Passkeys boomen, doch Cyberkriminelle ziehen nach

Jeder neunte Internetnutzer in Deutschland wurde 2025 Opfer von Cyberkriminalität. Die Bedrohungslage für Mobile Banking verschärft sich dramatisch.

Die digitale Finanzwelt steht im zweiten Quartal 2026 vor einer paradoxen Entwicklung: Nie zuvor nutzten so viele Menschen passwortlose Authentifizierung – allein Amazon zählt 456 Millionen Passkey-Nutzer, ein Plus von 75 Prozent gegenüber dem Vorjahr. Gleichzeitig entdecken Sicherheitsexperten neue Risiken durch die Cloud-Synchronisation dieser Zugangsdaten. Der Schaden durch Identitätsbetrug erreichte 2025 laut Branchendaten vom Mai 2026 stolze 27,3 Milliarden Euro.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Der Cybersicherheitsmonitor 2026, eine gemeinsame Studie von Bundesamt für Sicherheit in der Informationstechnik (BSI) und polizeilicher Kriminalprävention, zeigt die Dringlichkeit der Lage. Demnach fiel jeder neunte Internetnutzer in Deutschland 2025 Cyberkriminellen zum Opfer. Online-Banking-Betrug machte dabei 13 Prozent aller Vorfälle aus. Besonders alarmierend: Trotz steigender Angriffszahlen halten 55 Prozent der Befragten ihr persönliches Risiko für gering.

Trojaner im Anmarsch: So greifen Hacker Bankkonten an

Die Bedrohungslage für mobiles Banking hat sich im Frühjahr 2026 massiv verschärft. Der TCLBanker-Trojaner zielt auf 59 verschiedene Finanz- und Fintech-Anwendungen ab. Die Schadsoftware nutzt die Android-Barrierefreiheitsdienste für sogenannte Overlay-Angriffe – sie legt sich quasi unsichtbar über die echte Banking-Oberfläche und stiehlt so Zugangsdaten. Verbreitet wird der Trojaner über Messenger wie WhatsApp und Outlook, oft begleitet von der Schadsoftware-Komponente SORVEPOTEL.

Noch raffinierter ist die neueste Variante des TrickMo-Banking-Trojaners namens Trickmo.C. Sie nutzt die TON-Blockchain für ihre Kommandozentrale – ein Novum, das die Entdeckung massiv erschwert. Getarnt als beliebte Social-Media- oder Streaming-Apps, greift die Malware Banken und Kryptowallets in ganz Europa an, darunter in Frankreich, Italien und Österreich.

Besonders perfide: Die Keenadu-Firmware-Malware ist direkt in die Systemsoftware neuer Android-Geräte eingebettet. Über 13.000 infizierte Geräte wurden bereits identifiziert, auch in Deutschland. Für Normalverbraucher ist ein solcher Angriff auf Hardware-Ebene kaum noch zu bereinigen.

Zwei-Faktor-Authentifizierung wird Pflicht

Die Finanzbranche reagiert. Der Schweizer Geschäftssoftware-Anbieter Bexio macht die Zwei-Faktor-Authentifizierung (2FA) für seine 100.000 Kunden verpflichtend. Hintergrund sind betrügerische Rechnungs-E-Mails an Kunden – ein klassischer Phishing-Angriff mit manipulierten IBANs. Ein direkter Datenleck im eigenen System habe es nicht gegeben, betont das Unternehmen.

Die rechtlichen Konsequenzen für mangelnden Schutz werden ebenfalls deutlich. Das Landgericht Berlin II verurteilte Ende April die Apobank zur Zahlung von über 200.000 Euro Schadenersatz an ein Phishing-Opfer. Ein Präzedenzfall, der die Haftung von Finanzinstituten bei unzureichenden Sicherheitsvorkehrungen unterstreicht.

Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, da Millionen Android-Nutzer täglich Hackern schutzlos ausgeliefert sind. Dieser kostenlose Report zeigt, wie Sie Sicherheitslücken schließen und Ihr Gerät effektiv schützen. 5 einfache Schritte für ein sicheres Android-Smartphone

Soziale Manipulation bleibt der effektivste Weg für Betrug. Erst Anfang der Woche berichtete ein bekannter TV-Moderator von einem Spoofing-Angriff: Der Anruf schien aus der legitimen SMS-Kommunikation seiner Kreditkartenfirma zu stammen. Ein angeblicher IT-Forensiker überzeugte das Opfer, das Gerät zurückzusetzen und Konten zu sperren – nach einem fingierten 9.500-Euro-Umsatz. Solche Fälle zeigen die Effektivität von „Quishing“ – Phishing über QR-Codes. Die Methode verzeichnete im ersten Quartal 2026 einen Anstieg von 146 Prozent auf über 18 Millionen Vorfälle.

Apple und Google rüsten auf – KI macht Angreifer schlauer

Die Tech-Giganten kontern. Mit iOS 26.5 führt Apple eine Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten zwischen iPhones und Android-Geräten ein – ein langjähriges Sicherheitsleck in der plattformübergreifenden Kommunikation wird damit geschlossen. Google wiederum integriert in seinen Mai-Updates eine „Betrugsschutz“-Funktion für Google Play Services, die Anrufe von erkannten Bank-Identitätsdieben automatisch beendet.

Doch die Verteidiger haben einen neuen, mächtigen Gegner: Künstliche Intelligenz. Forscher stoppten kürzlich den ersten bekannten KI-entwickelten Zero-Day-Exploit. Die Schadsoftware zielte auf ein Open-Source-Webtool ab, um 2FA zu umgehen – mit „halluzinierten“ Sicherheitsbewertungen und hochstrukturiertem Code. Bereits 82,6 Prozent aller Phishing-E-Mails enthalten heute KI-generierte Inhalte, die von legitimer Unternehmenskommunikation kaum noch zu unterscheiden sind.

Für Wirbel sorgt auch Googles neues „Cloud Fraud Defense“-reCAPTCHA vom April 2026. Nutzer müssen einen QR-Code mit einem Google-zertifizierten Gerät scannen, um ihre Identität zu bestätigen. Entwickler von Sicherheitsbetriebssystemen wie GrapheneOS kritisieren das System scharf: Es schließe legitime Nutzer datenschutzorientierter Software aus, während es KI-gesteuerte Bots nicht immer stoppe.

Milliarden-Schäden durch mobile Cyberkriminalität

Die wirtschaftlichen Dimensionen sind gewaltig. Analysten erwarten für 2026 weltweite Schäden durch mobile Cyberkriminalität von 21 Milliarden US-Dollar – ein Anstieg von 27 Prozent gegenüber dem Vorjahr (15,9 Milliarden). Treiber sind industrialisierte Betrugsmethoden wie Stimmklonen (über 3,5 Milliarden Dollar Schaden 2025) und sogenannte „SMS-Blasters“, die legitime Mobilfunkmasten imitieren.

Die passwortlose Zukunft ist längst Realität: Fünf Milliarden Passkeys sind weltweit im Einsatz. Theoretisch sind sie sicherer als traditionelle Passwörter – von denen 60 Prozent laut einer aktuellen Studie mit 231 Millionen Hashes in weniger als einer Stunde geknackt werden können. Doch die entdeckten Schwachstellen in den Cloud-Synchronisationsprotokollen zeigen: Die Technologie steckt noch in den Kinderschuhen. Die FIDO Alliance arbeitet deshalb an neuen Übertragungsprotokollen (CXP und CXF), um den Austausch zwischen verschiedenen Ökosystemen zu standardisieren.

Ausblick: Android 17 und das Ende alter Systeme

Der zweite Teil des Jahres 2026 bringt tiefgreifende Veränderungen. Android 17, geplant für Juni, wird eine „Binary Transparency“-Funktion enthalten, die die Integrität von Systemdateien überprüft. Meta kündigte an, den Support für ältere Betriebssysteme wie Android 5.0 und iOS 13 im September 2026 einzustellen – ein erzwungener Umstieg auf sicherere Hardware.

Auch die Regulierungsbehörden bereiten sich vor. Das BSI empfiehlt Unternehmen, bis 2031/2032 auf Post-Quanten-Kryptographie umzusteigen. Der Grund: Staatlich unterstützte Angreifer sammeln bereits heute verschlüsselte Kommunikation, um sie später mit Quantencomputern zu knacken. Für Banken und ihre Kunden bleibt die unmittelbare Herausforderung jedoch die wachsende Lücke zwischen neuen digitalen Annehmlichkeiten und den immer raffinierteren, KI-gestützten Methoden der organisierten Cyberkriminalität.

de | wissenschaft | 69309154 |