Signal-Phishing bedroht Politik, Militär und Medien in Europa : Behörden warnen vor gezielten Angriffen ohne Malware – Messenger-Funktionen werden missbraucht
Deutsche Sicherheitsbehörden schlagen Alarm: Eine mutmaßlich staatlich gesteuerte Kampagne greift gezielt Nutzer sicherer Messenger an. Statt Schadsoftware nutzen die Angreifer legitime Funktionen, um Accounts zu übernehmen, Netzwerke auszuspähen und vertrauliche Kommunikation unbemerkt mitzulesen.
Das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen vor einer laufenden Phishing-Kampagne über den Messenger Signal. Im Fokus stehen „hochrangige Ziele aus Politik, Militär und Diplomatie sowie investigative Journalisten in Deutschland und Europa“. Ein erfolgreicher Zugriff ermögliche nicht nur Einblick in vertrauliche Kommunikation, sondern könne „potenziell ganze Netzwerke kompromittieren“.
Angriff ohne Schadsoftware
Bemerkenswert ist der technische Ansatz der Kampagne. Die Angreifer nutzen weder Sicherheitslücken noch klassische Malware. Stattdessen missbrauchen sie legitime Funktionen des Messengers, um verdeckten Zugriff auf Chats und Kontaktlisten zu erhalten.
Die Täter geben sich als „Signal Support“ oder als Support-Chatbot aus und fordern Zielpersonen auf, eine per Kurznachricht erhaltene Verifikationsnummer oder PIN preiszugeben – andernfalls drohe Datenverlust. Gibt das Opfer diese Daten weiter, können die Angreifer das Konto auf einem eigenen Gerät registrieren und erhalten Zugriff auf Profil, Einstellungen, Kontakte und Sperrlisten. Zwar bleiben frühere Chats geschützt, doch neue Nachrichten lassen sich mitlesen und sogar im Namen des Opfers versenden.
Geräteverknüpfung als Einfallstor
Eine alternative Angriffskette nutzt die Geräteverknüpfung per QR-Code. Wird dieser gescannt, erhält der Angreifer Zugriff auf Nachrichten der letzten 45 Tage sowie auf Kontaktlisten – während das Opfer weiterhin scheinbar normal auf sein Konto zugreifen kann. Genau diese Unsichtbarkeit macht die Methode besonders gefährlich.
Die Behörden betonen, dass vergleichbare Techniken auch andere Messenger mit Zwei-Faktor-Registrierung und Geräteverknüpfung wie WhatsApp betreffen können. Erfolgreiche Kontoübernahmen erlauben nicht nur das Mitlesen einzelner Gespräche, sondern öffnen über Gruppenchats den Weg in komplette Kommunikationsnetzwerke.
Mögliche staatliche Urheber
Wer genau hinter den aktuellen Angriffen steckt, ist noch nicht eindeutig geklärt. Allerdings wurden ähnliche Kampagnen in der Vergangenheit bereits Gruppen zugeschrieben, die Russland nahestehen, etwa der Gruppe Star Blizzard oder anderen von Sicherheitsforschern beobachteten Hackerverbünden.
Auch neuere Angriffe – zum Beispiel unter dem Namen „GhostPairing“ – zeigen einen klaren Trend: Die Übernahme von Messenger-Konten wird immer häufiger gezielt genutzt, um Menschen auszuspionieren oder betrügerische Aktionen durchzuführen.
Schutzmaßnahmen gegen Messenger-Phishing
Zur Absicherung empfehlen die Behörden mehrere konkrete Schritte:
- Keine Interaktion mit angeblichen Support-Konten und keine Weitergabe von PIN oder Verifikationscodes
- Aktivierung einer Registrierungssperre, die eine Neuanmeldung der Telefonnummer auf fremden Geräten verhindert
- Regelmäßige Prüfung verknüpfter Geräte und Entfernung unbekannter Zugriffe
Auch in anderen EU-Ländern Angriffe auf ähnliche Ziele
Die Ereignisse in Deutschland laufen, während auch in Norwegen und Polen Angriffe staatlich unterstützter Gruppen zu beobachten sind. So beschuldigt etwa die norwegische Regierung eine Reihe von China unterstützter Hackergruppen – darunter Salt Typhoon –, in mehreren kritischen Organisationen des Landes eingedrungen zu sein. Der Zugriff gelang hier offenbar, weil unsicher konfigurierte Netzwerkgeräte ausgenutzt wurden. Gleichzeitig sieht Norwegen auch andere Staaten als Bedrohung: Russland soll militärische Ziele sowie Aktivitäten verbündeter Länder gezielt überwachen, während Iran vor allem Dissidenten beobachtet.
Nach Einschätzung des norwegischen Polizeisicherheitsdienstes versuchen chinesische Nachrichtendienste zudem, norwegische Staatsbürger als Informanten zu rekrutieren, um an vertrauliche oder geheime Informationen zu gelangen. Diese Personen sollen anschließend selbst weitere sogenannte „menschliche Quellen“ aufbauen – also Menschen, die bewusst oder unbewusst interne Informationen weitergeben, etwa aus Behörden, Unternehmen oder Forschungseinrichtungen.
Um solche Kontakte zu gewinnen, werden unter anderem vermeintliche Teilzeitstellen auf Jobplattformen angeboten oder potenzielle Zielpersonen direkt über LinkedIn angesprochen.
Die Behörde warnt zudem, dass China gemeinsame Forschungs- und Entwicklungsprojekte systematisch nutzt, um die eigenen Sicherheits- und Nachrichtendienstfähigkeiten zu stärken. Hinzu kommt eine gesetzliche Regelung: In China müssen entdeckte Software-Schwachstellen spätestens zwei Tage nach ihrer Entdeckung an staatliche Stellen gemeldet werden.
Der norwegische Polizeisicherheitsdienst warnt, dass iranische Cyberangreifer gezielt E-Mail-Konten, Social-Media-Profile und private Computer von Regimekritikern hacken. Ziel ist es, möglichst viele Informationen über diese Personen und ihr persönliches Umfeld zu sammeln.
Nach Einschätzung der Behörde verfügen diese Gruppen bereits über sehr weit entwickelte technische Fähigkeiten und werden ihre Vorgehensweisen weiter ausbauen, um künftig noch gezielter und intensiver gegen einzelne Personen in Norwegen vorzugehen.
Staatlich gesteuerte Akteure gegen Energie- und Heizkraftwerke in Polen
Auch aus Polen gibt es neue Warnungen. Laut CERT Polska steckt vermutlich die russische staatliche Hackergruppe Static Tundra hinter koordinierten Cyberangriffen auf mehr als 30 Wind- und Solaranlagen, ein Industrieunternehmen sowie ein großes Heizkraftwerk, das fast eine halbe Million Menschen mit Wärme versorgt.
Nach der Analyse nutzten alle betroffenen Anlagen eine FortiGate-Appliance von Fortinet, die zwei zentrale Funktionen übernahm: Sie schützte das Netzwerk als Firewall und stellte zugleich den Fernzugang für Mitarbeiter über ein VPN bereit.
Problematisch war jedoch die Konfiguration. Die Schnittstelle für den Fernzugang war direkt über das Internet erreichbar, sodass sich Nutzer von außen anmelden konnten. Dabei reichte in allen Fällen allein Benutzername und Passwort aus – eine zusätzliche Absicherung durch Mehrfaktor-Authentifizierung fehlte. Dadurch konnten Angreifer, die Zugangsdaten erbeuteten oder errieten, vergleichsweise leicht in die Systeme der Anlagen eindringen.
Lektionen aus dem Fall
Die aktuellen Warnungen aus Deutschland, Norwegen und Polen zeigen ein deutliches Muster: Staatlich unterstützte Cyberakteure setzen zunehmend auf gezielte, schwer erkennbare Angriffe statt auf klassische Schadsoftware. Der Missbrauch legitimer Messenger-Funktionen, die Rekrutierung menschlicher Quellen sowie das Ausnutzen schwach gesicherter Infrastruktur erweitern das Angriffsspektrum weit über traditionelle IT-Schwachstellen hinaus.
Damit verschiebt sich der Schwerpunkt der Cybersicherheit spürbar. Nicht mehr nur technische Schutzmaßnahmen entscheiden über die Sicherheit sensibler Kommunikation und kritischer Systeme, sondern vor allem Awareness, Identitätsschutz und konsequente Härtung von Zugängen. Für Politik, Militär, Medien und Betreiber kritischer Infrastrukturen bedeutet das: Cyberabwehr wird zunehmend zur strategischen Daueraufgabe – organisatorisch, technisch und gesellschaftlich zugleich.