Identitätsdiebstahl: Cyberkriminelle setzen auf KI und neue Tricks

Kriminelle nutzen zunehmend Künstliche Intelligenz und raffinierte Methoden wie Session-Hijacking und Quishing – Angriffe über manipulierte QR-Codes. Allein in Deutschland verursachte Cyberkriminalität 2025 Schäden in Höhe von 202 Milliarden Euro, wie das Bundeskriminalamt (BKA) meldet. Und die ersten Monate 2026 zeigen keine Entwarnung.

Quishing und Session-Hijacking auf dem Vormarsch

Besonders dramatisch ist der Anstieg von Quishing-Angriffen. Im ersten Quartal 2026 stieg die Zahl dieser Vorfälle um 150 Prozent – rund 18 Millionen Fälle wurden registriert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Die Opferrate in Deutschland kletterte von sieben auf elf Prozent. Mittlerweile enthalten 70 Prozent aller schädlichen PDF-Dokumente QR-Codes als Einfallstor für Malware. Ein besonders perfeder Vertreter ist der TrickMo.C-Trojaner, der die TON-Blockchain für seine Operationen nutzt.

Doch die Kriminellen werden noch raffinierter. Mitte Mai warnte die Initiative Mimikama vor einer neuen Phishing-Strategie auf Facebook. Statt Passwörter zu stehlen, kapern die Angreifer aktive Benutzersitzungen. Wer einmal eingeloggt ist, dessen Session-Daten werden geklaut – und schon haben die Täter Zugriff auf Profile, Werbekonten oder verknüpfte Instagram-Accounts. Die Zwei-Faktor-Authentifizierung? Wirkungslos. Denn der Angriff umgeht den Login-Vorgang komplett.

Angesichts immer raffinierterer Methoden wie Session-Hijacking ist der Basisschutz Ihres Handys wichtiger denn je. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone wirksam gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen jetzt gratis herunterladen

Parallel dazu geraten Bankkunden ins Visier. Erst am heutigen Freitag warnten Verbraucherschützer vor betrügerischen E-Mails, die angeblich von der DKB und der Deutschen Bank stammen. Die Masche: angebliche Kontosperrungen oder eine notwendige „photoTAN“-Reaktivierung. Ähnliche Angriffe zielen auf Nutzer von LuxTrust – mit gefälschten Sicherheitswarnungen über einen angeblichen Login aus Portugal.

Social Engineering: Die menschliche Firewall fällt

Die größte Schwachstelle bleibt der Mensch. Das zeigte sich diese Woche am Fall von Bundestagspräsidentin Julia Klöckner. Sie wurde Opfer eines Signal-Phishing-Angriffs. Die gute Nachricht: Die Verschlüsselung des Messengers wurde nicht geknackt. Die schlechte: Die Angreifer brauchten das gar nicht. Sie gaben sich als Support-Mitarbeiter aus und manipulierten die Politikerin geschickt – ein klassischer Social-Engineering-Angriff.

Noch perfider wird es mit KI. Der altbekannte Enkeltrick erlebt eine Renaissance – diesmal mit Stimmklonen. Das BKA registrierte 2024 über 6.600 Fälle solcher Schockanrufe. Doch erst die Integration generativer KI macht die Betrugsversuche wirklich gefährlich. Laut einer McAfee-Studie kennt inzwischen jeder vierte Mensch weltweit jemanden, der Ziel eines KI-Stimmklon-Betrugs wurde. Und 35 Prozent der Befragten können eine geklonte Stimme nicht mehr von einer echten unterscheiden.

Besonders dreist: Kriminelle platzieren ihre Betrugsnachrichten direkt in echte Chatverläufe. Im Mai 2026 meldete ein Opfer eine Smishing-Nachricht (SMS-Phishing), die innerhalb eines bestehenden Dialogs mit dem Kreditkartenanbieter auftauchte. Die Nachricht behauptete, eine Überweisung von 9.500 Euro sei ausgelöst worden – und nutzte so das Vertrauen in den etablierten Kommunikationskanal.

Großprojekte als Einfallstore für Betrüger

Große IT-Umstellungen sind ein gefundenes Fressen für Kriminelle. Die Salzburger Sparkasse fusioniert am Pfingstwochenende (22. bis 25. Mai) mit der Ersten Bank. 260.000 Kunden müssen neue IBANs erhalten. Die Bank hat zwar Vorkehrungen getroffen – etwa Offline-Limits für Debitkarten. Doch solche Mammutprojekte sind ideal für Betrüger, die mit gefälschten „Update“-Aufforderungen Verwirrung stiften.

Auch geopolitische Spannungen schlagen durch. Die Sparkasse Köln Bonn schränkte am 15. Mai die Kartenfunktionen für rund 2.000 russische und belarussische Kunden ein – Folge des 19. EU-Sanktionspakets. Ein Balanceakt für Geldinstitute: Sie müssen Compliance gewährleisten, ohne legitime Nutzer auszusperren.

Auf der technischen Seite schlummern weitere Gefahren. Forscher entdeckten den „YellowKey“-Exploit, der angeblich eine BitLocker-Verschlüsselung per USB in unter einer Minute umgeht. Zudem wurden kritische Lücken in Linux und dem Exim-Mailserver (CVE-2026-45185) bekannt – potenzielle Einfallstore für Remote-Code-Ausführung.

Passkeys und KI-Abwehr als Gegenstrategie

Die Tech-Branche reagiert. Microsoft kündigt für Juni 2026 die allgemeine Verfügbarkeit von Passkey-Verwaltung in Unternehmensumgebungen an. Die FIDO2-Standard-Passkeys sind bereits in Windows 10 und 11 integriert – sie nutzen Biometrie oder PINs via Windows Hello und machen Passwörter überflüssig.

Auch WhatsApp rüstet auf. In der Android-Beta (Version 2.26.7.8) testet der Messenger ein neues Passwort-Feature. Wer sein Konto auf einem neuen Gerät registriert, muss künftig ein sechs- bis zwanzigstelliges Passwort eingeben – zusätzlich zur bestehenden Zwei-Faktor-Authentifizierung.

Android 17 soll mit verbessertem Diebstahlschutz und Echtzeit-KI-Überwachung für verdächtige Aktivitäten kommen. Google wiederum installiert das KI-Modell Gemini Nano automatisch auf Chrome-Desktop-Versionen – für lokale Verarbeitung. Datenschützer sehen das kritisch, besonders mit Blick auf EU-Regularien.

Analyse: Warum die Angriffe immer erfolgreicher werden

Der aktuelle trend zeigt: Kriminelle greifen die Authentifizierung selbst an. Quishing und Session-Hijacking umgehen die lange als sicher geltende Zwei-Faktor-Authentifizierung. Die Täter sind „upstream“ gegangen – sie attackieren den Prozess, bevor die Sicherheitsmaßnahmen überhaupt greifen.

Hinzu kommt der Rückgang der Filialbanken. Die Zahl der Bankfilialen in Deutschland sank von über 30.000 im Jahr 2016 auf heute rund 18.000. Immer mehr Menschen – darunter viele ältere, digital weniger versierte – werden in die Online-Welt gedrängt. Ein ideales Umfeld für Phishing und Social Engineering.

Und die Datensammelwut bleibt ein Problem. Das Europol-System „Pressure Cooker“ umfasst angeblich über zwei Petabyte an Daten – seine rechtliche Grundlage ist umstritten. Ein Spannungsfeld zwischen Sicherheit und Privatsphäre, das sich in Zeiten digitaler Identitäten immer weiter zuspitzt.

Ausblick: Was 2026 noch bringt

Ein entscheidendes Datum steht bereits fest: Der 8. September 2026 markiert das Ende des Supports für Android 5.0 und iOS 13. Geräte mit diesen Betriebssystemen erhalten dann keine Sicherheitsupdates mehr – ein gefundenes Fressen für Identitätsdiebe.

Da alte Betriebssysteme nach dem Support-Ende zur leichten Beute für Hacker werden, ist schnelles Handeln gefragt. Dieser kostenlose Expertenreport zeigt Ihnen, wie Sie mit den richtigen Updates Sicherheitslücken schließen und Ihre privaten Daten zuverlässig schützen. Kostenlosen Android-Sicherheitsreport jetzt anfordern

Auf regulatorischer Ebene bewegt sich die EU in Richtung zentraler digitaler Identitätsverwaltung. Bis Ende 2026 soll eine Altersverifizierungs-App kommen – ein sicherer Weg, Nutzereigenschaften zu bestätigen, ohne die gesamte Identität preiszugeben. Ob das gelingt, wird sich zeigen.

Die entscheidende Frage bleibt: Können passwortlose Initiativen wie Passkeys den Trend umkehren? Die Antwort darauf entscheidet, ob die Spirale des Identitätsdiebstahls 2026 endlich gestoppt werden kann.

de | wissenschaft | 69344266 |