Smartphone-Sicherheit: 21 Milliarden Euro Schaden durch mobile Cyberkriminalität

Allein in Deutschland prognostizieren Experten für 2026 Schäden durch mobile Cyberkriminalität von 21 Milliarden Euro. Weltweit beziffert das BSI den Schaden auf 442 Milliarden Euro. Besonders alarmierend: 90 Prozent der Angreifer setzen mittlerweile auf Künstliche Intelligenz.

Banking-Trojaner boomen. Die Fallzahlen stiegen um 196 Prozent auf über 1,24 Millionen. Apple und Google reagieren Mitte Mai mit umfassenden Sicherheitsupdates und neuen KI-gestützten Schutzfunktionen.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Quishing und Device-Code-Phishing: Die neuen Gefahren

QR-Codes werden zur Falle. Im ersten Quartal 2026 registrierten Sicherheitsforscher über 18 Millionen Quishing-Fälle – eine Steigerung von rund 150 Prozent. Rund 70 Prozent aller schädlichen PDF-Dokumente enthalten mittlerweile manipulierte QR-Codes.

Parallel dazu steigt das Device-Code-Phishing massiv an. Diese Methode missbraucht legitime Autorisierungsprozesse, um Zugriff auf Microsoft-365-Konten zu erlangen. Besonders aktiv ist die Gruppierung TA4903, die seit März fast ausschließlich auf diese Taktik setzt.

Die Angreifer nutzen Dienste wie „EvilTokens“, die über Telegram beworben werden. Diese Tools generieren Autorisierungscodes erst beim Klick des Opfers – das Zeitfenster für erfolgreiche Angriffe vergrößert sich enorm.

Ergänzt wird das Bedrohungsszenario durch „SMS-Blastern“. In Zürich wurden rund 50.000 Mobiltelefone über solche Geräte kontaktiert, um unter Umgehung der regulären Mobilfunknetze Zugangsdaten zu stehlen.

iOS 26.5 und Android 17: Die Updates im Detail

Apple veröffentlichte am 11. Mai iOS 26.5. Das Update schließt zwischen 52 und 61 Sicherheitslücken, darunter kritische Schwachstellen im Kernel und der WebKit-Engine. Explizit genannt werden CVE-2026-28950 und CVE-2026-28951.

Eine wesentliche Neuerung: die RCS-Verschlüsselung (Ende-zu-Ende) im Beta-Stadium. Sie basiert auf dem MLS-Protokoll und sichert die Kommunikation mit Android-Nutzern ab. Zudem führt Apple „Proximity Pairing“ für Wearables von Garmin, Samsung, Sony und Bose ein.

Google zieht heute mit Android 17 nach. Das neue Feature „Verified Financial Calls“ bekämpft Caller-ID-Spoofing – in Zusammenarbeit mit Revolut, Nubank und Itaú. Eine Echtzeit-Prüfung stellt fest, ob ein Anruf tatsächlich von der Bank stammt.

Die „Live Threat Detection“ überwacht kontinuierlich das Verhalten von Apps. Sie identifiziert Spionage-Software und Banking-Trojaner wie den neuen „TrickMo.C“, der die TON-Blockchain nutzt. Android 17 verbirgt zudem Einmalpasswörter für bis zu drei Stunden vor Drittanbieter-Apps.

Regelmäßige Software-Updates allein reichen oft nicht aus, um sensible Daten wie Passwörter und Bankzugänge wirksam vor Hackern zu schützen. Welche fünf weiteren Schritte IT-Experten für jedes Smartphone empfehlen, erfahren Sie in diesem kostenlosen Sicherheits-Ratgeber. Kostenlosen Sicherheits-Ratgeber herunterladen

Schädliche Apps: Millionen Infektionen, massive Schäden

Die schiere Masse bleibt das Problem. Im Google Play Store wurden im vergangenen Jahr rund 8 Millionen schädliche Apps identifiziert. Aktuelles Beispiel: der Banking-Trojaner „TCLBanker“, der gezielt Kunden von über 50 Finanzplattformen angreift.

Die Folgen sind oft verheerend. 88 Prozent der Betroffenen erleiden direkte finanzielle Schäden. In São Paulo wurden nach einem Smartphone-Raub innerhalb von 36 Minuten rund 300.000 Euro von den Konten des Opfers entwendet.

Das hat juristische Konsequenzen. Das Landgericht Berlin II fällte wegweisende Urteile zur Haftung von Banken bei Phishing-Angriffen. Die Apobank muss einem Kunden einen Schaden von über 200.000 Euro ersetzen. Die Richter stellten klar: Banken haften grundsätzlich, sofern dem Kunden keine grobe Fahrlässigkeit nachgewiesen werden kann.

Großereignisse im Visier: Bedrohungslage für den ESC

Die Gefahr zeigt sich exemplarisch am Eurovision Song Contest 2026 in Wien. Sicherheitsanalysen von CyberProof sehen identitätsbasierte Kompromittierungen als Hauptgefahr. Infostealer wie RedLine, Lumma oder Vidar sind für 67 Prozent der im Darknet gehandelten Daten verantwortlich.

Die Geschwindigkeit der Angreifer hat sich drastisch erhöht. Sie nutzen neu entdeckte Schwachstellen oft innerhalb von 24 bis 48 Stunden aus. Neben Ransomware-Gruppen wie LockBit oder Cl0p treten vermehrt Hacktivisten und staatlich gesteuerte Akteure auf.

Tools wie WormGPT oder FraudGPT ermöglichen auch technisch weniger versierten Tätern täuschend echte Phishing-Kampagnen. Und der Diebstahl physischer Geräte bleibt ein Problem: 13 Prozent der deutschen Nutzer wurden bereits Opfer, aber 21 Prozent ergreifen keinerlei Schutzmaßnahmen.

Ausblick: iOS 27 und Android 16 in Planung

Die Branche rüstet weiter auf. Am 8. Juni wird Apple auf der WWDC voraussichtlich iOS 27 vorstellen. Google plant für Dezember 2026 Android 16 für Pixel-Geräte mit einem speziellen „Intrusion Logging“. Entwickelt in Zusammenarbeit mit Amnesty International und Reporter ohne Grenzen, soll es Spionageangriffe auf Journalisten und Aktivisten dokumentieren.

Auch die Hardware-Sicherheit rückt in den Fokus. Berichte über das iPhone 18 Pro deuten auf ein verändertes Design hin, das Sicherheitsaspekte der Gesichtserkennung betrifft.

Am 8. September endet der offizielle Support für Android 5.0 und iOS 13. Nutzer älterer Geräte müssen umsteigen. Bis dahin bleibt die Empfehlung der Experten: Bildschirmsperren nutzen, Updates sofort installieren und bei unaufgeforderten Nachrichten skeptisch sein.

de | wissenschaft | 69344303 |