Mobile Cyberkriminalität erreicht 2026 neue Dimensionen

Schäden durch mobile Angriffe sollen in diesem Jahr rund 442 Milliarden Euro erreichen – KI treibt die Bedrohung an.

Die Sicherheitslage auf dem digitalen Schlachtfeld verschärft sich dramatisch. Experten prognostizieren für 2026 einen Schaden von etwa 442 Milliarden Euro durch mobile Cyberkriminalität. Der Grund: Kriminelle setzen zunehmend auf automatisierte Angriffe in nie dagewesenem Ausmaß. Bereits 86 Prozent aller Phishing-Kampagnen werden von Künstlicher Intelligenz gesteuert – täglich verschicken diese Systeme schätzungsweise 3,4 Milliarden Nachrichten. Angesichts dieser Entwicklung überholen Technologiekonzerne und Regierungen weltweit ihre Sicherheitsstandards.

Die Industrialisierung der mobilen Bedrohung

Das erste Quartal 2026 brachte einen sprunghaften Anstieg mobiler Schadsoftware. Die Zahl der Banking-Trojaner stieg um 196 Prozent auf 1,24 Millionen registrierte Fälle. Besonders perfide: Eine Malware namens „Mamont“ ist für über 70 Prozent aller aktuellen Angriffe auf Android-Geräte verantwortlich.

Angesichts der massiv steigenden Zahl von Banking-Trojanern ist der Schutz der eigenen Finanzdaten auf dem Smartphone wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Gerät wirksam gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt entdecken

Doch nicht nur klassische Software bedroht die Nutzer. „Quishing“ – der Missbrauch bösartiger QR-Codes – legte um 150 Prozent zu. 18 Millionen Fälle wurden registriert. Die Täter nutzen die Allgegenwart von Scan-to-Pay-Systemen und digitalen Speisekarten schamlos aus.

Die kriminelle Infrastruktur wird zudem professioneller. Sicherheitsforscher entdeckten Plattformen-as-a-Service (PhaaS) wie „Kali365“ und „EvilTokens“, die seit April 2024 aktiv sind. Diese Dienste ermöglichen es Angreifern, Microsoft-365-Zugangstoken zu stehlen und die Zwei-Faktor-Authentifizierung (MFA) zu umgehen – durch sogenanntes Device-Code-Phishing. Die Opfer autorisieren dabei unwissentlich ein fremdes Gerät und geben den Tätern vollen Kontozugriff, ohne dass ein Passwort oder Einmalcode benötigt wird.

Ein bemerkenswertes Muster entdeckten Analysten von Proofpoint in Japan: Während der chinesischen Neujahrsferien zwischen dem 15. und 23. Februar brachen Phishing-Angriffe auf japanische Nutzer um über 70 Prozent ein. Die tägliche Spam-Flut sank von 1,3 Millionen auf rund 350.000 E-Mails. Die Forscher schließen daraus, dass viele großangelegte Hacking-Operationen von organisierten Gruppen mit geregelten Arbeitszeiten durchgeführt werden – typischerweise zwischen 9 und 17 Uhr Pekinger Zeit.

Microsoft verabschiedet sich von SMS-Authentifizierung

Die Risiken traditioneller Verfahren sind zu hoch: Microsoft hat seine Sicherheitsstandards offiziell geändert. Am 21. Mai kündigte der Konzern an, die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) zugunsten biometrischer Passkeys einzustellen. SMS-Codes gelten zunehmend als anfällig für Abhörangriffe und Social Engineering. Passkeys, die auf Fingerabdruckscanner, Gesichtserkennung oder PINs setzen, sind nun Standard für die über fünf Milliarden aktiven Nutzer im Microsoft-Ökosystem.

Die gerätespezifischen Schlüssel lassen sich plattformübergreifend synchronisieren – auch mit Apple und Google. Der Schritt fällt zusammen mit einer Neuordnung der Microsoft-Geschäftskundenangebote. Ab dem 1. Juli steigen die Preise für Microsoft 365: Business Basic um 16 Prozent, Business Standard um 12 Prozent. Ein neues Spitzenpaket, M365 E7, kommt für 92 Euro pro Nutzer und Monat auf den Markt.

Da Branchengrößen wie Microsoft Passwörter zunehmend durch biometrische Verfahren ersetzen, wird die Nutzung von Passkeys zum neuen Sicherheitsstandard. Erfahren Sie in diesem kostenlosen Report, wie Sie die Technologie bei Amazon, Microsoft oder WhatsApp schnell einrichten und sich künftig passwortlos anmelden. Kostenlosen Passkey-Ratgeber herunterladen

Auch andere Technologiekonzerne rüsten auf. Apple aktivierte mit dem Update auf iOS 26.4.1 automatisch den „Stolen Device Protection“-Modus. Das iOS-26.5-Update vom 11. Mai schloss 52 kritische Sicherheitslücken, darunter die als CVE-2026-28950 bekannte Schwachstelle. Google verbesserte die mobile Sicherheit mit der Android-17-Beta, die Live-Bedrohungserkennung und automatische Erkennung betrügerischer Anrufe bietet.

Gesetzgeber ziehen nach – Deutschland verabschiedet Digitalgesetz

Die Politik reagiert auf die wachsende Bedrohung durch synthetischen Identitätsbetrug und Kontodiebstähle. Am 20. Mai verabschiedete Deutschland das Digital Identity Act (DIdG) – die rechtliche Grundlage für die EUDI-Wallet. Das digitale Identitätssystem soll am 2. Januar 2027 offiziell starten und eine staatlich geprüfte Alternative zu privaten Anmeldeverfahren bieten.

Parallel dazu verstärken internationale Strafverfolgungsbehörden ihre Bemühungen. Die von Interpol koordinierte Operation „FRONTIER+ III“ führte zu über 3.000 Festnahmen. Die Behörden sicherten Vermögenswerte in Höhe von 160 Millionen US-Dollar – Berichten zufolge könnten die eingefrorenen Gelder sogar 752 Millionen US-Dollar erreicht haben.

Doch der Betrug entwickelt sich weiter. In Indien warnte die Cybersicherheitsbehörde I4C am 23. Mai vor einer raffinierten „Hybrid-Cyberkriminalität“ gegen iPhone-Nutzer. Die Täter senden Phishing-Nachrichten an Besitzer verlorener Geräte, geben sich als Apple-Support aus und stehlen Apple-IDs sowie Einmalpasswörter. Ziel ist es, die gestohlenen Geräte auf dem Zweitmarkt zu verkaufen. Ähnliche Betrugsmaschen über soziale Medien meldete die Polizei im indischen Punjab: Gefälschte Links zu einer satirischen „Cockroach Janata Party“ kompromittierten Bankdaten über WhatsApp.

Grenzen des klassischen Identitätsschutzes

Die Methoden der Kriminellen werden vielfältiger – traditionelle Sicherheitsmaßnahmen reichen nicht mehr aus. Marktforscher von Javelin Strategy & Research und TransUnion beobachten, dass Kreditsperren (Credit Freezes) keinen umfassenden Schutz mehr bieten. Während eine Sperre die Eröffnung bestimmter neuer Konten verhindert, schützt sie nicht vor synthetischem Identitätsbetrug: Angreifer kombinieren eine echte Sozialversicherungsnummer mit einem fiktiven Namen, um automatisierte Prüfungen zu umgehen.

2025 verursachte traditioneller Identitätsbetrug Schäden von 27,3 Milliarden US-Dollar – 18 Millionen Opfer waren betroffen. Allein für US-Kreditgeber besteht ein Risiko von 3,3 Milliarden US-Dollar durch synthetischen Betrug. Kreditsperren verhindern zudem keinen medizinischen Identitätsdiebstahl, Steuerbetrug oder die unbefugte Übernahme bestehender Rentenkonten. Experten empfehlen daher einen mehrschichtigen Ansatz: Passwort-Manager, Datenbroker-Scans und kontinuierliche Kontenüberwachung als neuen Mindeststandard.

Die Bedrohung betrifft auch hochkarätige Ziele. Am 24. Mai meldete der britische Politiker Nigel Farage, dass sein Mobilgerät durch eine Spear-Phishing-Attacke kompromittiert wurde. Forensische Untersuchungen ergaben, dass die Angreifer Details zu einer Spende in Höhe von fünf Millionen Pfund erbeuten wollten. Der Vorfall zeigt: Selbst Personen mit hohem Sicherheitsbewusstsein sind nicht immun gegen gezielte Phishing-Angriffe.

Ausblick: Digitale Souveränität als Trend

Für den Rest des Jahres 2026 erwarten Experten einen weiteren Schub in Richtung digitaler Souveränität und lokaler Softwarelösungen. In Europa soll die „Euro-Office“-Suite – eine Zusammenarbeit von Ionos, Nextcloud und Proton – im Sommer 2026 als GDPR-konforme Alternative zu amerikanischer Bürosoftware starten. Der Trend spiegelt die wachsende Nachfrage nach datenschutzorientierten Geschäftswerkzeugen wider.

Softwareentwickler passen ihre Veröffentlichungszyklen an, um Schwachstellen schneller zu schließen. Thunderbird wechselt auf einen monatlichen Release-Zyklus und arbeitet an der vollständigen Integration mit der Microsoft Graph API für Exchange Online – Frist: 1. Oktober 2026. Auf der Verbraucherseite blickt die Sicherheitsbranche auf den 8. Juni: Apples WWDC soll iOS 27 bringen – mit weiteren Fortschritten bei biometrischer Sicherheit und verschlüsselter Kommunikation.

Da mobile Geräte zum primären Ziel staatlicher Akteure und unabhängiger Krimineller werden, bleibt die Branche auf biometrische Passkeys und KI-gestützte Bedrohungserkennung angewiesen. Der Weg zur Eindämmung der prognostizierten 442 Milliarden Euro Schaden führt nur über diese Technologien.

de | wissenschaft | 69412394 |