Identitätsdiebstahl und KI-Betrug erreichen neue Dimensionen

Betrug mit künstlicher Intelligenz kostet Verbraucher Milliarden – Unternehmen unter Druck.

Die US-Handelsbehörde FTC und globale Sicherheitsfirmen schlagen Alarm: Die Verluste durch digitale Identitätsdiebstähle und Finanzbetrug haben neue Rekordhöhen erreicht. Besonders perfide: Kriminelle setzen zunehmend auf KI-gestützte Angriffsmethoden, die selbst erfahrene Sicherheitsexperten vor Herausforderungen stellen. Allein Social-Media-Betrug kostete Amerikaner 2025 rund 2,1 Milliarden Euro – ein Anstieg um das Achtfache seit 2020.

Angesichts der rasanten Zunahme KI-gestützter Angriffe stehen Unternehmen vor völlig neuen Herausforderungen bei der Compliance. Dieser kostenlose Leitfaden zum EU AI Act verschafft Ihrer IT- und Rechtsabteilung den notwendigen Überblick über neue Risikoklassen und rechtliche Pflichten. EU AI Act in 5 Schritten verstehen

Die Milliarden-Lücke durch Social-Media-Betrug

Die aktuellen FTC-Zahlen zeigen ein erschreckendes Bild: Investmentbetrug macht mit umgerechnet 1,1 Milliarden Euro den Löwenanteil der Verluste aus. Shopping-Betrug folgt mit 40 Prozent aller gemeldeten Fälle. Besonders tückisch: Rund 60 Prozent aller Romance-Scams – Liebesbetrug mit falschen Identitäten – beginnen inzwischen auf sozialen Plattformen.

Doch nicht nur Privatpersonen sind betroffen. Der Sophos Identity Security Report 2026 beziffert die durchschnittlichen Kosten eines Identitätsangriffs auf Unternehmen auf 1,64 Millionen Euro. 71 Prozent aller Organisationen meldeten mindestens einen identitätsbasierten Sicherheitsvorfall im vergangenen Jahr.

Ein besonders heikler Punkt: Maschinen-Identitäten wie API-Schlüssel und Service-Konten. In vielen Unternehmen übersteigt ihre Zahl die menschlichen Identitäten um das Hundertfache. Schwachstellen in ihrer Verwaltung verursachten 41 Prozent aller gemeldeten Sicherheitsverletzungen.

Canvas-Datenleck: 3,65 Terabyte gestohlen

Anfang Mai 2026 erschütterte ein schwerer Sicherheitsvorfall die Bildungsbranche. Die Hackergruppe ShinyHunters griff die Lernplattform Canvas an, betrieben von Instructure. Die Angriffe am 29. April und 7. Mai trafen eine spezielle Lehrer-Umgebung. Die Folge: rund 3,65 Terabyte gestohlener Daten, darunter Namen, E-Mail-Adressen, Schüler-IDs und interne Nachrichten.

Betroffen sind etwa 9.000 Organisationen. Instructure betont, dass Kernkurse, Passwörter und Finanzdaten nicht kompromittiert wurden. Dennoch hat das US-Repräsentantenhaus den Vorfall aufgegriffen. Berichten zufolge zahlte das Unternehmen Lösegeld – entgegen der FBI-Empfehlung – um die Rückgabe und Vernichtung der Daten zu sichern.

Parallel dazu forderte die KI-Plattform Braintrust ihre Kunden auf, API-Schlüssel auszutauschen. Nach einem unbefugten Zugriff auf ihr AWS-Konto am 4. Mai könnten sensible Zugangsdaten für KI-Dienste offengelegt worden sein.

Quishing: Der QR-Code als Einfallstor

Kriminelle entdecken neue Wege: Quishing – Phishing über QR-Codes – verzeichnete im ersten Quartal 2026 einen Anstieg von 146 Prozent. Weltweit wurden rund 18 Millionen solcher Angriffe registriert. Nordkoreanische Gruppen wie Kimsuky und Lazarus nutzen die Codes, um Sitzungstoken zu stehlen und Zwei-Faktor-Authentifizierungen zu umgehen.

Der Mai-Patch-Day von Microsoft offenbarte die anhaltende Verwundbarkeit unserer digitalen Infrastruktur: 137 neue Schwachstellen, davon 30 als kritisch eingestuft. Die schwerwiegendste, CVE-2026-42826 in Azure DevOps, erhielt die Höchstbewertung von 10.0. Auch Apple reagierte mit iOS 26.5 und schloss über 50 Sicherheitslücken.

KI als zweischneidiges Schwert

Während Google auf seinem Anti-Scam-Gipfel in Zürich verkündete, dass seine KI-Systeme 99,9 Prozent aller Spam- und Phishing-Versuche blockieren – umgerechnet 15 Milliarden E-Mails täglich – nutzen Angreifer dieselbe Technologie. Sicherheitsforscher identifizierten den ersten bekannten Zero-Day-Exploit, der mit Hilfe Künstlicher Intelligenz entwickelt wurde.

In Deutschland stieg die Opferrate für Cyberkriminalität laut BSI Cybersafety Monitor 2026 von 7 auf 11 Prozent. Schätzungsweise 90 Prozent aller Angreifer setzen inzwischen KI ein, um ihre Operationen zu skalieren.

Da Hacker zunehmend psychologische Tricks und KI-gestützte Methoden wie Quishing nutzen, ist die Sensibilisierung der Mitarbeiter wichtiger denn je. Das kostenlose Anti-Phishing-Paket bietet eine detaillierte Analyse aktueller Angriffsmethoden und zeigt effektive Wege zur Hacker-Abwehr auf. Anti-Phishing-Paket für Unternehmen kostenlos anfordern

Das Ende der Passwort-Ära?

Die Industrie reagiert. Amazon meldet, dass 465 Millionen Kunden auf Passkeys umgestiegen sind – eine biometrische Authentifizierungsmethode. Die Anmeldung ist sechsmal schneller als mit Passwörtern. Die FIDO Alliance schätzt, dass weltweit bereits 5 Milliarden Passkeys im Einsatz sind.

Google erweitert seine „Identity Check"-Funktion und den „Theft Detection Lock". Der Passwort-Manager des Konzerns unterstützt jetzt geräteübergreifende Passkey-Synchronisation. Zudem startete Google eine Partnerschaft mit der britischen National Crime Agency und der Global Signal Exchange, die bereits 1,2 Milliarden Sicherheitssignale verarbeitet hat.

WhatsApp testet derzeit eine optionale Passkey-Funktion für die Konto-Migration. Mit Android 17, erwartet im Juni 2026, sollen fortschrittliche Isolierungstechnologien und „Live Threat Detection" Einzug halten.

Die FTC rät Verbrauchern weiterhin zu Passwort-Managern, Zwei-Faktor-Authentifizierung und Kreditüberwachung. Bei globalen Cybercrime-Schäden von geschätzt 442 Milliarden Euro bleibt die Integration KI-gestützter Abwehrmechanismen die zentrale Strategie – gegen zunehmend automatisierte Bedrohungen.

de | wissenschaft | 69330124 |