Die Signal-Konten zahlreicher führender deutscher Politiker:innen sind seit Monaten Ziel einer Phishing-Welle. Bestätigt sind Angriffe auf Bundestagspräsidentin Julia Klöckner — protokollarisch Nummer zwei im Staat —, Bauministerin Verena Hubertz (SPD) und Bildungsministerin Karin Prien (CDU). Marc Henrichmann, Leiter des Parlamentarischen Kontrollgremiums, geht von hoher Dunkelziffer aus. Berichtet wird über rund 300 betroffene Personen aus dem politischen Betrieb — darunter Büroleiter:innen, Mitarbeitende und Journalist:innen wie Ex-BND-Vizepräsident Arndt Freytag von Lohringhoven. Der Generalbundesanwalt ermittelt wegen Verdachts der geheimdienstlichen Agententätigkeit.
Der Angriff läuft über Nachrichten mit dem Absender „Signal Support", die verdächtige Aktivitäten melden und schnelles Handeln verlangen. In Variante A bekommt das Opfer per SMS einen Bestätigungscode, den es angeblich zur Konto-Sicherung weitergeben soll. Tatsächlich melden die Angreifer damit das Konto auf einem anderen Gerät an — das Opfer wird abgemeldet, die Angreifer können in seinem Namen mit der gewohnten Absendernummer schreiben.
In Variante B sollen die Opfer einen QR-Code scannen, mit dem ein zusätzliches Gerät an das Konto gekoppelt wird — wie Signal es regulär für die Mac- oder Windows-App vorsieht. Auf dem fremden Rechner — mutmaßlich in Russland — laufen dieselben Nachrichten, Gruppen und Chatverläufe. Das Opfer bemerkt nichts: Das eigene Signal funktioniert weiter. Nur tief in den Einstellungen zeigt die Liste verknüpfter Geräte lediglich „Mac" oder „Windows-Rechner" ohne Standort. Synchronisiert werden künftige Nachrichten und Kontakte, auf Wunsch auch ein begrenzter Vergangenheitszeitraum.
Der Angriff ist nicht beendet. Niederländischer Geheimdienst, BMI und weitere Stellen gehen von einem russischen Geheimdienst als Urheber aus. Das Bundesamt für Verfassungsschutz hatte die Bundestagsverwaltung bereits am 30. Januar gewarnt; Anfang Februar gingen Warnungen an die Parteigeschäftsstellen, später an die Fraktionsspitzen.
Als Reaktion forciert das Bundestagspräsidium den Umstieg von Signal zu Wire. Vizepräsidentin Andrea Lindholz (CDU) nennt mehrere Gründe: Bei Wire sei keine Telefonnummer nötig, die E-Mail-Adresse nicht von außen einsehbar, es gebe schnell erreichbare Ansprechpartner und mit der Schwarz Gruppe (Lidl, Kaufland) einen deutschen Mehrheitseigner der Wire Group Holding GmbH. Hinter Signal stehe eine US-Stiftung, ein begrenzter US-Behördenzugriff sei nicht auszuschließen. Laut SZ funktioniert Signal auf den Smartphones der Minister bereits nicht mehr; bei Abgeordneten bleibt die Wahl auf eigenen Geräten frei. Signal will solche Attacken künftig weiter erschweren.
Einordnung
Ulf und Philip stellen klar: Die App Signal wurde nicht gehackt, die Lücke sitze vor dem Gerät. Signal bleibe der beste Messenger für Privatpersonen und Journalist:innen, leake aber Informationen, sobald Nutzer:innen Angreifern den Zugang freischalten.
Ulf sieht Variante B als „Supergau": kompletter, gut versteckter Kontrollverlust. Variante A sei einfacher, aber wegen der erzwungenen Abmeldung eine schnell auffliegende Brute-Force-Methode. Politisch fordert er, Russland endlich als feindlichen Akteur ernst zu nehmen — Deutschland sei längst in einem hybriden Krieg, weil es die Ukraine unterstützt, um eine spätere Eskalation Richtung NATO zu verhindern.
Philip verweist auf die Vorgeschichte: Snowdens Enthüllung des US-Abhörens deutscher Spitzenpolitiker vor 13 Jahren, der russische E-Mail-Hack des Bundestags vor elf Jahren, die Taurus-Panne mit Bundeswehr-Generälen auf ungeschützter Leitung. Wer mit dem Bundeskanzler chatte, müsse ein anderes Bewusstsein entwickeln. Bildhaft: Wer einem Fremden den Tresorschlüssel übergebe, mache auch den dicksten Tresor auf.
Philip berichtet von einer ähnlichen WhatsApp-Nachricht im Stil „Hallo Papa, ich habe eine neue Nummer", die Tonfall seines Sohnes traf — geholfen habe ein kurzer Anruf. Ulf zieht daraus eine Regel: Künstlich erzeugter Zeitdruck sei das deutlichste Phishing-Zeichen, die wichtigste Gegenmaßnahme sei, anzurufen oder Kundige zu fragen. Bei Klöckner und Hubertz sei das unverständlich, da beide Behörden mit IT-Security-Abteilung leiten.
Konkret empfehlen Ulf und Philip das Signal-Feature „Registrierungssperre": eine dauerhafte PIN, ohne die das Konto nicht auf einem neuen Gerät registriert werden kann. Nicht hundertprozentig sicher, aber für Exponierte ein Muss.
Zum SZ-Argument von Ronen Steinke, staatliche Vorschriften hätten Menschen darauf konditioniert, alles wegzuklicken, geben sich Ulf und Philip verständnisvoll. Das „Blame Game" gegen den Verfassungsschutz funktioniere hier aber nicht — Verantwortung bleibe beim Menschen am Gerät.
Den Wechsel zu Wire bewerten Ulf und Philip zwiespältig. Die Sicherheit sei vergleichbar — beide open source, Signal aber breiter geprüft. Bei Features habe Wire mit Admin-Panel und einfacherer Anmeldung leicht die Nase vorn. Signal sei als US-Stiftung mit fast keinen Nutzerdaten robust gegen Behörden-Anfragen. Wire sei als GmbH jederzeit verkäuflich — Musks X-Übernahme zeige, was möglich ist. Ulf hält den Wechsel für eine „Nebelkerze". Philip ergänzt, der Schritt wirke wie ein Versuch, Signal die Verantwortung in die Schuhe zu schieben. Ein „neuer, sicherer" Messenger könne sogar in falscher Sicherheit wiegen — auch per Wire können Angreifer Phishing-Nachrichten schicken.
Was Ulf vermisst, ist eine klare Selbstverpflichtung zu mehr IT-Security-Schulungen und Fake-Phishing-Übungen, wie Firmen sie einsetzen. Philip ergänzt: Wenn die offizielle IT nervt, weichen Nutzer:innen auf private Geräte aus — die Schatten-IT. Die einzige tragfähige Antwort sei Schulung, Bildung und Aufklärung. Kurz: „Wenn der Mensch das Problem ist, dann ist auch nur der Mensch die Lösung."