BSI warnt vor Spionage-Angriffen auf Signal-Nutzer

Deutschlands Sicherheitsbehörden schlagen Alarm: Staatliche Hacker kapern gezielt Signal-Konten europäischer Spitzenbeamter. Die Angreifer nutzen keine Software-Lücken, sondern menschliches Vertrauen als Einfallstor.

Gezielte Konten-Übernahmen via Social Engineering

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verfassungsschutz (BfV) warnen vor einer koordinierten Spionagekampagne. Die Täter, mutmaßlich staatlich gesteuerte Akteure, zielen auf Diplomaten, Militärs und Politiker in ganz Europa. Ihr Werkzeug: die eigentlich als sicher geltende Messenger-App Signal.

Anders als bei klassischen Cyberangriffen setzen die Hacker auf Social Engineering. Sie tricksen ihre Opfer aus, um an Zugangsdaten zu gelangen. Die Behörden identifizieren zwei Hauptmethoden.

Methode 1: Der angebliche Support-Betrug

Bei der ersten Variante kontaktieren falsche „Signal-Support“-Accounts die Zielperson. Sie behaupten, das Konto sei gefährdet oder gesperrt. Anschließend fordern sie den Registrierungscode per SMS oder die Signal-PIN an.

Social-Engineering-Angriffe wie gefälschte Support-Konten und das gezielte Abfragen von Registrierungs-Codes sind aktuell eine der Hauptursachen für Kontenübernahmen. Das kostenlose Anti-Phishing-Paket erklärt in einer klaren 4‑Schritte-Anleitung, wie Sie solche Tricks erkennen, Mitarbeiter sensibilisieren und CEO‑Fraud abwehren. Enthalten sind konkrete Checklisten, psychologische Erkennungsmerkmale und Sofort‑Maßnahmen für Behörden und Verwaltungen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Gibt das Opfer diese Daten preis, registrieren die Angreifer die Nummer auf einem eigenen Gerät. Das sperrt den legitimen Nutzer aus. Bis zur Wiederherstellung können sich die Hacker in Chats als die betroffene Person ausgeben.

Methode 2: Die stille Überwachung per QR-Code

Diese Methode ist tückischer und bleibt oft wochenlang unentdeckt. Die Angreifer überreden ihr Ziel, einen QR-Code zu scannen – angeblich für eine Sitzungsprüfung oder ein Support-Ticket.

Tatsächlich aktiviert dieser Code die legitime „Gerät verknüpfen“-Funktion von Signal. Das Opfer autorisiert damit unfreiwillig ein fremdes Gerät. Die Hacker erhalten so Echtzeit-Zugriff auf den gesamten Nachrichtenverlauf, Kontaktlisten und künftige Gespräche. Der Nutzer wird nicht ausgesperrt und merkt oft nichts.

Warum gerade Signal im Fokus steht

Die Attacke zeigt eine strategische Wende. Da die Ende-zu-Ende-Verschlüsselung von Signal technisch kaum zu knacken ist, rücken die Nutzer selbst ins Visier. Signal gilt nach den „Phonegate“-Skandalen und Sicherheitsbedenken bei anderen Plattformen als De-facto-Standard für sensible Kommunikation europäischer Behörden.

Genau diese Abhängigkeit machen sich die Angreifer zunutze. Das Werkzeug zum Schutz wird zum Einfallstor für Spionage. Die Täter bereiten ihre Anfragen oft minutiös vor und beziehen sich auf reale Ereignisse oder interne Abläufe, um glaubwürdig zu wirken.

Hintergrund: Russland als mutmaßlicher Urheber

Die deutschen Behörden sprechen öffentlich von „staatlich unterstützten Akteuren“. Sicherheitsexperten sehen jedoch klare Hinweise auf russische Spionagegruppen. Bereits 2025 nutzten Gruppen wie „Callisto“ ähnliche Methoden gegen ukrainisches Militärpersonal.

Die Ausweitung der Taktik auf europäische Politiker und Militärs deutet auf ein erweitertes Aufklärungsziel hin. In Zeiten anhaltender Spannungen ist der Zugang zu privaten, informellen Gesprächen westlicher Entscheidungsträger für ausländische Geheimdienste von hohem Wert.

So können sich Nutzer schützen

BSI und BfV geben konkrete Handlungsempfehlungen für Beamte und gefährdete Personen:

• Verknüpfte Geräte prüfen: In den Signal-Einstellungen unter „Verknüpfte Geräte“ nach unbekannten Devices suchen und diese sofort entfernen.
• Registrierungssperre aktivieren: Diese Funktion in den Einstellungen erzwingt die Eingabe der Signal-PIN bei einer Neuregistrierung. Sie schützt vor der ersten Angriffsvariante.
• Sicherheitsnummern verifizieren: Für sensible Chats die Sicherheitsnummern mit dem Gesprächspartner über einen zweiten Kanal (z.B. Telefonat) abgleichen.
• Skepsis bei Support-Anfragen: Signal als privatwirtschaftliche Organisation kontaktiert Nutzer nie per Nachricht, um Codes oder QR-Scans zu verlangen. Solche Anfragen sind immer betrügerisch.

Folgen für sichere Messenger

Die Attacken stellen Messenger-Anbieter vor ein Dilemma. Der Code ist sicher, doch benutzerfreundliche Funktionen wie das Verknüpfen per QR-Code werden missbraucht.

Experten erwitten nun strengere Authentifizierungsabläufe. Denkbar sind auffälligere Warnhinweise, biometrische Bestätigungen für kritische Einstellungen oder ein Wechsel von Telefonnummern zu nutzerbasierten Systemen.

Für den öffentlichen Dienst ist die Warnung ein Weckruf: Digitale Souveränität erfordert nicht nur sichere Software, sondern auch ein konsequentes Sicherheitsbewusstsein bei den Nutzern. Die stärkste Verschlüsselung nutzt nichts, wenn der Nutzer die Haustür öffnet.

PS: Wer Messenger-Sicherheit ernst nimmt, sollte nicht nur technische Schutzschichten nutzen, sondern auch menschliche Schwachstellen schließen. Das kostenlose Anti-Phishing-Paket zeigt praxisnah, welche Abläufe Sie sofort ändern können – von strikt definierten Verifikationsprozessen bis zu kurzen Schulungs‑Modulen für Mitarbeitende. So verhindern Sie, dass QR‑Scans oder gefälschte Support‑Anfragen zum Einfallstor werden. Jetzt Anti-Phishing-Guide gratis sichern