Smartphone-Angriffe: 442 Milliarden Euro Schaden erwartet

Für 2026 prognostizieren Analysten einen Gesamtschaden von 442 Milliarden Euro durch mobile Angriffe. Besonders perfide: Kriminelle kombinieren KI-gestützte Techniken mit psychologischem Social Engineering.

Banking, E-Mails, Fotos – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt, wie Sie Ihr Gerät mit 5 einfachen Schritten wirksam absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Wenn der „Bankmitarbeiter“ anruft

Die Masche ist alt, die Technik neu. Im Schweizer Kanton Basel-Landschaft erbeuteten Telefonbetrüger innerhalb von sechs Monaten 1,15 Millionen Franken. Sie gaben sich als Bankmitarbeiter aus und brachten ihre Opfer dazu, Fernwartungssoftware wie Anydesk zu installieren.

Ähnliche Fälle häufen sich. In Groß Kreutz (Brandenburg) verlor ein Rentner einen hohen fünfstelligen Betrag – die Täter hatten unter dem Vorwand einer Sicherheitsprüfung Zugriff auf sein Online-Banking erhalten. In Frechen schickten Betrüger sogar Boten, um Bankkarten und PINs persönlich abzolen.

Die Polizei warnt: Kreditinstitute fragen niemals telefonisch nach Passwörtern und schicken keine Mitarbeiter zur Kartenabholung.

KI macht Phishing zur Massenware

86 Prozent aller Phishing-Kampagnen werden mittlerweile durch KI gesteuert. Das entspricht etwa 3,4 Milliarden Nachrichten pro Tag. Die Technologie erzeugt täuschend echte Sprachnachrichten und SMS – perfekte Imitationen von Behörden oder Firmen.

Ein Visa-Bericht bezifferte die Verluste durch Social Engineering im zweiten Halbjahr 2025 auf fast eine Milliarde US-Dollar. Das FBI verzeichnete für 2025 Verluste von 798 Millionen US-Dollar durch Smishing- und Vishing-Angriffe.

SMS-Blaster und Quishing: Die technische Seite

In Wien stellte die Polizei im Mai einen sogenannten SMS-Blaster sicher. Das Gerät verschickt pro Stunde rund 100.000 betrügerische Nachrichten in einem eng begrenzten Umkreis – und umgeht damit traditionelle Filter der Mobilfunkbetreiber.

Auch QR-Codes werden zur Gefahr: Das „Quishing“ genannte Phishing via QR-Code stieg im ersten Quartal 2026 um 150 Prozent auf 18 Millionen Vorfälle weltweit. Microsoft warnte vor betrügerischen Codes in E-Mails, PDFs und auf gefälschten CAPTCHA-Seiten. Über 35.000 Nutzer in rund 13.000 Organisationen seien bereits betroffen gewesen.

Hardware-Lücke ohne Patch

Forscher von Kaspersky entdeckten die Sicherheitslücke CVE-2026-25262 im BootROM zahlreicher Qualcomm-Chips. Bei physischem Zugriff können Angreifer die volle Kontrolle über das Gerät übernehmen. Das Problem: Für bereits im Umlauf befindliche Chips gibt es keinen Software-Patch. Nur zukünftige Hardware-Generationen sind geschützt.

Betroffen sind unter anderem die Chipsätze MDM9x07 und SDX50.

Banking-Trojaner legen zu

Allein im ersten Quartal 2026 stieg die Zahl der Banking-Trojaner um 196 Prozent auf 1,24 Millionen Fälle. Die Malware „Mamont“ dominiert dabei mit über 70 Prozent der Android-Angriffe.

Neue Bedrohungen wie „DevilNFC“ und „NFCMultiPay“ zielen auf NFC-Schnittstellen ab, um kontaktlose Zahlungen zu manipulieren. Im Google Play Store identifizierten Sicherheitsforscher 455 bösartige Apps, die trotz Sicherheitsprüfungen rund 24 Millionen Mal heruntergeladen wurden.

Industrie reagiert mit neuen Konzepten

Microsoft stellt die SMS-basierte Multi-Faktor-Authentifizierung ein. Der Grund: Smishing-Angriffe und die Schwachstelle CVE-2026-41615 (CVSS-Score 9,6) machen sie zunehmend unsicher.

Apple veröffentlichte am 20. Mai das Update iOS 26.5. Es schließt 52 Sicherheitslücken, darunter die kritische CVE-2026-28950. Zudem weitete Apple die Satelliten-Ortung für das „Wo ist?“-Netzwerk auf Mexiko aus. Das Netzwerk umfasst mittlerweile fast eine Milliarde Geräte.

Google plant für Android 17 eine KI-gestützte Betrugsanruferkennung. Sie soll verdächtige Gesprächsmuster während des Telefonats identifizieren und den Nutzer warnen.

Da herkömmliche Passwörter bei modernen Angriffen kaum noch Schutz bieten, gewinnen neue Technologien an Bedeutung. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Diensten wie WhatsApp oder Amazon einrichten und Hackerangriffe effektiv verhindern. Passwortlose Sicherheit jetzt gratis nachlesen

Phishing-as-a-Service senkt die Hürden

Die Professionalisierung der Cyberkriminalität zeigt sich in der Struktur der Angreifer. Rund 90 Prozent der Massen-Phishing-Kampagnen laufen über „Phishing-as-a-Service“-Modelle. Das senkt die Einstiegshürden für weniger technisch versierte Kriminelle massiv.

Gleichzeitig nehmen hochspezialisierte Angriffe zu. Der malaysische Politiker Onn Hafiz Ghazi wurde Ziel einer Söldner-Spyware-Attacke, die Apple als außergewöhnlich selten und komplex einstufte.

Regulatorische Antworten

Das Bundeskabinett beschloss das Digital-Identitäts-Gesetz. Es sieht die Einführung der EUDI-Wallet (European Digital Identity Wallet) ab dem 2. Januar 2027 vor. Ziel ist eine sicherere Umgebung für digitale Transaktionen.

In den USA verklagte der Bundesstaat Texas Meta wegen der WhatsApp-Verschlüsselung und fordert hohe Strafzahlungen pro Verstoß.

Technische Schwachstellen überholen Passwortdiebstahl

Eine Analyse der Angriffsursachen zeigt: Technische Schwachstellen verursachen mit 31 Prozent mittlerweile mehr erfolgreiche Hacks als Passwortdiebstahl (13 Prozent). Das unterstreicht die wachsende Bedeutung zeitnaher Software-Updates.

Die durchschnittliche Zeit bis zur Bereitstellung eines Sicherheitspatches beträgt branchenweit etwa 43 Tage.

Ausblick: KI gegen KI

Die kommenden Monate werden durch eine beschleunigte Implementierung von KI-Abwehrmechanismen geprägt sein. Während Kriminelle KI zur Skalierung ihrer Angriffe nutzen, setzen Sicherheitsanbieter verstärkt auf automatisierte Verhaltensanalysen während App-Sitzungen.

Experten erwarten eine zunehmende Abhängigkeit von biometrischen Verfahren und Hardware-Sicherheitsschlüsseln. Klassische Passwörter und SMS-Codes bieten keinen ausreichenden Schutz mehr gegen Malware wie „BeatBanker“ oder „Cockroach Janta Party“. Letztere demonstrierte als Remote-Access-Trojaner, wie über WhatsApp oder Telegram die vollständige Kontrolle über mobile Geräte erlangt werden kann.

Für Unternehmen und Verbraucher bleibt die kontinuierliche Aktualisierung der Betriebssysteme sowie Skepsis gegenüber unaufgeforderten Kontaktaufnahmen die wichtigste Verteidigungslinie.

de | wissenschaft | 69406779 |