Phishing bleibt die größte Sicherheitslücke – 91 Prozent aller Angriffe starten per E-Mail

Rund 91 Prozent aller Cyberangriffe beginnen mit einer betrügerischen E-Mail. Das zeigt: Die größte Schwachstelle sitzt vor dem Bildschirm.

Trotz immer raffinierterer Abwehrtechnologien bleibt die alte Passwort-Abfrage das Einfallstor Nummer eins. Mitte Mai 2026 haben gezielte Phishing-Wellen gegen deutsche Großbanken und neue Methoden zur Kontoübernahme auf Messengerdiensten die Dringlichkeit eines Umdenkens unterstrichen. Experten fordern den schnellen Umstieg auf Passkeys und Multi-Faktor-Authentifizierung.

Allein in Deutschland werden pro Quartal Millionen von Online-Konten gehackt, weil herkömmliche Passwörter keinen ausreichenden Schutz mehr bieten. Dieser kostenlose PDF-Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. endlich sicher absichern. Passkey-Ratgeber jetzt kostenlos herunterladen

Die trügerische Sicherheit des Passworts

Während Cybersicherheitsexperten seit Jahren das Ende einfacher Passwörter fordern, vertraut ein Großteil der Bevölkerung weiterhin blind auf die alte Methode. Eine Studie vom Mai 2026 zeigt: 74 Prozent der Deutschen halten Passwörter noch immer für sicher. Die Behörden warnen jedoch: Diese veralteten Systeme sind die häufigste Eintrittspforte für Erpressungssoftware und Datendiebstahl. Das weltweit am häufigsten genutzte Passwort? Eine schlichte Zahlenfolge, die in über 200 Millionen Datensätzen auftaucht.

Besonders perfide: Die Entwicklung des Social Engineerings. Mitte Mai 2026 haben Betrüger ihre Angriffe auf WhatsApp-Konten intensiviert – und zwar durch die Ausnutzung von Einmal-Passwörtern (OTPs). Die Masche: Angreifer nutzen zuvor geknackte Accounts, um Kontakt zu Opfern aufzunehmen und sie zur Herausgabe von Verifikationscodes zu bewegen. So umgehen Kriminelle grundlegende Sicherheitsmaßnahmen, ohne aufwendige technische Tricks anwenden zu müssen.

Die Messengerdienste reagieren. Berichten vom 18. Mai 2026 zufolge bereitet WhatsApp eine optionale Passwortfunktion für die Registrierung auf neuen Geräten vor. Das System soll eine Kombination aus sechs bis 20 Zeichen verlangen – inklusive mindestens einer Zahl und eines Buchstabens. Eine zusätzliche Schutzschicht neben der bestehenden Zwei-Faktor-Authentifizierung.

Unternehmen und Institutionen unter Druck

Die finanziellen Folgen erfolgreicher Phishing-Angriffe erreichen Rekordhöhen. Schätzungen von Ermittlungsbehörden zufolge hat Business Email Compromise (BEC) weltweit bereits Schäden von über 50 Milliarden Euro verursacht. Besonders betroffen: Menschen über 60 Jahre. Ein Bericht vom Mai 2026 beziffert ihre Verluste durch Online-Betrug im vergangenen Jahr auf fast fünf Milliarden Euro – häufig durch falsche Tech-Support-Anrufe und angebliche Behördenmitteilungen.

Aktuelle Vorfälle unterstreichen die Verwundbarkeit selbst großer Institute. Mitte Mai 2026 traf eine massive Phishing-Welle Kunden der DKB, Deutschen Bank und Volksbank. Die Täter nutzten gefälschte Nachrichten, um Zugangsdaten abzugreifen. Solche Angriffe reihen sich ein in größere Datenschutzpannen – etwa den Angriff auf eine Callcenter-Plattform Mitte 2025, bei dem die persönlichen Daten von sechs Millionen Kunden einer australischen Fluggesellschaft abflossen, darunter Namen, E-Mails und Vielfliegernummern.

Der rechtliche Druck wächst. Im Telekommunikations- und Finanzsektor wurden zuletzt millionenschwere Vergleiche bekannt. Ein Telekommunikationsanbieter einigte sich auf eine Zahlung von über 100 Millionen Euro nach einem Vorfall, der über 31 Millionen Kunden betraf. Ein Finanzdienstleister folgte mit einem Millionenvergleich.

Ob CEO-Fraud oder gefälschte Kundenanfragen – Cyberkriminelle nutzen gezielt psychologische Tricks, um Sicherheitsbarrieren in Unternehmen zu überwinden. In diesem Anti-Phishing-Paket erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen effektiv gegen diese Manipulationstaktiken schützen. Kostenloses Anti-Phishing-Paket sichern

Die Technologiekonzerne ziehen Konsequenzen. Microsoft meldete im Mai 2026, dass 99,6 Prozent seiner internen Nutzer durch phishing-resistente Methoden geschützt sind. Das Unternehmen weitet diese Schutzmaßnahmen nun auf externe Identitäten aus – die Einführung von Passkey-Unterstützung soll bis Ende Mai 2026 abgeschlossen sein. Zudem kündigte Microsoft an, traditionelle Sicherheitsfragen bis Januar 2027 komplett aus seinen Identitätsmanagementsystemen zu entfernen. Die Begründung: Sie gelten als veraltetes Sicherheitsmerkmal.

Regionale Betrugsmuster und spezialisierte Angriffe

Die technische Vielfalt der Angriffe nimmt zu. Sicherheitsforscher unterscheiden inzwischen mehrere spezialisierte Varianten:

• Whaling: Gezielte Angriffe auf Führungskräfte
• Vishing und Smishing: Betrugsversuche per Telefon und SMS
• Pharming: Heimliche Weiterleitung auf gefälschte Webseiten, selbst bei korrekter Eingabe der Adresse
• Spear-Phishing: Maßgeschneiderte Angriffe auf bestimmte Personen oder Organisationen

Künstliche Intelligenz – Fluch und Segen zugleich

Die Integration von KI in die Cybersicherheit ist sowohl Herausforderung als auch Chance. Ein gemeinsamer Bericht des Weltwirtschaftsforums und KPMG vom 17. Mai 2026 bezeichnet KI als strategische Notwendigkeit für die moderne Verteidigung. Die Analyse von über 80 Organisationen aus 15 Branchen zeigt: Erfolgreiche Unternehmen kombinieren KI-Technologie mit starker menschlicher Kontrolle und klaren Richtlinien.

Doch die aktuellen großen Sprachmodelle (LLMs) taugen noch nicht für direkte Sicherheitsaufgaben. Benchmarks wie Metas CyberSecEval 2 und IBMs SecLLMHolmes belegen: Zwar schneiden kommerzielle Modelle wie GPT-4 besser ab als Open-Source-Alternativen, für die zuverlässige Erkennung von Software-Schwachstellen sind sie derzeit jedoch ungeeignet.

Ausblick: Der Weg in eine passwortlose Zukunft

Der Übergang zu einer passwortlosen Umgebung wird im Laufe des Jahres 2026 an Fahrt gewinnen. Sicherheitsexperten betonen: Passkeys sind ein deutlicher Fortschritt gegenüber traditionellen Passwörtern, aber keine Universallösung. Die wirksamste Verteidigung besteht aus einer Kombination von Passkeys, Hardware-Sicherheitsschlüsseln und robuster Zwei-Faktor-Authentifizierung.

Betriebssystem-Updates für die zweite Jahreshälfte – darunter Android 17 – sollen native Funktionen zur Bekämpfung von Identitätsdiebstahl einführen. Dazu gehören „Live-Bedrohungserkennung" und temporäre Schutzmechanismen für Einmal-Passwörter, die Drittanwendungen für mehrere Stunden den Zugriff auf sensible Codes verwehren.

Die Erkenntnis der Branche: Technologische Lösungen allein reichen nicht. Sie müssen mit proaktiver Aufklärung der Nutzer einhergehen. Tools wie der Google Security Checkup, mit dem Nutzer ihre verbundenen Geräte und Browsereinstellungen prüfen können, bleiben ein wesentlicher Bestandteil einer umfassenden Verteidigungsstrategie. Das ultimative Ziel: die Angriffsfläche Mensch zu verkleinern – durch automatisierte Authentifizierung und die Beseitigung der Möglichkeit, Zugangsdaten durch betrügerische Kommunikation zu stehlen.

de | wissenschaft | 69355582 |