Smartphone-Sicherheit 2026: 442 Milliarden Euro Schaden durch Angriffe erwartet

Forscher entdeckten kritische, nicht patchbare Hardware-Lücken in Qualcomm-Chips. Gleichzeitig melden Sicherheitsbehörden einen massiven Anstieg automatisierter Angriffswellen. Branchenexperten prognostizieren für 2026 einen weltweiten Gesamtschaden von rund 442 Milliarden Euro.

Besonders alarmierend: Banking-Trojaner legten im ersten Quartal um fast 200 Prozent zu.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Kritische Lücke in Qualcomm-Prozessoren

Forscher von Kaspersky entdeckten eine schwerwiegende Sicherheitslücke in den BootROM-Komponenten zahlreicher Qualcomm-Chips. Die Schwachstelle CVE-2026-25262 ist ein sogenannter „Write-What-Where“-Fehler. Angreifer mit physischem Zugriff können den Speicher manipulieren und das System komplett übernehmen.

Betroffen sind unter anderem die Chipsätze MDM9x07, MSM8916 und SDX50 sowie weitere Modelle der MDM- und MSM-Serien. Das Problem sitzt tief im Read-Only-Memory (ROM) des Boot-Prozesses. Herkömmliche Software-Updates können ihn nicht beheben. Qualcomm will das Problem in künftigen Chip-Generationen adressieren. Für Millionen bereits verkaufte Geräte bleibt das Risiko bestehen.

Schlag gegen Botnetz-Betreiber

Den kanadischen Behörden gelang ein wichtiger Erfolg. In Ottawa verhafteten sie einen 23-jährigen Verdächtigen. Ihm wird der Betrieb des Kimwolf-Botnets vorgewworfen. Das Netzwerk soll mehr als zwei Millionen Android-Geräte infiziert und für rund 25.000 Angriffe genutzt haben. Bei einer Auslieferung in die USA drohen ihm bis zu zehn Jahre Haft.

Apple und Google unter Druck

Apple veröffentlichte im Mai das Update iOS 26.5 und schloss damit 52 Sicherheitslücken. Besonders kritisch: CVE-2026-28950, die im Kontext einer KI-gesteuerten Phishing-Welle ausgenutzt wurde. Apple verhinderte allein 2024 betrügerische Zahlungen in Höhe von 2,2 Milliarden US-Dollar. Über sechs Jahre summierten sich die verhinderten Schäden auf rund 11,2 Milliarden US-Dollar.

Doch Angreifer findern immer wieder Wege in die offiziellen App-Stores. Analysten von Human Security deckten die „Trapdoor“-Kampagne auf. 455 bösartige Apps im Google Play Store wurden über 24 Millionen Mal heruntergeladen. Sie generierten täglich rund 659 Millionen gefälschte Werbeanfragen über 183 Steuerungs-Server. Google entfernte die Apps nach der Meldung.

Banking-Trojaner auf dem Vormarsch

Die Malware-Familie „Mamont“ ist derzeit besonders aggressiv. Sie ist für rund 70 Prozent aller Android-Angriffe verantwortlich. Im ersten Quartal 2026 stieg die Zahl der Vorfälle auf 1,24 Millionen Fälle. Neue Varianten wie „DevilNFC“ und „NFCMultiPay“ zielen gezielt auf kontaktlose Zahlungsfunktionen ab.

In Indien warnen Sicherheitsfirmen vor einer als „Cockroach Janta Party“ getarnten App. Sie wird über WhatsApp und Telegram verbreitet und fungiert als Fernzugriffs-Trojaner (RAT).

Spionage-Software trifft malaysischen Politiker

Der Ministerpräsident des malaysischen Bundesstaates Johor, Datuk Onn Hafiz Ghazi, erhielt eine Warnung von Apple. Sein Smartphone war Ziel eines Angriffs mit „Mercenary Spyware“. Vermutlich kam die hochentwickelte Pegasus-Spyware zum Einsatz. Der Politiker kündigte rechtliche Schritte und eine offizielle Beschwerde bei den Aufsichtsbehörden an.

Smishing und Quishing als Massenphänomen

Für die breite Masse der Nutzer sind automatisierte Smishing- und Quishing-Kampagnen das größte Risiko. Microsoft warnte vor einer massiven Zunahme von Phishing-Angriffen mittels QR-Codes. Allein in einer aktuellen Kampagne waren über 35.000 Nutzer in rund 13.000 Organisationen betroffen.

Der Entwurf des Verizon Data Breach Investigations Report 2026 liefert interessante Einblicke. Die mediane Klickrate bei telefonzentrierten Phishing-Angriffen liegt mit 2 Prozent deutlich über der von E-Mail-Phishing (1,4 Prozent). Sprach- und SMS-basiertes Phishing verzeichnete einen Anstieg der Erfolgsquote um 40 Prozent. Kriminelle nutzen vermehrt SMS-Blaster, die bis zu 100.000 Nachrichten pro Stunde versenden können. Im Mai 2025 stellten Behörden in Wien ein solches Gerät sicher.

Ende der SMS-2FA bei Microsoft

Microsoft stellt die SMS-basierte Zwei-Faktor-Authentifizierung ein. Grund ist unter anderem die Schwachstelle CVE-2026-41615, die die Sicherheit des Verfahrens untergräbt. Stattdessen setzt das Unternehmen künftig auf Passkeys. Sie gelten als wesentlich resistenter gegen Phishing-Versuche.

4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein und sollte stattdessen auf die neue, passwortlose Anmeldung setzen. Kostenlosen Passkey-Report jetzt herunterladen

Android 17 soll in einer Beta-Phase KI-gestützte Funktionen zur Erkennung von Betrugsanrufen erhalten. Google integriert zudem eine „Live Threat Detection“, die bösartige Aktivitäten in Echtzeit identifiziert. Apple öffnet den NFC-Chip für Drittanbieter – das könnte neue sichere Zahlungs- und Identitätsdienste ermöglichen.

Deutschland bereitet EUDI-Wallet vor

Das kürzlich verabschiedete Digital-Identitäts-Gesetz sieht den Start der European Digital Identity Wallet für Januar 2027 vor. Bürger sollen ihre Identität digital sicher nachweisen und behördliche sowie private Dienstleistungen mobil abwickeln können.

Angreifer weichen auf Privatnutzer aus

Die Bedrohungslandschaft verschiebt sich fundamental. Technische Exploits machen mittlerweile rund 31 Prozent der Einbruchswege aus. Die durchschnittliche Patch-Zeit für bekannte Lücken liegt weltweit bei 43 Tagen. KI-gestützte Angriffe machen bereits 86 Prozent aller Phishing-Kampagnen aus.

Nur noch 23 Prozent der Unternehmen zahlen nach Ransomware-Angriffen Lösegeld. 69 Prozent lehnen Zahlungen grundsätzlich ab. Kriminelle weichen daher vermehrt auf Massenangriffe gegen Privatnutzer und deren Banking-Apps aus.

Ausblick: Phishing-as-a-Service dominiert

Für den Rest des Jahres 2026 erwartet die Branche eine weitere Professionalisierung von „Phishing-as-a-Service“-Modellen. Bereits 90 Prozent der Massenkampagnen werden darüber abgewickelt. Die Branche blickt gespannt auf die WWDC im Juni. Apple wird dort voraussichtlich neue KI-zentrierte Sicherheitsfunktionen für iOS 27 vorstellen.

Gleichzeitig dürften rechtliche Auseinandersetzungen über Messenger-Verschlüsselung die Debatte anheizen. Der Bundesstaat Texas klagt gegen Meta wegen der WhatsApp-Verschlüsselung. Nutzer werden sich mittelfristig von passwortbasierten Systemen verabschieden müssen. Der Druck automatisierter Angriffe macht herkömmliche Sicherheitsmodelle endgültig obsolet.

de | wissenschaft | 69406954 |