Smartphone-Angriffe kosten 442 Milliarden Euro – KI treibt die Welle

Im ersten Halbjahr 2026 steuern die Schäden durch Smartphone-Angriffe auf 442 Milliarden Euro zu. Haupttreiber: Kriminelle, die massiv auf Künstliche Intelligenz setzen.

Banking, PayPal oder WhatsApp – auf keinem Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Während klassischer Passwortdiebstahl an Bedeutung verliert, rücken Hardware-Schwachstellen und hochkomplexe Social-Engineering-Kampagnen in den Fokus. Die Angreifer professionalisieren sich rasant.

KI-generierte Phishing-Flut: 3,4 Milliarden Nachrichten täglich

Der Wandel ist dramatisch: Rund 86 Prozent aller Phishing-Versuche stammen inzwischen aus automatisierten KI-Systemen. Das Volumen erreicht schätzungsweise 3,4 Milliarden Nachrichten pro Tag.

Ein neues Phänomen heißt „Quishing“ – Phishing über manipulierte QR-Codes. Im ersten Quartal 2026 stiegen die Fälle um 150 Prozent auf rund 18 Millionen.

Die Methoden werden spezialisierter. Im Mai 2025 entdeckten Ermittler in Wien sogenannte SMS-Blaster, die bis zu 100.000 betrügerische Nachrichten pro Stunde verschickten. Inzwischen dominiert „Phishing-as-a-Service“: Rund 90 Prozent der Massenkampagnen laufen über gekaufte Angriffsinfrastruktur. Die Einstiegshürden für Cyberkriminalität sinken massiv.

Parallel nehmen manuelle Social-Engineering-Angriffe zu. Im Kanton Basel-Landschaft erbeuteten falsche Bankmitarbeiter in sechs Monaten rund 1,15 Millionen Franken. In Deutschland traf es einen Rentner in Groß Kreutz – er verlor eine hohe fünfstellige Summe, nachdem er Tätern per Fernwartungssoftware Zugriff auf sein Online-Banking gewährt hatte. In Frechen holten Betrüger am 21. Mai sogar physisch Bankkarten bei Senioren ab.

Banking-Trojaner explodieren: 196 Prozent mehr Angriffe

Die Schadsoftware wird raffinierter. Im ersten Quartal 2026 stieg die Zahl der Android-Banking-Trojaner um 196 Prozent auf 1,24 Millionen Vorfälle.

Besonders perfide: Neue Malware wie „DevilNFC“ und „NFCMultiPay“ missbraucht die NFC-Schnittstelle von Smartphones. Sie löst Zahlungen direkt am Point of Sale oder an Geldautomaten aus – ohne dass das Opfer etwas merkt.

Die Malware „Mamont“ ist aktuell für über 70 Prozent aller Android-Angriffe verantwortlich. Die „Trapdoor“-Kampagne enttarnte 455 bösartige Apps im Google Play Store mit über 24 Millionen Downloads. Sie generierten täglich 659 Millionen gefälschte Werbeanfragen.

Doch nicht nur Apps sind das Problem. Forscher von Kaspersky entdeckten eine kritische Sicherheitslücke im BootROM bestimmter Qualcomm-Chips (CVE-2026-25262). Die Schwachstelle steckt in der Hardware – ein Software-Update hilft nicht. Bei physischem Zugriff können Angreifer beliebige Daten in den Speicher schreiben. Technische Exploits sind inzwischen bei 31 Prozent der Vorfälle der primäre Zugangsweg, klassischer Passwortdiebstahl liegt nur noch bei 13 Prozent.

Ein veraltetes Smartphone ist für Cyberkriminelle oft wie eine offene Haustür, da Sicherheitslücken nicht geschlossen werden. Ein kostenloser PDF-Report erklärt Ihnen verständlich, wie Sie mit den richtigen Updates Datenverlust und Malware dauerhaft verhindern. Kostenlosen Sicherheits-Ratgeber herunterladen

Apple, Google, Microsoft: Die Tech-Konzerne schalten in den Krisenmodus

Apple veröffentlichte am 20. Mai iOS 26.5 – das Update schließt 52 Sicherheitslücken, darunter die kritische CVE-2026-28950. Der Konzern betont seine Erfolge: 2024 verhinderte Apple betrügerische Zahlungen in Höhe von 2,2 Milliarden US-Dollar, über sechs Jahre summiert sich der Wert auf 11,2 Milliarden.

Google präsentierte am 23. Mai neue Funktionen für Android 17. Eine KI-gestützte Erkennung warnt vor Anruf-Spoofing („Verified financial calls“). Die „Live Threat Detection“ meldet verdächtige App-Aktivitäten in Echtzeit. Ein spezieller OTP-Schutz isoliert Einmalpasswörter für drei Stunden in einem gesicherten Bereich. Ältere Versionen ab Android 10 sollen die Funktionen teilweise ebenfalls erhalten – zunächst in Großbritannien und Lateinamerika.

Microsoft zieht radikale Konsequenzen: Der Konzern stellt die SMS-Authentifizierung ein. Grund ist unter anderem die Schwachstelle CVE-2026-41615 mit einer kritischen Bewertung von 9,6 auf der CVSS-Skala. SMS-TANs gelten durch IMSI-Catcher und SMS-Blaster zunehmend als unsicher.

Strafverfolgung schlägt zurück: Festnahmen und Klagen

Die Behörden reagieren. Am 22. Mai verhafteten kanadische Ermittler in Ottawa den 23-jährigen Jacob Butler. Er soll das „Kimwolf“-Botnet betrieben haben, das über zwei Millionen Android-Geräte infizierte und für rund 25.000 DDoS-Angriffe genutzt wurde. Bei einer Auslieferung an die USA drohen ihm bis zu zehn Jahre Haft.

In Texas geht der Bundesstaat juristisch gegen Meta vor. Vorwurf: Verstöße im Zusammenhang mit der WhatsApp-Verschlüsselung. Pro Einzelfall drohen bis zu 10.000 US-Dollar Strafe. Sicherheitsforscher warnen zudem, dass Metadaten von rund 3,5 Milliarden WhatsApp-Accounts auslesbar seien. Die Zentralbank der Vereinigten Arabischen Emirate hat Finanzinstituten die Nutzung von WhatsApp für geschäftliche Kommunikation bereits untersagt.

In Deutschland schafft der Digital Identity Act (DIdG) die Grundlage für die EUDI-Wallet. Ab dem 2. Januar 2027 sollen Bürger eine sichere digitale Identität nutzen können. Das ist dringend nötig: Im April 2026 erbeuteten Angreifer beim Abrechnungsdienstleister Unimed Daten von über 30.000 Patienten in Nordrhein-Westfalen, 11.000 in Heidelberg und 54.000 in Freiburg.

Der Faktor Mensch bleibt die größte Schwachstelle

Die Frontlinie der Cybersicherheit verlagert sich aufs Smartphone. Während Microsoft die SMS-Authentifizierung ausmustert und Google auf KI-gestützte Anruferkennung setzt, umgehen Kriminelle technische Barrieren durch psychologische Manipulation. Fernwartungs-Betrug und physische Kartenabholungen zeigen: Der Mensch bleibt das schwächste Glied.

Analysten raten zu Hardware-Sicherheitsschlüsseln oder biometrischen Verfahren statt SMS-Codes. Immerhin: 69 Prozent der von Ransomware betroffenen Unternehmen zahlen kein Lösegeld mehr – ein Zeichen für bessere Backup-Strategien. Doch der Diebstahl sensibler Daten bleibt hochprofitabel. Bis zur flächendeckenden Einführung der EUDI-Wallet Anfang 2027 heißt die wichtigste Verteidigungslinie: Wachsamkeit gegenüber KI-generierten Inhalten und unaufgeforderten Kontaktanfragen.

de | wissenschaft | 69407127 |