Cyberkriminelle im Höhenflug: Behörden warnen vor neuer Betrugswelle

Die US-Sicherheitsbehörden schlagen Alarm: Eine nie dagewesene Welle professioneller Identitätstäuschungen rollt über Unternehmen und Behörden.

Die Angriffe zielen nicht mehr nur auf einfache Passwortdiebstähle ab. Kriminelle nutzen vielmehr systematische Schwachstellen aus und hebeln selbst die Zwei-Faktor-Authentifizierung (MFA) aus. Das zeigt eine Reihe dringender Warnungen von Bundespolizei und Cybersicherheitsbehörden aus den letzten Mai-Wochen.

Die aktuelle Bedrohungslage zeigt, dass herkömmliche Passwörter kaum noch ausreichen, um sensible Daten auf mobilen Geräten wirksam zu schützen. IT-Experten empfehlen daher fünf gezielte Sofort-Maßnahmen, um Ihr Smartphone in wenigen Minuten gegen Hacker und Datenmissbrauch abzusichern. Die 5 wichtigsten Smartphone-Schutzmaßnahmen jetzt kostenlos anfordern

Phishing als Dienstleistung: Das Kali365-Phänomen

Erst am 22. Mai 2026 veröffentlichte das FBI eine formelle Warnung vor einer rasant wachsenden Phishing-Plattform namens „Kali365". Dieses Phishing-as-a-Service-Tool zielt speziell auf Microsoft-365-Nutzer ab. Die Methode ist tückisch: Statt Passwörter zu stehlen, kapert die Software sogenannte OAuth-Gerätecode-Flows und erbeutet Zugriffstoken. Damit umgeht sie die klassische MFA vollständig.

Der Einstieg ist erschreckend günstig. Für rund 250 Euro erhalten Kriminelle ein 30-Tage-Abonnement, die Jahreslizenz kostet etwa 2.000 Euro. Sicherheitsforscher von Proofpoint berichten von einer Explosion solcher Gerätecode-Phishing-Aktivitäten seit Februar 2026. Ein bericht von VIPRE aus dem ersten Quartal 2026 untermauert den Trend: Von 1,8 Milliarden analysierten E-Mails imitierten 41 Prozent aller gefälschten Markenkommunikation Microsoft-Dienste.

Schwerer Schlag für die Cybersicherheitsbehörde selbst

Besonders brisant: Ein massiver Datenleak traf die Cybersecurity and Infrastructure Security Agency (CISA). Am 18. Mai 2026 forderten US-Kongressabgeordnete eine Aufklärung über die sogenannte „Private-CISA"-Datenpanne. Auslöser war ein öffentlich zugängliches GitHub-Repository eines Auftragnehmers namens Nightwing.

Seit dem 13. November 2025 lag dort ein 844 Megabyte großer Datensatz offen – mit AWS-GovCloud-Schlüsseln, SSH-Keys und sogar Klartext-Passwörtern in CSV-Dateien. Zwar wurde das Repository am 15. Mai 2026 gelöscht, doch einige Schlüssel blieben laut Sicherheitsanalysten noch 48 Stunden danach gültig. Der Vorfall wirft ein schlechtes Licht auf die internen Sicherheitsprotokolle der Behörde, die seit Januar 2025 ein Drittel ihrer Belegschaft verloren hat.

Kreative Methoden: QR-Codes und falsche Erbschaften

Die Betrugsmethoden werden immer einfallsreicher. Microsoft warnte am 22. Mai vor „Quishing" – dem Einsatz bösartiger QR-Codes in E-Mails und PDFs. Die Angreifer geben sich als Personalabteilung, IT-Support oder Führungskräfte aus. Rund 35.000 Nutzer in 13.000 Organisationen wurden bereits attackiert. Die QR-Codes umgehen traditionelle E-Mail-Filter und leiten auf gefälschte Login-Portale um.

Parallel dazu tauchte ein neuer Erbschaftsbetrug auf. Eine angebliche „National Heir Research Registry" verschickt E-Mails mit der Nachricht, der Empfänger sei der Hauptbegünstigte eines unbeanspruchten Nachlasses – mit einer Frist von 48 Stunden. Ziel ist der Diebstahl persönlicher Daten über einen bösartigen Link. Eine weitere globale Kampagne nutzt Hunderte kurzlebiger Domains für gefälschte Umfragen, die Kreditkartendaten abgreifen.

Angriffsvektoren im Wandel

Der Verizon Data Breach Investigations Report 2026 zeigt einen fundamentalen Wandel: Die Ausnutzung von Sicherheitslücken hat gestohlene Zugangsdaten als Hauptursache für Einbrüche abgelöst – mit 31 Prozent aller Fälle. Doch die Unternehmen reagieren zu langsam: Nur 26 Prozent der bekannten Schwachstellen aus dem CISA-Katalog werden innerhalb von durchschnittlich 43 Tagen geschlossen.

Die Zahl der Sicherheitsvorfälle über Drittanbieter stieg um 18 Prozent und ist nun an 48 Prozent aller Datenlecks beteiligt. Ein aktuelles Beispiel: Mitte Mai 2026 kompromittierte die Gruppe TeamPCP einen GitHub-Mitarbeiter über eine manipulierte VS-Code-Erweiterung und entwendete rund 3.800 interne Repositories.

Milliarden-Schaden durch geduldige Betrüger

Die finanziellen Folgen sind enorm. In der kanadischen Provinz Quebec reichte der Verpackungshersteller Pro-Pals Industries am 11. Mai 2026 Klage ein. Im Februar hatten Angreifer die Kommunikation mit dem Versicherungsmakler abgefangen und falsche Bankdaten untergeschoben. Das Ergebnis: Eine Überweisung von umgerechnet rund 190.000 Euro landete auf dem Konto der Betrüger. Entdeckt wurde der Betrug erst Mitte März.

Angesichts von Millionen gehackten Online-Konten pro Quartal wird der Umstieg auf sicherere Anmeldeverfahren immer dringlicher. Passkeys ermöglichen eine passwortlose Anmeldung per Fingerabdruck oder Gesichtserkennung und machen herkömmliche Phishing-Angriffe nahezu unmöglich. Kostenlosen Report über Passkeys und maximale Sicherheit hier herunterladen

Die Zukunft: Passkeys und Post-Quanten-Kryptografie

Die Branche reagiert. Microsoft kündigte am 22. Mai an, SMS-Codes für die Wiederherstellung privater Konten abzuschaffen. Stattdessen setzt der Konzern auf Passkeys und verifizierte E-Mail-Adressen. Der Grund: SMS ist anfällig für SIM-Swapping und Phishing. Auch das kommende Android 17, geplant für September 2026, wird einen Sicherheitsmechanismus enthalten, der das Auslesen von SMS-OTPs um drei Stunden verzögert.

Parallel dazu treibt die Bedrohung durch zukünftige Quantencomputer die Einführung der Post-Quanten-Kryptografie (PQC) voran. Apple integriert PQC bereits 2026 in seine Betriebssysteme, um TLS-, VPN- und Geräte-zu-Geräte-Verbindungen zu schützen. Angesichts der immer raffinierteren Betrugsmethoden dürften diese Technologien bald zum neuen Standard werden.

de | wissenschaft | 69407932 |