Phishing-Welle: Behörden und Konzerne schlagen Alarm

Bundesbehörden, Kommunen und Tech-Giganten haben diese Woche eine koordinierte Offensive gegen die Flut von Phishing-Kampagnen gestartet. Allein in den USA entstehen dadurch jährlich Milliardenschäden, und die Täter werden immer professioneller.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Anti-Phishing-Paket jetzt gratis anfordern

Kommunen im Visier: Gefälschte Gebührenbescheide

Am Dienstag dieser Woche warnten die Behörden im kalifornischen Kern County eindringlich vor einer Phishing-Aktion, die sich gezielt gegen Nutzer des Accela-Genehmigungssystems richtet. Die betrügerischen Mails trugen Betreffzeilen wie „Rechnung für Antragsprüfung und Genehmigungsgebühr“ und forderten Bürger zur Zahlung nicht existenter Bearbeitungsgebühren auf. Die Kreisverwaltung riet dringend davon ab, auf Links zu klicken. Stattdessen sollten Zahlungsaufforderungen stets über das offizielle Accela-Portal oder direkt bei der zuständigen Behörde geprüft werden.

Ein ähnliches Szenario spielte sich im selben Zeitraum im 300 Kilometer entfernten Kingman, Arizona, ab. Auch dort warnten Stadtbeamte vor gefälschten Mails, die angeblich von verschiedenen Ämtern stammten. Besonders perfide: Die Angreifer nutzten öffentlich zugängliche Projektdaten zu Baugenehmigungen und öffentlichen Anhörungen, um ihren Nachrichten einen seriösen Anstrich zu verleihen. Die Stadt Kingman stellte klar: Offizielle Mitteilungen kommen ausschließlich von der autorisierten Regierungsdomain, und Zahlungen laufen nur über das SmartGov-Portal.

Bildungssektor unter Beschuss: Daten von Millionen Schülern betroffen

Auch der Bildungssektor bleibt nicht verschont. Instructure, der Mutterkonzern des weit verbreiteten Lernmanagementsystems Canvas, einigte sich am Dienstag mit der Hackergruppe ShinyHunters auf einen Vergleich. Zuvor hatte die Gruppe einen massiven Datenabfluss verursacht. Zwar behaupten die Hacker, rund 3,65 Terabyte an gestohlenen Daten gelöscht zu haben – darunter Informationen von fast 9.000 Schulen. Sicherheitsexperten warnen jedoch: Die Gefahr gezielter Phishing-Angriffe auf Schüler und Studenten bleibt hoch. Namen, E-Mail-Adressen und Schülerausweise gehören zu den kompromittierten Daten.

Kapital One geht in die Offensive

Im Privatsektor wechseln Finanzinstitute von der Defensive in den Angriffsmodus. Am heutigen Mittwoch reichte Capital One eine Markenrechtsklage gegen die unbekannten Betreiber groß angelegter Robocall-Kampagnen ein. Ziel des juristischen Manövers ist es, die Infrastruktur zu zerschlagen, die hinter der Identitätstäuschung steckt. Allein 2025 verursachten solche Betrugsmaschen in den USA Schäden von über 3,5 Milliarden Euro. Laut den in der Klage zitierten Daten waren rund 70 Prozent der Amerikaner im vergangenen Jahr mit irgendeiner Form von Betrug konfrontiert.

Google und Microsoft rüsten auf

Am selben Tag meldete Google einen Erfolg seiner Abwehrsysteme: Die KI-Sperrmechanismen blockieren in Gmail mittlerweile über 99,9 Prozent aller Spam- und Phishing-Versuche – das sind täglich rund 15 Milliarden Nachrichten. Der Konzern verwies zudem auf die Global Signal Exchange (GSE), eine Initiative, die bereits über 1,2 Milliarden Sicherheitssignale verarbeitet hat, um betrügerische Websites zu identifizieren und auszuschalten. Allein 2025 blockierte Google mehr als 8,3 Milliarden Anzeigen, darunter 602 Millionen spezifische Scam-Anzeigen.

Auch Microsoft war am Dienstag im Rahmen des monatlichen Patch-Dienstags aktiv. Der Konzern schloss 137 Sicherheitslücken, darunter 31 als kritisch eingestufte Schwachstellen. Sicherheitsforscher hoben zwei besonders gefährliche Lücken hervor: CVE-2026-40361 in Microsoft Word (CVSS-Score 8,4) und CVE-2026-35421 in der Windows-GDI-Schnittstelle. Beide könnten Angreifern die Ausführung von Schadcode ermöglichen – etwa durch manipulierte E-Mail-Anhänge.

Soziale Medien als Einfallstor: Senioren besonders betroffen

Die finanziellen Schäden durch Cyberkriminalität steigen rasant, und soziale Medien entwickeln sich zum Hauptvektor für finanzielle Verluste. Daten der FTC aus dem Jahr 2025 zeigen: Betrug über soziale Plattformen kostete Amerikaner rund 2,1 Milliarden Euro – ein Anstieg um das Achtfache seit 2020. Den größten Anteil daran hatte Anlagebetrug mit 1,1 Milliarden Euro, während Shopping-bezogene Betrugsmaschen die am häufigsten gemeldete Kategorie waren. Facebook wurde als zentrale Plattform für diese Interaktionen identifiziert, insbesondere bei Liebesbetrug: 60 Prozent der Opfer gaben an, den Täter erstmals auf sozialen Medien kennengelernt zu haben.

Besonders ältere Menschen sind betroffen. Die Verluste von Personen über 60 Jahren sind seit 2020 um 400 Prozent gestiegen. 2025 erreichten die Gesamtverluste dieser Altersgruppe rund 3 Milliarden Euro – ein deutlicher Sprung von einer Milliarde Euro im Jahr 2021. Die Polizei von Livermore in Kalifornien berichtet, dass fast 50 Prozent ihrer lokalen Betrugsfälle Senioren betreffen. Gängige Taktiken sind die Nachahmung der Sozialversicherungsbehörde, von Krankenkassen oder der Steuerbehörde IRS.

Die neuen Methoden: Quishing und KI-Stimmen

Die Branchenforschung von Barracuda zeigt: Jede dritte analysierte E-Mail ist bösartig, wobei Phishing 48 Prozent aller E-Mail-basierten Angriffe ausmacht. Der Aufstieg von „Phishing-as-a-Service“ hat Cyberkriminalität zur Ware gemacht und unterstützt 90 Prozent der Massenkampagnen. Die Täter diversifizieren zudem ihre Zustellmethoden: Rund 70 Prozent der bösartigen PDF-Anhänge enthalten mittlerweile QR-Codes – eine Taktik, die als „Quishing“ bekannt ist.

In Neuseeland machte Quishing im März 2026 bereits zehn Prozent aller Cyberbedrohungen aus. Angreifer nutzten dort die Verwirrung um neue Importbestimmungen – die sogenannte „Temu-Steuer“ – aus, indem sie gefälschte QR-Codes auf Paketen und Parkscheinautomaten anbrachten, die ahnungslose Nutzer auf betrügerische Zahlungsportale umleiteten.

Noch raffinierter wird die Identitätstäuschung durch den Missbrauch legitimer Dienste. Eine Kampagne gegen Robinhood-Nutzer im April 2026 zeigte, wie Angreifer Kontoerstellungs-Workflows missbrauchten, um gefälschte Sicherheitswarnungen von echten Servern zu versenden. Kombiniert wurde dies mit KI-generierten Sprachanrufen, die die echten Namen der Opfer verwendeten, um Vertrauen aufzubauen. Obwohl Ende April ein Patch veröffentlicht wurde, demonstrierte der Vorfall die Effektivität von Multi-Channel-Angriffen.

Ausblick: Passkeys und Live-Bedrohungserkennung

Die FTC und Cybersicherheitsexperten empfehlen einen mehrschichtigen Ansatz für die persönliche und unternehmerische Sicherheit. Die Überprüfung jeder finanziellen Anfrage durch direkte Kontaktaufnahme mit der Organisation gilt als wirksamste Verteidigung. Verbraucher sollten Meldekanäle wie reportphishing@apwg.org oder die SMS-Spam-Meldenummer 7726 nutzen, um Behörden bei der Verfolgung und Blockierung betrügerischer Domains zu unterstützen.

Der technologische Wandel hin zur passwortlosen Authentifizierung gewinnt an Fahrt: Aktuell liegt die Akzeptanzrate für Passkeys bei 69 Prozent. Zukünftige Updates mobiler Betriebssysteme – darunter Android 17, das für später im Jahr 2026 erwartet wird – sollen eine „Live-Bedrohungserkennung“ und KI-gesteuerte Isolierung verdächtiger Prozesse einführen. Zudem sollen neue Schutzmechanismen für Finanzanrufe in Partnerschaft mit Instituten wie Revolut und Nubank die jährlich 980 Millionen Euro Verluste durch Anruf-ID-Spoofing eindämmen.

4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Erfahren Sie in diesem kostenlosen Report, wie Sie mit Passkeys Phishing und Datenklau komplett verhindern. Kostenlosen Passkey-Ratgeber herunterladen

Da Phishing durch KI immer automatisierter und effektiver wird, verlagert sich der Schwerpunkt auf Zero-Trust-Modelle und schnelle Reaktion auf Vorfälle. Moderne Sandbox-Tools können bösartige Redirect-Pfade in weniger als 40 Sekunden analysieren – das verkürzt die Reaktionszeit auf aktive Kampagnen erheblich und verhindert Kontoübernahmen, von denen derzeit rund 34 Prozent der Unternehmen monatlich betroffen sind.

de | wissenschaft | 69328381 |