Hacker nutzen KI: Die neue Welle der Cyberangriffe rollt

Cyberkriminelle setzen zunehmend auf Künstliche Intelligenz und missbrauchen vertrauenswürge Infrastrukturen wie Google und Microsoft, um ihre Opfer zu täuschen. Die Zeit zwischen der Entdeckung einer Sicherheitslücke und ihrer Ausnutzung ist auf wenige Stunden geschrumpft.

4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten

Angriffe in Rekordgeschwindigkeit

Noch nie konnten Hacker Sicherheitslücken so schnell ausnutzen wie heute. Laut dem aktuellen Synack Report 2026 vergehen zwischen der Entdeckung einer Schwachstelle und ihrem aktiven Missbrauch nur noch Stunden. Die Zahlen sind alarmierend: Im Jahr 2025 wurden 48.244 neue Sicherheitslücken (CVEs) dokumentiert – ein Anstieg um 20 Prozent gegenüber dem Vorjahr.

Zwar konnten Unternehmen die durchschnittliche Behebungszeit von 63 auf 38 Tage senken. Doch für die kritischsten Lücken reicht das nicht mehr. Sie werden etwa 25 Tage schneller ausgenutzt als noch im vorherigen Zyklus.

Das FBI verzeichnete für 2025 über eine Million Beschwerden wegen Cyberkriminalität. Der Gesamtschaden erreichte mit 20,9 Milliarden Euro eine neue Rekordmarke – ein Plus von 26 Prozent. „KI-Tools machen es Betrügern deutlich leichter, Verbraucher zu täuschen“, warnt das FBI. Die Systeme sammeln automatisiert persönliche Daten und erstellen täuschend echte Audio- und Video-Imitationen.

Besonders perfide: Die gesammelten Informationen werden für sogenannte „Imposter-Scams“ genutzt. Die Täter geben sich als Bankmitarbeiter, Behördenvertreter oder Paketdienste wie Amazon aus. Ein aktueller Fall aus Klagenfurt zeigt die perfide Masche: Am 17. Mai 2026 verlor eine 75-jährige Frau 110.000 Euro, nachdem ein angeblicher Bankmitarbeiter sie am Telefon getäuscht hatte.

Quishing und Device-Code-Phishing: Die neuen Gefahren

Herkömmliche E-Mail-Filter werden immer besser – also weichen die Angreifer auf ausgefallenere Wege aus. Mitte Mai 2026 warnte der Bitcoin-Entwickler Jameson Lopp vor einer besonders raffinierten Masche: Hacker manipulieren Googles System für Wiederherstellungs-Kontakte. Indem sie die Namensfelder in diesen Formularen verändern, schleusen sie Phishing-Links in legitime Sicherheitsbenachrichtigungen ein. Da die E-Mails technisch echt sind, passieren sie problemlos alle Sicherheitsprotokolle wie SPF, DKIM und DMARC.

Die Zahlen sprechen eine deutliche Sprache: Im ersten Quartal 2026 stieg „Quishing“ – Phishing über QR-Codes – um 150 Prozent auf 18 Millionen dokumentierte Fälle. Banking-Trojaner legten um 196 Prozent zu (1,24 Millionen Fälle). Besonders gefährlich: Das Phishing-Kit „Tycoon2FA“ wurde im Mai 2026 aktualisiert und unterstützt nun Device-Code-Phishing. Diese Methode umgeht die Authentifizierung bei Microsoft 365-Konten. Analysten von eSentire berichten von einem 37-fachen Anstieg solcher Angriffe im Jahr 2026.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Der Abschied vom Passwort beginnt

Die Tech-Riesen reagieren. Microsoft kündigte Mitte Mai an, Passkeys in den Entra External ID-Dienst zu integrieren – der Rollout erfolgt Ende Mai 2026. Ziel ist der Schutz vor Quishing und Banking-Trojanern durch phishing-resistente Authentifizierung. 99,6 Prozent der Microsoft-Mitarbeiter sind bereits durch solche Verfahren geschützt. Bis Januar 2027 will der Konzern Sicherheitsfragen komplett abschaffen.

Google Workspace führte am 16. Mai die Option „Passwörter überspringen“ ein und fördert damit den Einsatz von Biometrie und Hardware-Schlüsseln. WhatsApp testet derweil einen optionalen Passwortschutz für die Konto-Registrierung auf neuen Geräten – ein sechs- bis zwanzigstelliger Code soll die bestehende SMS-Bestätigung ergänzen.

Diese Entwicklung ist überfällig. Herkömmliche Zwei-Faktor-Authentifizierung per SMS gilt als zunehmend unsicher. SIM-Swapping und Angriffe auf das SS7-Protokoll machen sie angreifbar.

Was bedeutet das für Verbraucher?

Die Botschaft der Sicherheitsexperten ist eindeutig: Null Vertrauen in unbekannte Kontakte. Wer einen Anruf von einer angeblichen Bank oder Behörde erhält, sollte die Identität des Gegenübers über unabhängige Kanäle prüfen. KI-gestützte Stimmimitationen sind kaum noch von echten Stimmen zu unterscheiden – das Bundeskriminalamt registrierte allein 2024 rund 6.600 Fälle.

Empfohlen werden komplexe, einzigartige Passwörter mit mindestens 16 Zeichen für bestehende Systeme. Die Zwei-Faktor-Authentifizierung sollte über Authenticator-Apps erfolgen, nicht per SMS. Zudem raten Experten zur Sperrung der Kreditauskünfte bei den großen Auskunfteien.

Die nächste Stufe der Entwicklung ist bereits absehbar: Die Post-Quanten-Kryptografie-Standards wurden im August 2024 finalisiert. Und die geplante Verkürzung der TLS-Zertifikatslaufzeiten auf 47 Tage bis 2029 soll die Angriffsfläche weiter minimieren. Doch bis dahin gilt: Wer heute nicht umdenkt, wird morgen zum Opfer.

de | wissenschaft | 69366933 |