KI-Kriminalität: 442 Milliarden Euro Schaden durch mobile Cyberangriffe erwartet

Allein durch mobile Cyberkriminalität entstehen 2026 voraussichtlich Schäden in Höhe von 442 Milliarden Euro. Treiber dieser Entwicklung ist die Industrialisierung von Phishing-Angriffen durch Künstliche Intelligenz. Rund 86 Prozent aller betrügerischen Nachrichten werden inzwischen von KI-Tools generiert – täglich schätzungsweise 3,4 Milliarden Mal. Herkömmliche Sicherheitsmechanismen sind damit überfordert, große Technologiekonzerne setzen zunehmend auf biometrische Authentifizierung als neuen Standard.

Angesichts der rasanten Zunahme KI-generierter Phishing-Angriffe stehen Unternehmen vor völlig neuen Sicherheitsherausforderungen. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv gegen moderne Hacker-Methoden und psychologische Manipulation absichern. In 4 Schritten zum sicheren Unternehmen: So stoppen Sie Phishing-Angriffe bevor sie entstehen

Phishing als Dienstleistung: Die neue Gefahr für Unternehmen

Das Geschäftsmodell „Phishing-as-a-Service" (PhaaS) senkt die Einstiegshürde für Kriminelle drastisch. Ermittler haben Plattformen wie Kali365 identifiziert, die seit April 2026 aktiv ist. Der Dienst zielt speziell auf Microsoft-365-Zugriffstokens ab – mittels Device-Code-Phishing, das selbst Multi-Faktor-Authentifizierung umgeht. Ähnliche Werkzeuge wie EvilTokens ermöglichen die Übernahme von Konten, selbst wenn zusätzliche Sicherheitsmaßnahmen aktiv sind.

Die Zahlen sprechen eine deutliche Sprache: Banking-Trojaner-Fälle stiegen im ersten Quartal 2026 um 196 Prozent auf 1,24 Millionen. Auf Android-Plattformen ist die Schadsoftware Mamont für over 70 Prozent aller gemeldeten Angriffe verantwortlich. „Quishing" – der Einsatz manipulierter QR-Codes – verzeichnete einen Anstieg um 150 Prozent auf rund 18 Millionen Fälle. Diese Methoden nutzen KI, um den Ton und Stil offizieller Kommunikation nachzuahmen – für Mitarbeiter wird es nahezu unmöglich, legitime von betrügerischen Anfragen zu unterscheiden.

Forensische Untersuchungen jüngster Vorfälle belegen den Einsatz international vernetzter Spear-Phishing-Kampagnen. Selbst hochrangige Persönlichkeiten bleiben nicht verschont: Ende Mai wurden Hackerangriffe auf private Kommunikationskanäle bekannt, bei denen sensible Finanzdaten abflossen.

Biometrie statt Passwort: Unternehmen rüsten um

Angesichts der zunehmenden Anfälligkeit von SMS-basierten Sicherheitsverfahren überholen Technologiekonzerne ihre Authentifizierungssysteme. Microsoft stellte die SMS-Anmeldung für Privatnutzer Ende Mai ein und plant, auch die Zwei-Faktor-Authentifizierung per SMS für Unternehmen durch Passkeys zu ersetzen. Bereits jetzt sind über fünf Milliarden solcher Schlüssel im Microsoft-Ökosystem aktiv. Sie nutzen biometrische Sensoren – Fingerabdruck oder Gesichtserkennung – oder hardwaregestützte PINs, die als deutlich phishing-resistenter gelten als herkömmliche Passwörter.

Der Sicherheitsanbieter Sophos veröffentlichte Ende Mai ein „CISO Playbook" zur Unterstützung von Unternehmen bei der Umstellung. Der Leitfaden bietet Rahmenwerke für Chief Information Security Officers, um Passkeys einzuführen – mit Fokus auf plattformübergreifende Kompatibilität und Wiederherstellungsprozesse. Experten empfehlen eine schrittweise Einführung, beginnend mit Early Adopters.

Auch die Politik zieht nach: Anfang Mai verabschiedete die Bundesregierung das Digitale-Identitäts-Gesetz (DIdG) , das den Weg für die EUDI-Wallet ebnet – Starttermin: 2. Januar 2027.

Apple verschärfte ebenfalls seine Sicherheitsvorkehrungen. Mai-Updates enthalten Dutzende Sicherheitspatches und die Funktion Stolen Device Protection, die nun für viele Nutzer automatisch aktiviert wird. Selbst bei kompromittiertem Gerätecode soll unbefugter Zugriff verhindert werden – ein weiterer Schritt in Richtung hardwaregebundener Sicherheit.

Synthetische Identitäten: Die neue Dimension des Betrugs

Neben direkten technischen Angriffen treibt KI den Betrug mit synthetischen Identitäten voran. Branchenstudien aus 2025 und Anfang 2026 beziffern die Verluste durch traditionellen Identitätsbetrug auf 27,3 Milliarden Euro. Besonders besorgniserregend für Finanzinstitute: synthetischer Identitätsbetrug, bei dem echte Sozialversicherungsnummern mit erfundenen Namen kombiniert werden. Allein für US-Kreditgeber ergibt sich daraus ein Risiko von rund 3,3 Milliarden Euro.

Ende Mai warnte die Better Business Bureau (BBB) vor der Verbreitung von Deepfake-Betrugsmaschen. Dazu gehören Stimmklone von Führungskräften oder Familienmitgliedern, gefälschte Promi-Werbung und betrügerische Jobangebote. Diese Angriffe umgehen herkömmliche Kreditsperren, die gegen Kontenübernahmen, Steuerbetrug oder medizinischen Identitätsdiebstahl nicht schützen.

Ein aktueller Fall aus Kalifornien zeigt die Komplexität solcher Operationen: Ein älterer Bewohner verlor rund 100.000 Euro durch eine mehrstufige Betrugsserie – gefälschter Medicare-Brief, trügerischer Software-Popup, angebliche Regierungsermittler und Bankmitarbeiter. Dieses „Hybrid-Cybercrime"-Modell greift auch im Mobilfunksektor um sich: Nach dem Diebstahl eines Geräts folgen Phishing-Nachrichten, die den ursprünglichen Besitzer zur Preisgabe seiner iCloud-Zugangsdaten bewegen sollen – der Dieb kann das Gerät entsperren und weiterverkaufen.

Regionale Unterschiede und Unternehmensintegration

Die Auswirkungen digitaler Kriminalität variieren stark nach Region und Branche. Auf den Philippinen lag die digitale Betrugsrate 2025 bei 4,1 Prozent – konstant über dem globalen Durchschnitt. Die Logistikbranche ist dort das am stärksten betroffene Segment. In anderen Regionen zeigen sich saisonale Effekte: Während der Neujahrsfeiertage Mitte Februar 2026 sank das Phishing-Volumen in Japan um über 70 Prozent – viele Angreifer schienen sich an regionale Arbeitszeiten zu halten.

Für Unternehmen, die Open-Source- oder Alternativsoftware nutzen, bleibt die Integration von Unternehmenssicherheit eine Herausforderung. Der E-Mail-Client Thunderbird hat seit Ende 2025 bedeutende Fortschritte bei der nativen Microsoft-Exchange-Unterstützung erzielt. Allerdings müssen Organisationen, die diese Tools nutzen, bis zum 1. Oktober 2026 auf die Microsoft Graph API umsteigen, um die Kompatibilität mit Cloud-Diensten zu gewährleisten.

Sicherheitsanalysten von Varonis warnen zudem vor einem neuen Schadsoftware-Stamm namens „Storm" . Die Malware umgeht die Mitte 2024 eingeführte browserbasierte Verschlüsselung, indem sie verschlüsselte Browserdaten zur Entschlüsselung an externe Server sendet. Durch den Diebstahl von Session-Cookies können Angreifer Unternehmenskonten übernehmen – ohne Passwort oder 2FA-Token.

Während Cyber-Attacken auf Passwörter und Session-Cookies immer komplexer werden, bietet die passwortlose Anmeldung einen entscheidenden Sicherheitsvorteil. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys einrichten und Ihre wichtigsten Konten zuverlässig gegen Datenklau absichern. Nie wieder Passwörter merken: Diese neue Methode macht das Einloggen kinderleicht

Ausblick: Das Ende der Passwort-Ära

Unternehmen stehen 2026 vor einer doppelten Herausforderung: steigende Kosten und sich wandelnde Bedrohungen. Microsoft kündigte Preiserhöhungen für seine 365-Suiten zum 1. Juli 2026 an: Business Basic steigt um 16 Prozent, Business Standard um 12 Prozent. Ein neues High-End-Paket, M365 E7, wird für erweiterte Sicherheits- und KI-Anforderungen eingeführt.

Die Cybersicherheitsbranche erwartet weitere Entwicklungen auf großen Branchenevents im Juni, darunter die Vorstellung neuer Betriebssystem-Sicherheitsfunktionen. Auf dem Vietnam Security Summit Ende Mai betonten Behörden eine „Fünf-Nicht"-Strategie für den Datenschutz: keine Weitergabe persönlicher Daten im Netz, keine verdächtigen Links anklicken, keine Dateien von unbekannten Quellen annehmen, keine Überweisungen an ungeprüfte Empfänger und Skepsis bei dringenden finanziellen Aufforderungen.

Der langfristige Trend ist klar: Die Ära des Passworts neigt sich dem Ende zu. KI-gesteuerte Angriffe machen herkömmliche Zugangsdaten zunehmend zur Sicherheitslücke. Biometrische Passkeys und hardwaregestützte Sicherheit werden sich bis 2027 voraussichtlich zur Pflicht für Unternehmensversicherungen und regulatorische Compliance entwickeln. Organisationen, die nicht von der SMS-Authentifizierung und veralteten Anmeldeverfahren abrücken, riskieren, zu den Rekordverlusten des kommenden Jahres beizutragen.

de | wissenschaft | 69412393 |