Cyberkrise im Mai 2026: Datenflut treibt Identitätsbetrug auf Rekordniveau

Eine Serie massiver Datendiebstähle und automatisierter Lieferketten-Angriffe treibt den Identitätsbetrug auf nie dagewesene Höhen. Allein die Schäden durch mobile Cyberkriminalität werden in diesem Jahr auf 442 Milliarden Euro geschätzt. Die Branche kämpft mit den Folgen kompromittierter Zugangsdaten von hunderten Millionen Nutzern.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Report jetzt kostenlos herunterladen

Großangriff auf Open-Source-Infrastruktur

Ende Mai erschütterte ein koordinierter Angriff auf die Laravel-Lang-Lokalisierungspakete die Sicherheit der Software-Lieferkette. Zwischen dem 22. und 23. Mai übernahmen Angreifer die Kontrolle über vier zentrale Repositories. Sie überschrieben Git-Tags und leiteten sie auf schadhafte Abzweigungen um – rund 700 Versionen der Pakete waren kompromittiert.

Die Schadsoftware enthielt einen Credential-Stealer, der sensible Umgebungsdateien, Cloud-Zugangsschlüssel, Kubernetes-Secrets und SSH-Keys extrahieren konnte. Sicherheitsforscher entdeckten zudem Komponenten, die auf Browserdaten und Kryptowährungs-Wallets abzielten. Ein speziell für Windows entwickelter Browser-Credential-Extractor deutet auf hohe technische Raffinesse hin – Metadaten im Code lassen sogar den Einsatz künstlicher Intelligenz bei der Entwicklung vermuten.

Parallel dazu wurde am 23. Mai die „Megalodon“-Kampagne bekannt – eine automatisierte Lieferketten-Offensive, die über 5.000 GitHub-Repositories infizierte. Branchenanalysten zufolge nutzte die Kampagne bestehende Schwachstellen: Mehr als 33 Prozent der verwendeten GitHub-Konten waren bereits durch frühere Infektionen kompromittiert. Aktuelle Daten zeigen, dass über 24.000 Unternehmen Mitarbeiter beschäftigen, deren GitHub-Zugangsdaten bereits geleakt wurden.

Millionen Datensätze in falschen Händen

Die Monetarisierung gestohlener Daten bleibt das Hauptmotiv krimineller Syndikate. Zwei Großangriffe verdeutlichen das Ausmaß:

Das Canvas Learning Management System wurde in einer zweistufigen Attacke getroffen. Erster Zugriff erfolgte am 29. April, ein zweiter am 7. Mai 2026. Die Gruppe ShinyHunters erbeutete 3,65 Terabyte Daten – rund 275 Millionen Datensätze von über 8.800 Bildungseinrichtungen weltweit. Finanzdaten und Passwörter blieben zwar verschont, doch Namen, E-Mail-Adressen und Studenten-IDs bieten reichhaltiges Material für gezielte Phishing-Kampagnen.

Nur einen Tag später bestätigte Charter Communications einen Sicherheitsvorfall – dieselbe Gruppe drohte mit der Veröffentlichung von 42 Millionen Kundendatensätzen. Das Unternehmen bestreitet zwar den Diebstahl sensibler persönlicher Daten, doch die Gruppe setzte eine Frist bis zum 27. Mai.

Auch die südafrikanische Staatliche Informationstechnologie-Agentur (SITA) meldete am 23. Mai einen mutmaßlichen Großangriff. Ein Erpresser behauptet, Namen, E-Mail-Adressen und Passwort-Hashes verschiedener Regierungsbehörden erbeutet zu haben.

KI-gesteuerte Phishing-Welle erreicht Rekordvolumen

Die Flut gestohlener Daten ermöglicht hoch effizienten, automatisierten Betrug. Branchenberichte vom Mai 2026 zeigen: 86 Prozent aller Phishing-Kampagnen werden mittlerweile von Künstlicher Intelligenz gesteuert – täglich werden schätzungsweise 3,4 Milliarden schädliche Nachrichten versendet.

Banking-Trojaner erleben ein dramatisches Comeback: Die Fallzahlen stiegen im ersten Quartal 2026 um 196 Prozent auf 1,24 Millionen. Über 70 Prozent der Angriffe auf Android-Geräte entfallen auf den „Mamont“-Trojaner, der auf Finanzzugangsdaten spezialisiert ist.

Am 23. und 24. Mai gaben internationale Behörden, darunter Indiens I4C-Zentrum, dringende Warnungen vor einer neuen Phishing-Welle gegen iPhone-Nutzer heraus. Die Betrugsmasche nutzt gefälschte „Find My iPhone“-SMS, die angeblich vom offiziellen Support stammen. Die Nachrichten sollen Nutzer dazu bringen, ihre Apple-ID und Einmalpasswörter preiszugeben – so können Diebe gestohlene Geräte entsperren und weiterverkaufen.

Selbst hochrangige Persönlichkeiten sind betroffen: Am 24. Mai wurde bekannt, dass das Telefon des britischen Politikers Nigel Farage angeblich von ausländischen Agenten kompromittiert wurde. Der Spear-Phishing-Angriff zielte darauf ab, Details zu einer Millionen-Spende zu leaken.

Neue Sicherheitsstandards: Das Ende der SMS-Authentifizierung

Die Bedrohungslage zwingt zu grundlegenden Veränderungen. Microsoft kündigte die Abschaffung der SMS-basierten Zwei-Faktor-Authentifizierung (2FA) zugunsten biometrischer Passkeys an. Über 5 Milliarden Passkeys sind bereits aktiv. Der Schritt ist auch eine Reaktion auf Phishing-as-a-Service-Plattformen wie Kali365 und EvilTokens, die die Umgehung von Multi-Faktor-Authentifizierung automatisieren.

Angesichts von 4,7 Millionen gehackten Konten pro Quartal in Deutschland ist der Wechsel auf moderne Standards wie Passkeys unverzichtbar. Dieser kostenlose Report zeigt, wie Sie sich bei Amazon, Microsoft und WhatsApp sicher und passwortlos anmelden. Passkey-Ratgeber jetzt gratis anfordern

Auch der Gesetzgeber handelt: Am 21. Mai 2024 verabschiedete Deutschland das Digitale-Identitäts-Gesetz, das den Weg für die EUDI-Wallet (European Digital Identity) ebnet. Ab dem 2. Januar 2027 soll die Wallet eine staatlich abgesicherte Alternative zu aktuellen privaten Identitätslösungen bieten.

Rechtlicher Druck auf Technologiekonzerne wächst ebenfalls. Im Mai 2026 verklagte der US-Bundesstaat Texas Meta – der Vorwurf: Irreführende Werbung zur Ende-zu-Ende-Verschlüsselung von WhatsApp. Der Klage zufolge behält Meta die Möglichkeit, private Nachrichten einzusehen – ein Verstoß gegen das texanische Verbraucherschutzgesetz.

Analyse: Die Grenzen zwischen Datenklau und Identitätsbetrug verschwimmen

Die aktuelle Welle zeigt: Die Unterscheidung zwischen „Datendiebstahl“ und „Identitätsbetrug“ wird zunehmend obsolet. Gestohlene Datensätze sind nicht länger statische Archive im Darknet – sie werden zu dynamischen Trainingsdaten für KI-Modelle, die Unternehmens-Support oder Regierungsbeamte mit hoher Genauigkeit imitieren können.

Der 150-prozentige Anstieg von „Quishing“ (QR-Code-Phishing) auf 18 Millionen Fälle und der anhaltende Erfolg von Banking-Trojanern zeigen: Angreifer diversifizieren ihre Einstiegspunkte, selbst während Kernsysteme sicherer werden.

Die Verwundbarkeit des Open-Source-Ökosystems, wie bei Laravel und GitHub sichtbar, offenbart ein grundlegendes Problem: Wenn 33 Prozent der Entwicklerkonten bereits kompromittiert sind, steht das Vertrauensmodell kollaborativer Softwareentwicklung infrage. Hinzu kommen nicht patchbare Hardware-Schwachstellen wie die kürzlich gemeldete Qualcomm-BootROM-Lücke.

Ausblick: Systemwechsel statt Flickwerk

Die zweite Jahreshälfte 2026 dürfte einen grundlegenden Wandel bringen: weg von reaktiven Patches, hin zur systematischen Ablösung veralteter Authentifizierung. Die EUDI-Wallet ab 2027 und die Ausweitung von Passkeys sind die bislang ambitioniertesten Versuche, Identität von anfälligen Passwörtern und SMS-Codes zu entkoppeln.

Doch die unmittelbare Bedrohung bleibt die gewaltige Menge persönlicher Daten in den Händen von Gruppen wie ShinyHunters. Unternehmen müssen sich auf anhaltenden Druck von Erpressern und Aufsichtsbehörden einstellen. Während Apple und Google mit Funktionen wie „Live Threat Detection“ und Post-Quanten-Kryptografie in kommenden Betriebssystemen aufrüsten, spitzt sich der Wettlauf zwischen automatisierter Verteidigung und KI-gesteuerter Offensive zu. Die entscheidende Frage: Können „Secure-by-Design“-Prinzipien schneller sein als die kreative Monetarisierung vergangener Datenlecks?

de | wissenschaft | 69411909 |