Phishing auf Signal: Wenn Angreifer die Verschlüsselung nicht knacken müssen

Von /

Ende April 2026 zeigte sich wieder einmal, wie fragil die Idee der „sicheren Kommunikation“ sein kann. Am Freitag, den 24. April, gab die deutsche Bundesanwaltschaft bekannt, dass sie seit Mitte April Ermittlungen wegen Spionageverdachts durchführt - im Visier: Signal-Konten von Politikern, Diplomaten, Militärs und Journalisten. Als Zielpersonen wurden unter anderem die Bundesministerinnen Karin Prien (Bildung) und Verena Hubertz (Bau) sowie die Bundestagspräsidentin Julia Klöckner genannt. Einem Bericht des Spiegels zufolge könnten über 300 hochrangige Konten betroffen sein. Am darauffolgenden Tag erklärten deutsche Regierungsquellen gegenüber AFP, dass die Kampagne „wahrscheinlich von Russland aus gesteuert wurde“ - eine Formulierung, die im Gegensatz zu der eindeutigeren Zuordnung durch die niederländischen Dienste vorsichtig blieb.

Dies ist kein Einzelfall. Bereits am 9. März 2026 veröffentlichten die niederländischen Geheimdienste AIVD und MIVD eine umfassende Warnung vor einer „groß angelegten globalen“ Kampagne, die auf Signal- und WhatsApp-Konten abzielte - niederländische Beamte waren unter den Opfern. Und am 1. April brachte Politico einen Exklusivbericht: Die Europäische Kommission wies Abteilungsleiter und ihre Stellvertreter an, den internen Gruppenchat auf Signal aus Angst vor Hackerangriffen zu schließen.

Drei Ereignisse, ein Muster. Und ein gemeinsamer Nenner, den es zu verstehen gilt: Verschlüsselung Niemand ist in Signal eingebrochen. Die Angriffe richten sich an anderer Stelle - auf die Nutzer.

Warum es wichtiger ist als ein klassischer „Hack“

Bei einem Angriff auf verschlüsselte Kommunikation denken die meisten von uns an eine mathematische Schwachstelle, einen Zero-Day in einer Anwendung oder Malware auf einem Telefon. Nichts von alledem ist hier der Fall. Die Angreifer nutzen eine völlig legitime Funktion von Signal aus, die angeschlossene Geräte (Verknüpfte Geräte) - diejenige, mit der Sie Signal auf Ihrem Desktop installieren und dasselbe Konto auf Ihrem Laptop und Ihrem Mobiltelefon verwenden (Signal unterstützt bis zu fünf verbundene Geräte und synchronisiert Chats und Medien bis zu den letzten 45 Tagen nach der ersten Verbindung).

Das Prinzip der Verbindung ist einfach: Die Desktop-Version von Signal zeigt einen QR-Code an, Sie scannen ihn mit Ihrem Mobiltelefon, und von diesem Moment an erhalten beide Geräte Ihre Nachrichten. Die Verschlüsselung funktioniert weiterhin, aber das Gerät des Angreifers wird zum autorisierten Endpunkt, an den Signal rechtmäßig neue Nachrichten liefert. Aus der Sicht des Signal-Servers ist dies eine normale, beabsichtigte Situation.

Der Angriff nutzt genau diesen Mechanismus aus. Der Angreifer bereitet einen QR-Code eines verbundenen Geräts vor, tarnt ihn in einer betrügerischen Seite („Gruppeneinladung“, „Sicherheitswarnung von Signal“, „Anmeldung bei der Unternehmens-App“) und übermittelt ihn dem Opfer über einen Link in einer E-Mail, einer Nachricht oder einem sozialen Netzwerk. Wenn das Opfer den QR-Code mit einem Scanner auf dem Einstellungen → Verbundene Geräte, Er verknüpft sein Konto mit der vom Angreifer kontrollierten Signal-Instanz. Das Mobiltelefon des Opfers zeigt keine Anzeichen einer Kompromittierung - es gibt keine Malware, die Akkulaufzeit nimmt nicht ab, das Betriebssystem hat nichts bemerkt. In der Zwischenzeit liest der Angreifer alle neuen Nachrichten in Echtzeit und konnte nach den Erkenntnissen der deutschen Ermittler über ein Synchronisierungsfenster auf den Gesprächsverlauf der letzten 45 Tage zugreifen.

Es gibt einfachere Varianten des Angriffs. Laut AIVD/MIVD-Warnung i Berichterstattung über den deutschen Fall Angreifer geben sich oft als „Signal Support Chatbot“ aus und fragen das Opfer nach einem SMS-Verifizierungscode oder einer Signal-PIN. Wenn der Nutzer den Code angibt, registriert der Angreifer das Konto einfach erneut auf seinem Gerät - der ursprüngliche Besitzer wird bei der App abgemeldet.

Der Vollständigkeit halber: Der wirtschaftliche Kontext beschreibt EUobserver-Artikel, die unter Berufung auf anonyme Quellen bei europäischen Geheimdiensten und privaten Sicherheitsdiensten berichtet, dass der Zugang zu ausländischen Signalinhalten auf dem grauen Markt für 10.000-20.000 Dollar gehandelt wird, um WhatsApp Inhalte für 2.000 bis 4.000 Dollar und die Reisedaten des Opfers für 200 bis 400 Dollar. Diese Zahlen konnten nicht unabhängig überprüft werden, aber selbst als Richtwert zeigen sie, dass es eine strukturierte Nachfrage nach dieser Art von Zugang gibt.

Anatomie eines Angriffs in fünf Schritten

  1. Vorbereitung. Ein Angreifer registriert eine Domain, die optisch Signal ähnelt (zum Beispiel signal-bestätigung.site, signal-protect.host) und klont die Seite "Signal Group Invite". Das JavaScript, das normalerweise zum Gruppeneintrag weiterleiten würde, wird durch Code ersetzt, der den URI aufruft sgnl://linkdevice?uuid=... - Signal erkennt dies als eine Aufforderung, ein neues Gerät anzuschließen.
  2. Köder. Das Opfer erhält den Link - per E-Mail, in einer Signal/Telegram-Nachricht oder über einen kompromittierten Kontakt. Der Köder gibt vor, eine Einladung zu einer Gruppe, eine Signal-Sicherheitswarnung, Anweisungen zum Verbinden eines neuen Geräts oder eine Anmeldung bei einer speziellen App zu sein.
  3. QR scannen. Das Opfer öffnet die Seite, sieht den QR-Code und scannt ihn direkt mit dem Scanner in Einstellungen → Verbundene Geräte → Verbinden eines neuen Geräts. An diesem Punkt zeigt Signal treu sein normales „Connect device? - Signal Desktop“.
  4. Verbindung. Die Signal-Instanz des Angreifers wird zu einem legitimen verknüpften Gerät im Konto des Opfers. Der Server sendet automatisch Kopien von Nachrichten.
  5. Permanente Abhörung. Jede neue Nachricht kommt gleichzeitig beim Opfer und beim Angreifer an. Die Entdeckung ist vor allem durch die Überprüfung verbundener Geräte möglich; Änderungen an Sicherheitsnummern oder verdächtige Duplikate von Kontakten in Gruppen können insbesondere bei der Neuregistrierung von Konten oder einem neu erstellten Konto neben dem eigenen helfen.

Fünf Minuten, die es sich lohnt, jetzt zu investieren

Das ist der springende Punkt des gesamten Textes. Wenn Sie Signal verwenden, befolgen Sie diese Schritte - nicht irgendwann, sondern in den nächsten paar Minuten.

1. Prüfung der angeschlossenen Geräte. Öffnen Sie Signal, tippen Sie auf Ihr Profilsymbol in der Ecke des Bildschirms und fahren Sie fort mit Einstellungen → Verbundene Geräte. Es sollten nur Geräte angezeigt werden, die Sie selbst verbunden haben - normalerweise Signal Desktop auf Ihrem Computer oder iPad. Trennen Sie alles andere. Machen Sie diese Überprüfung zu einer monatlichen Routine; wenn Sie in einem sensibleren Beruf tätig sind (Journalist, Anwalt, Aktivist, Beamter), überprüfen Sie stattdessen einmal pro Woche.

2. die Signal-PIN und die Registrierungssperre. Einstellungen → Konto. Wenn Sie noch keine PIN haben, sollten Sie eine erstellen - am besten eine alphanumerische, die länger als sechs Zeichen ist. Aber am wichtigsten ist Registrierungssperre einschalten. Ohne sie braucht ein Angreifer nur einen SMS-Code zu erfassen, um Ihre Nummer erneut bei seinem Telefon. Die Registrierungssperre kann dies nicht ohne Ihre PIN tun. Achtung: Die Registrierungssperre wird nach sieben Tagen der Inaktivität aufgehoben, öffnen Sie die App also mindestens einmal pro Woche.

3. die Sicherheitsnummern der wichtigsten Ansprechpartner. Jedes Gespräch hat eine eindeutige 60-stellige Sicherheitsnummer, die zur Überprüfung der Identität des Gesprächspartners verwendet wird. Tippen Sie in den Kontaktdetails auf Sicherheitsnummer anzeigen. Die ideale Verifizierung ist persönlich - Sie scannen den QR-Code der anderen Partei. Wenn das nicht funktioniert, nutzen Sie einen anderen Kanal, den Sie bereits verifiziert haben (Telefon, persönliches Treffen). Senden Sie die Nummer niemals über Signal selbst und lassen Sie die andere Seite immer zuerst ihre eigene senden - andernfalls wird der Angreifer, wenn er kompromittiert wird, Ihre eigene zurücksenden. Sicherheitsnummern sind keine magische Erkennungsmethode für jeden Angriff, aber eine konsequente Überprüfung ist Teil der grundlegenden Hygiene.

4. Bildschirmsperre und Signalbildschirmsperre. Starkes alphanumerisches Telefonpasswort (keine vierstellige PIN), biometrische Entsperrung des Signals selbst (Einstellungen →. Privatsphäre → Bildschirmsperre) und die Vorschau von Nachrichten in den Benachrichtigungen ausblenden. Für iOS-Nutzer, die zu gefährdeten Gruppen gehören, empfehlen die Geheimdienste außerdem Abriegelungsmodus (Einstellungen → Datenschutz und Sicherheit).

5. Aktualisieren. Versionen von Signal, die nach Februar 2025 veröffentlicht wurden, haben einen verbesserten QR-Phishing-Schutz - neue Verknüpfungsdialoge und stärkere Warnungen. Lassen Sie automatische Updates aktiviert.

Wie man einen gefälschten QR-Code erkennt

Der QR-Code selbst kann visuell nicht als „gut“ oder „schlecht“ unterschieden werden - er ist lediglich eine grafische Darstellung der URI. Der Unterschied ist der Kontext, in dem er Ihnen präsentiert wird. Es ist wichtig zu unterscheiden, wofür der QR-Code in Signal verwendet wird: Es gibt legitime QR-Codes für Beitritt zur Gruppe (Signal unterstützt sie offiziell und das Scannen fügt Sie nur der Gruppe hinzu), während QR-Codes für Verknüpfung neuer Geräte sind diejenigen, die zu Abhörmaßnahmen führen können.

Ein einfacher Test, der jedes Mal funktioniert: wenn eine Seite, eine E-Mail oder ein Kontakt Sie zum Scannen eines QR-Codes auf der Speisekarte auffordert Einstellungen → Verbundene Geräte, betrachten Sie es als Angriff - es sei denn, der Code stammt direkt von Ihrer eigenen Signal Desktop- oder Signal iPad-Instanz, die Sie selbst von signal.org.

Weitere rote Fahnen:

  • Jemand schickt Ihnen einen QR-Code „zum Scannen von Ihrem Mobiltelefon“. Ein legitimer QR-Code für eine Verknüpfung wird immer von der Signal Desktop App generiert, sobald Sie sie selbst starten. Niemals andersherum.
  • Druck, sofort zu handeln: „Konto wird deaktiviert“, „Einladung läuft in 5 Minuten ab“. Signal verwendet solche Formulierungen nicht.
  • Eine gefälschte „Sicherheitsmeldung von Signal“ über eine externe Website. Signal fordert Sie niemals auf, einen QR-Code zur „Überprüfung“ zu scannen.
  • Ein QR-Code auf einem Plakat, Foto oder Flugblatt, der zu einem Signal-Link führt. Niemals scannen.

Was ist zu tun, wenn Sie eine Kompromittierung vermuten?

Wenn Sie in der Liste der verbundenen Geräte etwas sehen, das Sie nicht kennen, gehen Sie davon aus, dass der Angreifer Ihre Nachrichten gelesen hat, seit Sie sich verbunden haben - und wahrscheinlich einige der Konversationen der vergangenen Wochen gesehen hat.

  1. Trennen Sie das Gerät sofort vom Netz in der Liste Verknüpfte Geräte antippen. Führen Sie zuerst diesen Schritt aus, damit keine neuen Nachrichten mehr gelesen werden.
  2. Signal-PIN ändern v Einstellungen → Konto → PIN ändern.
  3. Stellen Sie sicher, dass die Registrierungssperre aktiviert ist.
  4. Alarmieren Sie Ihre wichtigsten Kontakte über einen anderen Kanal (Der Angreifer könnte die Antworten in Ihrem Namen getippt und abgefangen haben. Bestätigen Sie die Sicherheitsnummern mit Ihren Kontakten erneut.
  5. Ändern Sie die Kennwörter von Diensten, deren Anmeldedaten, 2FA-Codes oder sensible Informationen Sie über Signal freigegeben haben. Angenommen, der Angreifer hat die Nachrichten seit der Verbindung und aus dem vorherigen Synchronisationsfenster gelesen.
  6. Überprüfen Sie den Status Ihres Telefons - Betriebssystem-Updates, installierte Anwendungen; als letzten Ausweg können Sie das Gerät auf die Werkseinstellungen zurücksetzen und von einem sauberen Backup wiederherstellen.
  7. Melden Sie den Vorfall an das nationale CERT (CSIRT.CZ, csirt.cz) oder das Nationale Cyber- und Informationszentrum Sicherheit (nukib.gov.cz), wenn Sie zu einer gefährdeten Gruppe gehören.

Was man davon mitnehmen kann

Mehrere europäische Institutionen und Nachrichtendienste haben innerhalb weniger Wochen das gleiche Problem beschrieben: Ende-zu-Ende-Verschlüsselung bleibt funktionsfähig, aber das allein reicht nicht aus. Ein Angreifer, der die Kryptografie nicht knacken kann, zielt auf die Schnittstelle zwischen Mensch und Anwendung ab - QR-Codes, gefälschter Support, PINs und routinemäßiges Vertrauen.

Die praktische Konsequenz ist trivial einfach und notorisch vertraut: Registrierungssperre eingeschaltet, eine saubere Liste verbundener Geräte, verifizierte Sicherheitsnummern und ein gesundes Misstrauen gegenüber jedem QR-Code, der von außen kommt. Fünf Minuten für die Einrichtung ersparen später eine lange Liste von Anrufen.

Und noch eine freimütige Schlussfolgerung, die unter anderem vom Direktor des niederländischen Militärgeheimdienstes, Peter Reesink, im Zusammenhang mit der Warnung vom März geäußert wurde: Selbst Signal mit Ende-zu-Ende-Verschlüsselung ist kein geeigneter Kanal für wirklich geheime, sensible oder vertrauliche Informationen. Er eignet sich hervorragend für die normale private Kommunikation. Für die sensibelsten Informationen gibt es Gründe, warum Staaten ihre eigenen separaten, verwalteten Kanäle betreiben.

Ressourcen und weiterführende Literatur

  • Reuters/AFP, „Deutschland verdächtigt Russland des Signals Phishing Angriffe auf Politiker“ (25. 4. 2026)
  • AIVD, „Russland zielt in einer Cyberkampagne auf Signal- und WhatsApp-Konten ab“ (9. 3. 2026)
  • Politico Europe, „Chat der Signal-Gruppe von EU-Spitzenbeamten wegen Hacking-Befürchtungen abgeschaltet’ (1. 4. 2026)
  • Google Threat Intelligence Group, „Signale des Ärgers: Mehrere mit Russland verbündete Bedrohungsakteure zielen aktiv auf Signal Messenger ab“ (Februar 2025)
  • Signal Support, offizielle Dokumentation für Signal PIN, Registration Lock und Linked Devices
  • EUobserver, „RIP Signal: Russen zerstören das Vertrauen in die geliebte Messaging-App vieler EU-Diplomaten’ (unter Berufung auf Graumarktpreise als Daten aus anonymen Quellen)

Nach oben scrollen