und ungeschützte Datenbanken

Das Ausmaß moderner Datenlecks wird oft durch grundlegende Sicherheitslücken verstärkt. Am 17. Mai wurde bekannt, dass die Messaging-App Tokee die Profile von 1,2 Millionen Nutzern offengelegt hatte. Ursache: eine ungeschützte MongoDB-Datenbank. Namen, Telefonnummern und Geräte-Token waren frei zugänglich.

Eine Kaspersky-Studie zeigt: 68 Prozent aller globalen Passwörter können von automatisierten Tools innerhalb eines Tages geknackt werden. Besonders anfällig sind kurze Passwörter mit acht Zeichen oder weniger. Diese Automatisierung ermöglicht Massenangriffe wie den „Canvas"-Cyberangriff der Gruppe ShinyHunters im Mai 2026. Betroffen: 275 Millionen Nutzer an über 9.000 Schulen, mit erheblichen Störungen an Universitäten wie UCLA und Fresno City College.

Analyse: Der Weg zur einheitlichen Identitätskontrolle

Der rote Faden dieser Vorfälle: fragmentierte Sicherheitssysteme versagen. Branchenanalysten kritisieren, dass die traditionelle Trennung von Zugriffsmanagement (PAM), Identitätsverwaltung (IGA) und Cloud-Berechtigungsmanagement (CIEM) ein schwer kontrollierbares „Monster" geschaffen hat.

Neueste Forschung zeigt: 99 Prozent der Cloud-Sicherheitsvorfälle sind auf unsichere Identitäten zurückzuführen – nicht auf Infrastruktur-Schwachstellen. Die Antwort: „Unified Identity Control"-Plattformen, die Berechtigungen über verschiedene Cloud-Anbieter wie AWS, Azure und Google Cloud Platform hinweg verwalten. Da Identität zur primären Angriffsfläche wird, verlagert sich der Fokus vom Perimeter-Schutz zur granularen Kontrolle jedes Zugangspunkts.

Ausblick: Android 17 und die nächste Generation von Bedrohungen

Softwareentwickler arbeiten an robusteren Abwehrmechanismen. Android 17 soll spezielle Diebstahlsperren und ein System für verifizierte Finanzanrufe einführen – eine Reaktion auf die Flut von APK-bezogenem Betrug. Diese Updates kommen rechtzeitig: Der Support für ältere Versionen wie Android 5.0 endet am 8. September 2026, was Nutzer älterer Geräte verwundbar machen könnte.

Doch neue Schwachstellen fordern die Abwehr heraus. Im Mai 2026 identifizierten Forscher CVE-2026-0073, eine Zero-Click-Sicherheitslücke in Android. Ein weiterer Fehler, CVE-2026-41940, wird bereits aktiv ausgenutzt. Solange 68 Prozent der Passwörter leicht knackbar bleiben und Identitätsdiebstahl profitabel ist, wird der Kreislauf aus Warnungen und Vergleichen wohl noch lange anhalten.

de | wissenschaft | 69363554 |