Signal-Phishing trifft Bundesregierung: Schuld ist nicht die Software

Seit Februar warnen Verfassungsschutz und BSI vor einer gezielten Angriffswelle auf Signal-Konten. Die Opfer: hochrangige Politiker, Militär, Diplomatie, Investigativjournalisten. Die Täter: vermutlich Russland. Die Methode: klassisches Phishing. Und trotzdem wird in den Schlagzeilen Signal in den Dreck gezogen.

Was passiert ist

Die Angreifer geben sich als Signal-Support-Mitarbeiter aus. Sie schicken den Opfern eine Nachricht und fordern sie auf, ihren PIN einzugeben. Tun die Opfer das, haben die Angreifer Zugriff auf alle Chats, Fotos und Dokumente.

Die Bundesregierung sieht Russland hinter den Angriffen. Bundestagspräsidentin Julia Klöckner (CDU) wurde kompromittiert. Auch Bildungsministerin Karin Prien (CDU) und Bauministerin Verena Hubertz (SPD) sind offenbar betroffen. Die Bundesanwaltschaft ermittelt wegen des Anfangsverdachts der geheimdienstlichen Agententätigkeit.

Der Verfassungsschutz warnt in einem Schreiben an die Bundestagsfraktionen vor einer hohen Dunkelziffer. Es ist davon auszugehen, dass zahlreiche Signal-Gruppen im parlamentarischen Raum von den Angreifern ausgelesen werden.

Warum das nicht Signals Fehler ist

Jetzt kommt der Punkt, der in den meisten Berichten untergeht: Die Schwachstelle lag nicht in Signal. Es gab keinen Softwarefehler, keine kryptografische Schwachstelle, keinen technischen Exploit.

Die Angreifer haben Social Engineering benutzt. Sie haben den Opfern eine Nachricht geschickt und sich als Support ausgegeben. Die Opfer haben freiwillig ihren PIN eingegeben. Das ist kein Hackerangriff im klassischen Sinne. Das ist das digitale Äquivalent von jemandem, der anruft, sich als Bankberater ausgibt und nach dem Passwort fragt.

Signal ist Ende-zu-Ende-verschlüsselt. Die Nachrichten sind sicher. Aber Verschlüsselung schützt nicht vor dem Nutzer, der freiwillig seine Zugangsdaten weitergibt. Keine Software der Welt kann das verhindern.

Warum die Berichterstattung trotzdem so ist

Weil „Bundesregierung über Signal gehackt" eine bessere Schlagzeile ist als „Bundesminister gibt PIN an Fremde weiter". Ersteres ist ein Sicherheitsproblem, letzteres ist ein Schulungsproblem. Ersteres verklickt, letzteres nicht.

Die Realität: Die Bundesregierung kommuniziert über Signal, weil die Software sicher ist. Die Schwachstelle sind die Menschen, die die Software bedienen. Wer jetzt Signal in Frage stellt, verwechselt Werkzeug mit Benutzer.

Was hätte geholfen

Schulung. Regelmäßige Schulung. Jeder Mitarbeiter, der sensible Informationen über Signal kommuniziert, sollte wissen: Signal fragt dich NIE nach deinem PIN. Signal schickt dir NIE eine Nachricht mit einem Link. Signal hat keinen Support, der dich kontaktiert.

Dazu gehört auch: Signal Registration Lock aktivieren. Das verhindert, dass jemand dein Konto auf einem anderen Gerät registrieren kann, selbst wenn er deinen PIN hat. Wer das nicht aktiviert hat, hat eine Tür offen gelassen.

Signal reagiert

Die Signal Foundation hat sich nun selbst gemeldet. Auf Mastodon schreibt die Stiftung: „Signal wurde nicht ‘gehackt’. Verschlüsselung, Infrastruktur und Integrität des Programmcodes sind nicht kompromittiert." Die Angreifer legen normale Signal-Konten an, ändern Profilname und -bild und geben sich als Signal-Support aus.

Die Stiftung kündigt an: „In den kommungen Wochen" sollen Änderungen kommen, „die helfen, diese Art von Angriffen zu behindern." Was genau, verrät man noch nicht. Das Problem, dass Angreifer manche Nutzer dazu bewegen, die Vordertür aufzusperren, wenn es keine Hintertür gibt, betreffe alle Plattformen.

Besonders perfide ist die Methode: Die Täter ändern die verknüpfte Telefonnummer, was zur De-Registrierung des Opfers führt. Die Täter weisen die Opfer an, sich einfach neu anzumelden. Das Opfer legt dann ein neues Konto an, während die Täter das alte kontrollieren. Das Opfer merkt davon nichts.

Signal empfiehlt: Registrierungssperre in den Einstellungen aktivieren (unter Konto). Diese erfordert die Eingabe der PIN, wenn die Telefonnummer auf einem anderen Gerät registriert werden soll. Erst nach einer Woche Inaktivität läuft die Sperre ab.

Das Muster wiederholt sich

Das ist nicht das erste Mal. Im März 2025 veröffentlichte die US-Regierung versehentlich Kriegspläne in einer Signal-Gruppe, in die der Journalist Jeffrey Goldberg vom Atlantic versehentlich eingeladen worden war. Auch damals wurde Signal in den Schlagzeilen genannt, obwohl das Problem nicht die Software war, sondern die Person, die den falschen Kontakt zur Gruppe hinzugefügt hatte.

Das Muster ist immer dasselbe: Sichere Software, unsichere Nutzung. Und die Schlagzeilen greifen den Namen der Software auf, nicht das Versagen des Menschen.

Was das bedeutet

Die Phishing-Attacke ist ernst. Hochrangige Politiker wurden kompromittiert, parlamentarische Gruppen werden ausgelesen, Russland steckt vermutlich dahinter. Die Bundesanwaltschaft ermittelt. Das ist kein Kavaliersdelikt.

Aber die Schuld liegt nicht bei Signal. Sie liegt bei Menschen, die nicht geschult wurden. Bei einer Organisation, die nicht genug für Sensibilisierung getan hat. Bei einer Regierung, die eine sichere Software benutzt, aber die Nutzer nicht vorbereitet.

Wer jetzt ernsthaft vorschlägt, von Signal auf eine andere Plattform zu wechseln, hat das Problem nicht verstanden. Phishing funktioniert auf jeder Plattform. WhatsApp, Telegram, E-Mail. Der einzige Schutz ist nicht die Software, sondern der geschulte Mensch davor.

Das nächste Mal, wenn eine Schlagzeile behauptet, Signal sei unsicher, frag dich: War es die Software oder war es der Mensch dahinter?

Politische Reaktionen: Weckruf oder Reflex?

Die politischen Reaktionen fallen unterschiedlich aus. Grünen-Vizefraktionschef Konstantin von Notz spricht von einem „Weckruf für alle Sicherheitsbereiche". CDU-Sicherheitspolitiker Roderich Kiesewetter fordert russische Diplomaten auszuweisen und Taurus-Marschflugkörper an die Ukraine zu liefern.

Bundestagsvizepräsidentin Andrea Lindholz geht weiter. Sie fordert die Bundesregierung auf, die Nutzung von Signal einzustellen und auf den europäischen Messenger Wire umzusteigen. Außerdem solle man über ein Signal-Verbot auf Dienstgeräten nachdenken.

Tagesschau bestätigt in ihrer Berichterstattung den Kern: „Kern der Phishing-Kampagne ist keine Sicherheitslücke des Signal-Messengers, den Experten sogar für einen recht sicheren Kommunikationskanal halten." Das BSI ergänzt: 62 Prozent der Deutschen haben bereits Phishing-Mails erhalten. Das ist kein Signal-Problem. Das ist ein Alltagsproblem.

Wer jetzt von Signal auf Wire wechselt, wird dort genauso angegriffen. Die Schwachstelle sitzt nicht in der App. Sie sitzt davor.

Die Behörden haben versagt

Netzpolitik.org deckt auf: Die Phishing-Attacke ist seit mindestens September 2025 bekannt und hatte schon früh Bundestagsabgeordnete im Visier. BSI und Verfassungsschutz haben aber erst im Februar 2026 eine offizielle Mitteilung veröffentlicht. Netzt, nachdem Netzpolitik im Januar darüber berichtet hatte.

Angeblich sind mittlerweile 300 Betroffene betroffen. Die Frage ist berechtigt: Wann sind die Opfer hereingefallen? Funktionieren Warnmechanismen nicht? Oder werden sie ignoriert?

Netzpolitik.org zu Lindholz’ Verbotsforderung: „Das ist realitätsfern wie unsinnig." Signal hat sich nicht ohne Grund als sicherer Messenger etabliert. „Nicht ohne Grund hat noch niemand ernsthaft gefordert, E-Mails zu verbieten, weil darüber Phishing stattfindet." Die Lösung: Aufklärung, Warnungen und digitale Bildung. Nicht Verbote.

Genau das.

Phishing ist technologieneutral

Netzpolitik.org fasst es in einem Satz zusammen: Phishing funktioniert bei allen möglichen Kommunikationsmedien gleich. Ob E-Mail, Messenger oder Enkeltrick am Telefon. Die Mechanismen sind dieselben.

Der Faktor Mensch bleibt entscheidend. Besser wäre es zu überlegen, wie man Menschen befähigt, Phishing-Angriffe zu erkennen, ganz egal über welchen Kanal. Dass der Angriff jetzt so breit diskutiert wird und viele noch einmal sensibilisiert werden, hat auch etwas Gutes.

Aber es bleibt dabei: Wer Signal verbietet, aber keine Schulungen macht, wird beim nächsten Phishing-Angriff über Wire oder WhatsApp genauso dastehen.

Quellen:

• tagesschau.de: Bundesregierung sieht Russland hinter Phishing-Attacke über Signal
• n-tv: Klöckner, Prien, Hubertz gehackt
• Tagesspiegel: Regierung sieht Russland hinter Attacke auf Signal-Konten
• t-online: Bundesregierung sieht Russland hinter Signal-Attacke
• BSI: Signal Support
• FAZ: Was tun, wenn das Signal-Konto gehackt wurde?
• tagesschau.de: Parlamentarier fordern Gegenmaßnahmen nach Signal-Attacke
• netzpolitik.org: Phishing, Signal, Unkenntnis allerorten
• netzpolitik.org: Phishing ist technologieneutral
• Heise: Signal rät zu Obacht und Registrierungssperre