iOS 26.5: Apple schließt 52 Lücken und aktiviert Diebstahlschutz

Der wirtschaftliche Schaden durch mobile Cyberkriminalität erreicht dieses Jahr voraussichtlich 442 Milliarden Euro. Besonders im Fokus: Hybrid-Attacken, die physischen Diebstahl mit digitalen Täuschungsmanövern kombinieren.

Nach einem Geräte-Update bleiben oft kritische Sicherheitslücken unentdeckt, wenn wichtige Einstellungen nicht manuell geprüft werden. In diesem kostenlosen Ratgeber erfahren Sie Schritt für Schritt, wie Sie Ihr iPhone nach einem Update optimal absichern. iOS-Sicherheits-Ratgeber jetzt kostenlos anfordern

Gefahr für Apple-Nutzer: Wenn das iPhone zum Einfallstor wird

Organisierte Banden haben es gezielt auf das Apple-Ökosystem abgesehen. Sie nutzen den Verlust oder Diebstahl von iPhones aus, um über gefälschte Support-Nachrichten vollständigen Zugriff auf Konten zu erlangen. Die indische Cybersicherheitsorganisation I4C warnte Ende Mai vor einer deutlichen Zunahme dieser koordinierten Angriffe.

Die Masche ist perfide: Kurz nachdem ein iPhone abhandenkommt, erhalten Betroffene Phishing-SMS. Diese sehen aus wie offizielle Mitteilungen des Apple-Supports oder des Dienstes „Find My Device“. Die Täter fordern die Nutzer auf, einem Link zu einer gefälschten iCloud-Seite zu folgen. Dort sollen sie ihre Apple-ID und Einmalpasswörter eingeben – angeblich zur Standortverifizierung.

In Wahrheit nutzen die Angreifer diese Daten, um das Gerät aus dem Konto des Besitzers zu entfernen und für den illegalen Weiterverkauf vorzubereiten.

Quishing und Banking-Trojaner: Die Zahlen explodieren

Der Trend zur Verschmelzung von physischem und digitalem Betrug zeigt sich auch anderswo. Beim sogenannten „Quishing“ – Phishing über manipulierte QR-Codes – registrierten Ermittler bereits 18 Millionen Fälle. Das entspricht einer Steigerung von 150 Prozent.

Noch dramatischer ist der Anstieg bei Banking-Trojanern: Im ersten Quartal 2026 schnellten die Fälle um 196 Prozent auf 1,24 Millionen hoch.

KI treibt die Angriffswelle an

Künstliche Intelligenz ist der Treibstoff dieser Entwicklung. Rund 86 Prozent aller Phishing-Kampagnen laufen inzwischen KI-gesteuert. Weltweit werden täglich etwa 3,4 Milliarden betrügerische Nachrichten versendet.

Plattformen wie das „Phishing-as-a-Service“-System „Darcula“ industrialisieren die Angriffe. Die Täter nutzen zunehmend RCS und iMessage, um herkömmliche E-Mail-Filter zu umgehen. KI-generierte Inhalte machen die Nachrichten sprachlich fast ununterscheidbar von offiziellen Mitteilungen.

Apple schaltet in den Abwehrmodus

Apple reagierte im Mai 2026 mit iOS 26.5. Das Update schließt 52 Sicherheitslücken, darunter die kritische Schwachstelle CVE-2026-28950. Kernstück ist das neue PQ3-Protokoll für Post-Quanten-Verschlüsselung. Es soll die Kommunikation auch gegen zukünftige Quantencomputer-Angriffe absichern.

Am 24. Mai aktivierte Apple zudem einen automatischen Diebstahlschutz. Befindet sich das Gerät an einem unbekannten Ort, verlangt das System zwingend biometrische Daten wie FaceID oder TouchID – ohne Alternative durch einen einfachen Passcode.

Experten warnen jedoch: Technische Hürden allein genügen nicht, solange Angreifer durch Social Engineering an Zugangsdaten gelangen.

Internationale Großrazzia: Über 3.000 Festnahmen

Die Bekämpfung der mobilen Cyberkriminalität läuft zunehmend international. Bei der Interpol-Operation „FRONTIER+ III“ gelangen den Ermittlern bedeutende Schläge gegen globale Betrügernetzwerke. Ergebnis: über 3.000 Festnahmen und sichergestellte Vermögenswerte von mehr als 160 Millionen US-Dollar.

Ein spektakulärer Fall in Singapur zeigt die Dimensionen: Ein Unternehmensleiter verlor durch einen betrügerischen WhatsApp-Anruf – sogenannten CEO-Fraud – umgerechnet rund 46,5 Millionen Singapur-Dollar. Ein Teil der Beute konnte in Hongkong sichergestellt werden.

Neue Gesetze und verschärfte Regeln

Deutschland verabschiedete am 20. Mai 2026 das neue Digital-Identitäts-Gesetz. Es soll die Sicherheit digitaler Identitäten erhöhen und vor Identitätsdiebstahl schützen.

In den USA sorgt eine Klage des Bundesstaates Texas gegen Meta für Aufsehen. Der Vorwurf: Das Unternehmen habe Nutzer über die tatsächliche Sicherheit der WhatsApp-Verschlüsselung getäuscht. Gefordert werden Strafzahlungen von bis zu 10.000 US-Dollar pro Verstoß.

Microsoft stellte im Mai 2026 die SMS-basierte Zwei-Faktor-Authentifizierung für private Konten ein. Das Unternehmen setzt vollständig auf biometrische Passkeys – über fünf Milliarden wurden bereits aktiviert. Grund: SMS-Verfahren sind durch Smishing und SIM-Swapping nicht mehr sicher.

Da herkömmliche Passwörter und SMS-Verfahren immer häufiger durch Phishing und Identitätsdiebstahl untergraben werden, gewinnt die passwortlose Anmeldung massiv an Bedeutung. Dieser kostenlose Spezialreport erklärt, wie Sie Passkeys sofort einrichten und Ihre Konten sicher schützen. Gratis-PDF: So funktionieren Passkeys

Doppelte Herausforderung für Unternehmen

Firmen müssen gleich an zwei Fronten kämpfen. Zum einen gilt es, die eigene IT-Infrastruktur zu schützen. Die jüngsten Vorfälle bei Charter Communications oder dem Bildungsdienstleister Instructure zeigen die Bedrohung. Bei Charter sollen Angreifer rund 42 Millionen Datensätze erbeutet haben. Instructure zahlte im Mai ein Lösegeld von 9,2 Millionen Euro, um die Veröffentlichung gestohlener Daten von über 8.800 Bildungseinrichtungen zu verhindern.

Zum anderen müssen Unternehmen ihre Mitarbeiter für Hybrid-Attacken sensibilisieren. Diensthandys werden oft geschäftlich und privat genutzt – ihr Verlust wird zum Einfallstor für Industriespionage. Experten raten, Apps nur aus offiziellen Stores zu installieren. Allein im Google Play Store wurden 2026 bereits 455 getarnte schadhafte Apps entdeckt, die über 24 Millionen Downloads verzeichneten.

Messenger-Betrug auf dem Vormarsch

WhatsApp wird zunehmend zur Angriffsplattform. Kriminelle verschicken gefälschte Mautzahlungs-Aufforderungen oder geben sich als Bankmitarbeiter aus. Ziel: Kreditkartendaten oder die Installation bösartiger APK-Dateien.

Ein dokumentierter Fall aus Ahmedabad: Ein Opfer verlor über 300.000 Rupien, nachdem es einem Link folgte, der angeblich bessere Konditionen für eine Kreditkarte versprach.

WWDC als Zukunfts-Weichensteller

Die Branche blickt gespannt auf die für den 8. Juni 2026 angekündigte Entwicklerkonferenz WWDC. Apple wird voraussichtlich iOS 27 vorstellen. Erwartet werden Sicherheitsmechanismen mit lokaler Datenverarbeitung. Siri soll demnach zu einer eigenständigen App werden, die Anfragen lokal auf dem Gerät verarbeitet – weniger Cloud-Abhängigkeit bedeutet weniger Angriffsflächen.

Apple hat bereits Teile seines Corecrypto-Quellcodes auf GitHub veröffentlicht. Ziel: Transparenz und Überprüfbarkeit durch unabhängige Forscher.

Die größte Schwachstelle bleibt der Mensch

Trotz aller technologischen Fortschritte: Das menschliche Verhalten bleibt das entscheidende Risiko. In Deutschland halten 74 Prozent der Nutzer ihre Passwörter für sicher – aber nur 32 Prozent nutzen moderne Verfahren wie Passkeys.

Ob die Kombination aus strengerer Regulierung, technischen Neuerungen und internationaler Polizeiarbeit ausreicht, um den prognostizierten Milliarden-Schaden einzudämmen, werden die kommenden Monate zeigen. Bis dahin gilt: Jede unaufgeforderte Nachricht, die nach einem Geräteverlust zur Eingabe von Zugangsdaten auffordert, ist mit äußerster Skepsis zu behandeln.

de | wissenschaft | 69416767 |