Die Phishing-Attacken über den Messenger-Dienst Signal haben auch die deutsche Bundesregierung erreicht. Seit Februar wird vor den Angriffen gewarnt, bei denen die Akteure keine technischen Schwachstellen ausnutzen, sondern die Unachtsamkeit der Nutzer. So reagiert Signal.
Hinter der mutmaßlichen Spionagekampagne werden staatlich gesteuerten Cyberakteure aus Russland vermutet.
Die mutmaßlichen Spionageattacken über den Messengerdienst Signal haben auch die Bundesregierung erreicht. Betroffen sind nach Informationen der Deutschen Presse-Agentur einzelne Kabinettsmitglieder. Offiziell äußert sich die Regierung bislang nicht zu konkreten Fällen. Laut Recherchen des Spiegel gehören Bauministerin Verena Hubertz (SPD) und Familienministerin Karin Prien (CDU) zu den Opfern der Kampagne, die sich unter anderem in Deutschland gegen Politiker, Journalisten und Militärs richtet.
Der für sicherheitsrelevante Themen zuständige Bundesinnenminister Alexander Dobrindt (CSU) zählt dem Vernehmen nach nicht zu denjenigen, auf deren Chats und Daten die Angreifer zugreifen konnten.
Vor der andauernden Cyberattacke über Signal hatten das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals im Februar öffentlich gewarnt. Später veröffentlichten sie einen weiteren Sicherheitshinweis mit konkreten Handlungsanweisungen.
Darin hieß es, die Kampagne werde „wahrscheinlich durch einen staatlich gesteuerten Cyberakteur durchgeführt“. Auf etliche Politikerinnen und Politiker gingen die Sicherheitsbehörden auch zu, um sie zu warnen beziehungsweise ihnen zu helfen, herauszufinden, ob sich Angreifer erfolgreich Zugang zu ihrem Account verschafft hatten.
Die Regierung der Niederlande, wo entsprechende Angriffe ebenfalls festgestellt wurden, sieht Russland hinter der Kampagne. Die Bundesanwaltschaft, die zu den Phishing-Angriffen ermittelt, hat sich zu einem möglichen Auftraggeber bisher nicht geäußert.
Kern der Phishing-Kampagne ist keine Sicherheitslücke des Signal-Messengers, den Experten sogar für einen recht sicheren Kommunikationskanal halten. Vielmehr setzen die Angreifer auf die Schwachstelle Mensch.
Um Zugriff auf die Adressbücher und Daten bestimmter Nutzer zu erhalten, schicken die Angreifer zunächst eine Nachricht, in der sie den Nutzer auffordern, eine PIN einzugeben beziehungsweise Links oder einen QR-Code anzusteuern. Als Absender erscheint dabei etwa „Signal-Support“.
Der Zugang ermöglicht es den Angreifern dann nicht nur, noch vorhandene Chats zu lesen, die über den Messenger geführt wurden, sondern auch sich unter falscher Identität in internen Chat-Gruppen zu bewegen.
„Um Klarheit und Verantwortbarkeit zu schaffen“ hat Signal mittlerweile ein offizielles Statement zu den Vorfällen veröffentlicht. Der Anbieter stellt klar, dass Signal selbst nicht gehackt wurde. Die Verschlüsselung, Infrastruktur und die Integrität des App-Codes seien nicht beeinträchtigt worden. „Solche Angriffe sind ein Problem, das jede gängige Messaging-App betrifft, sobald sie eine ähnliche Reichweite wie Signal erreicht“, heißt es in der Stellungnahme. „Wir sind uns jedoch der Tragweite dieses Problems bewusst, da viele Menschen Signal besonders vertrauen. Wir verstehen das Vertrauen, das Menschen in Signal setzen und wie verheerend diese Art von Social Engineering sein kann. Es stimmt zwar, dass alle Messaging-Plattformen anfällig für Betrüger und Phishing sind, die das Vertrauen der Nutzer missbrauchen und sie dazu verleiten, ihre Zugangsdaten preiszugeben. Denn wenn es in der Software keine Hintertüren gibt, müssen die Angreifer die Opfer dazu bringen, die 'Vordertür zu öffnen'. Wir setzen jedoch alles daran, Nutzer dabei zu unterstützen, solche Betrugsversuche zu vermeiden und zu erkennen.“
Signal selbst erhebe keine Nutzerdaten, weswegen die Informationen über die Angriffe von den Opfern der Phishing-Attacken stammen würden. Demnach würden die Angriffe einem ähnlichen Muster folgen: Nachdem die Angreifer die Nutzer dazu gebracht hätten, ihre Signal-Zugangsdaten preiszugeben, hätten sie diese genutzt, um deren Konto zu übernehmen und häufig auch die zugehörige Telefonnummer zu ändern. Da eine solche Übernahme zur Abmeldung des Signal-Kontos auf dem Zielgerät führe, hätten die Angreifer die Opfer darauf vorbereitet, indem sie ihnen mitgeteilt hätten, die Abmeldung sei beabsichtigt und sie müssten sich lediglich „neu anmelden“ oder ein neues Konto erstellen. Beim Erstellen eines neuen Signal-Kontos – das nun von dem übernommenen Konto getrennt worden sei – hätten die Opfer geglaubt, sich wieder in ihr Hauptkonto einzuloggen. Daher hätten viele die Übernahme nicht bemerkt. Die kompromittierten Konten seien anschließend missbraucht worden, um die Kontaktlisten der Opfer anzugreifen, indem sich die Angreifer als Kontoinhaber ausgegeben hätten.
In den kommenden Wochen wolle Signal verschiedene Änderungen einführen, um diese Art von Angriffen weiter zu erschweren. Dennoch appelliert der Messenger-Anbieter, wachsam gegenüber Phishing-Angriffen und Versuchen der Kontoübernahme zu sein. „: Niemand vom Signal-Support wird Sie jemals per Nachricht kontaktieren oder nach Ihrem Registrierungs-Verifizierungscode oder Ihrer Signal-PIN fragen.“ Zusätzlicher Schutze biete die Funktion „Registrierungssperre“, die in den Signal-Einstellungen unter „Konto“ und „Registrierungssperre“ aktiviert werden kann.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/19/4f/194f7a7aacc5be512137e9903e7b9393/0130719515v2.jpeg "Für Zero Networks sind das Blockieren lateraler Bewegung sowie regulierter Zugriff und die schnelle Eindämmung von Bedrohungen besonders relevant, um NIS 2 umzusetzen. (Bild: © Sabbir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/2b/f42b0456ab068cdc722e6cefd4c30479/0130824019v2.jpeg "Die Schwachstelle EUVD-2026-19588 / CVE-2026-34197 betrifft den Apache ActiveMQ Broker in den Versionen vor 5.19.4 sowie von 6.0.0 bis einschließlich 6.2.2. Auch Apache ActiveMQ ist betroffen. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/b4/d2b43b2301a8e26f7bcd93dea6c10d2d/0130920718v2.jpeg "Hinter der mutmaßlichen Spionagekampagne werden staatlich gesteuerten Cyberakteure aus Russland vermutet. (Bild: © kittikunfoto - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/0f/720f44c6f32c075c10150af5cefc2088/0130871034v2.jpeg "Die drei Wiz‑Agenten, die auf der Next 2026 vorgestellt wurden, simulieren Angriffe (Red), untersuchen Bedrohungen anhand von Cloud‑Telemetrie (Blue) und automatisieren die Behebung (Green), um Google‑Cloud‑Kunden dabei zu helfen, ausnutzbare Risiken schneller zu erkennen, Vorfälle effizient zu analysieren und Korrekturen rasch und sicher umzusetzen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/bf/60/bf604ad872c9e4887eec60dee99084b7/0130783434v2.jpeg "Die Software zur datenbankübergreifenden Recherche soll zur Bekämpfung schwerer und komplexer Straftaten eingesetzt werden. (Bild: © TensorSpark - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ea/5f/ea5f68b1c97e92c39f3bcffe754ac9ee/0130786498v2.jpeg "Mit Intune verteilen Admins Sicherheitsrichtlinien für interne und mobile Geräte zentral und verteilen ADMX-Dateien und Gruppenrichtlinien ohne Domänencontroller. (Bild: © Viacheslav Lakobchuk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/56/dc56436ba821e4c90c9aecf053517801/0130379749v1.jpeg "Noch weiß niemand, wann der Q-Day sein wird. Die dann drohenden Gefahren hingegen sind bekannt. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/16/62/1662fe93b01eea7699de460e62dfe9a6/0130736643v1.jpeg "Die Flut an neuen Sicherheitslücken ist für das NIST und seine CVE-Datenbank nicht mehr zu stemmen, weswegen Abstriche gemacht werden müssen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/c5/97c5e41a155d082355f34621af2f5791/0130857540v2.jpeg "Das anfälligeMicrosoft Repository „Windows-driver-samples“ ist ein öffentliches Microsoft-GitHub-Repository mit Beispiel- und Referenztreibern, das Unternehmen als Vorlage und Lernquelle für die Entwicklung, das Prototyping, das Testen sowie den Aufbau von Build- und Signierprozessen für Windows-Treiber nutzen. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/53/25536c0bb262a7ac94848efaaf7d88d4/0130457223v2.jpeg "Deepfakes können heute mit hoher Wahrscheinlichkeit identifiziert werden. Vor Gericht kann es dennoch Probleme geben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/52/c4526444911a1e496bc113813291c6be/0130586130v1.jpeg "Die rasante Entwicklung KI-gestützter Manipulationen erschwert die sichere Unterscheidung zwischen Deepfake und echten Medien. In einer Umfrage des TÜV gaben ein Viertel der Befragten an, schon einmal auf KI-generierte Inhalte „hereingefallen“ zu sein. (Bild: © LORD - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/48/c4/48c497c1fcf45eba3e5e98fd39ba136a/0130783438v2.jpeg "Die EU-Kommision fordert, dass Google gewissermaßen seine „Datenpforten“ öffnet und Daten mit mehr Daten mit Konkurrenten teilt. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d2/9d/d29d95716693afcdced3e70f270f8eac/0130686126v1.jpeg "IT-Sicherheit schützt Informationen und alle Systeme, mit denen Informationen verarbeitet, genutzt und gespeichert werden. (Bild: Jirsak via Getty Images Pro)")
:quality(80)/p7i.vogel.de/wcms/a9/56/a9568e19e71f36272b559071914c8a63/0126593157v1.jpeg "Das Computer Emergency Response Team der Europäischen Union (CERT-EU) hat die Aufgabe, Cyberangriffe gegen EU-Institutionen zu verhindern, zu erkennen und abzuwehren. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/dc/94/dc9415a5d9a392653404bb6a8fa81544/0130898040v2.jpeg "Die Schwachstelle EUVD-2026-25052 / CVE-2026-28950 führte dazu, dass als gelöscht markierte Benachrichtigungen in der Protokollierung von iOS und iPadOS verblieben und dadurch die Vorschauen privater Nachrichten auch nach dem Löschen ausgelesen werden konnten. (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/9d/349d5930b76b72de20d09e4474c67a02/0130522416v2.jpeg "Über die Sicherheitslücke EUVD-2023-55046 / CVE-202350224 konnten Hacker des russischen Geheimdienstes tausende TP-Link-Router weltweit kompromittieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/66/53666d0ad5146321d8d9a58bfb1ccb95/0124011502v2.jpeg "Cyberangriffe auf Unternehmen und Infrastrukturen sind in Deutschland allgegenwärtig. Viele davon lassen sich nach Russland zurückverfolgen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/9e/499ea7457c1fd8685062f73b68ccf60e/0124907133v2.jpeg "Mit einer Schutzfunktion in Version 7.55 seines Messengers, wehrt sich Signal gegen die Recall von Microsoft. (Bild: alphaspirit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/c3/93c32efc533d3fef3d9da2c71eca3213/0130884690v2.jpeg "Derzeit laufen Phishing-Angriffe über den Supportdienst von Signal. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/17/74/177417fd4bd43428fc6e858c55b0ec93/0130884695v2.jpeg "Julia Klöckner, Präsidentin des Deutschen Bundestages. (Bild: Tobias Koch)")