Einleitung
Eine seit September 2025 laufende Phishing‑Kampagne richtet sich gezielt gegen Nutzer des verschlüsselten Messengers Signal. Trotz zunehmender Brisanz haben die deutschen Sicherheitsbehörden erst im Februar öffentlich vor der Gefahr gewarnt – ein deutliches Signal für Kommunikationslücken innerhalb der Politik.
Chronologie der Ereignisse
Frühe Phase
Erste Hinweise auf die Attacke tauchten im Herbst 2025 auf. Im November und Dezember erreichte die Kampagne einen ersten Höhepunkt, bevor sie im Januar weiter an Umfang gewann. Noch bevor die Behörden eingriffen, wurden bereits hochrangige Persönlichkeiten aus Politik, Militär und Journalismus ins Visier genommen.
Öffentliche Bekanntmachung
Am 28. Januar berichtete netzpolitik.org, dass zahlreiche Journalist:innen von den Phishing‑Versuchen betroffen seien. Kurz darauf veröffentlichten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) Warnungen, die jedoch erst am 6. Februar an Bundestag und Bundeskanzleramt weitergeleitet wurden.
Betroffene Institutionen und Personen
Aus den bisherigen Informationen geht hervor, dass mindestens zwei Bundesministerinnen – Familienministerin Karin Prien (CDU) und Bauministerin Verena Hubertz (SPD) – sowie die Bundestagspräsidentin Julia Klöckner (CDU) ihr Signal‑Konto preisgegeben haben. Die genauen Zeitpunkte der Kompromittierung bleiben jedoch unter Verschluss. Sicherheitskreise schätzen die Zahl der Betroffenen auf rund 300 und warnen, dass viele parlamentarische Signal‑Gruppen bereits ausspioniert werden könnten.
Reaktion der Behörden
Das BfV forderte in einem Schreiben an die Bundestagsfraktionen ein sofortiges Handeln und veröffentlichte einen Leitfaden zur Abwehr von Phishing‑Versuchen. Das BSI ergänzte die Warnung um technische Empfehlungen, reagierte jedoch zunächst nicht auf Anfragen von Journalisten. Auf direkte Fragen nach konkreten Kompromittierungsdaten antworteten Ministerien ausweichend oder verweigerten jede Stellungnahme.
Stellungnahme von Signal
Der Messenger selbst betonte, dass es sich nicht um einen klassischen „Hack“ handele. Die Ende‑zu‑Ende‑Verschlüsselung, die Server‑Infrastruktur und der App‑Code seien unverändert. Dennoch sei man sich der Tragweite bewusst und plane, in den kommenden Wochen mehrere Änderungen einzuführen, um die Vorgehensweise der Angreifer zu erschweren. Mögliche Maßnahmen könnten die standardmäßige Aktivierung einer Registrierungssperre für neue Geräte sein – ein Schritt, der bislang aus Nutzer‑Komfort‑Gründen zurückhaltend gehandhabt wurde.
Ausblick und Empfehlungen
Experten raten allen Signal‑Nutzer:innen, insbesondere Personen mit hohem politischem oder journalistischem Profil, ihre Sicherheitspraktiken zu überdenken. Dazu zählen das Aktivieren zusätzlicher Authentifizierung, das regelmäßige Prüfen von Sitzungslisten und das Misstrauen gegenüber unerwarteten Nachrichten, die nach sensiblen Informationen fragen. Gleichzeitig fordert die Opposition von einer schnelleren Informationsweitergabe durch den Verfassungsschutz und das BSI, um künftige Angriffe frühzeitig zu erkennen und zu vereiteln.