faq
Signal gilt eigentlich als besonders sicher und wird auch von Politikern genutzt – doch nun wurden offenbar mehrere Konten gehackt. Angeblich hat es auch Bundestagspräsidentin Klöckner getroffen. Was über die Phishing-Masche bekannt ist.
Bundestagspräsidentin Julia Klöckner ist einem Bericht des Spiegels zufolge Opfer eines Phishing-Angriffs gegen Nutzerinnen und Nutzer des Messengerdienstes Signal geworden. Weitere hochrangige Politikerinnen und Politiker sowie Personen aus dem Umfeld von Militär, Diplomatie und Journalismus befinden sich laut Verfassungsschutz im Visier der Angreifer. Die wichtigsten Antworten.
Wer ist betroffen?
Wie viele Konten gehackt wurden, dazu gibt es aktuell keine Angaben. Insgesamt ist allerdings von mehreren Hundert Betroffenen im Bundestag und dessen Umgebung die Rede. Für den Bundestag hat bisher nur die SPD bestätigt, dass “einige wenige Abgeordnete” der Fraktion von den Angriffen betroffen seien. Andere Fraktionen haben sich noch nicht geäußert – oder angegeben, keine Kenntnis von derartigen Vorfällen zu haben.
Um welche Informationen geht es?
Welche Informationen genau geleakt worden sein könnten, ist unklar. Über die Phishing-Masche haben die Angreifer allerdings vollumfänglichen Zugriff auf alle Chats der Betroffenen – und damit zum Beispiel auch auf weitere Kontakte, die sich etwa durch gemeinsame Gruppenchats ergeben. Im Fall von Julia Klöckner könnte das auch die Kontaktdaten von Bundeskanzler Friedrich Merz betreffen. Außerdem könnten Angreifer auf Informationen zur politischen Stimmung zugreifen, zum Beispiel in Gruppenchats zu Parteitagen und Politikerinnen und Politiker zu einem späteren Zeitpunkt mit den Nachrichten erpressen. Für die offizielle Kommunikation verwendet die Bundesregierung in der Regel allerdings andere, speziell abgesicherte Kommunikationskanäle.
Wie laufen die Angriffe ab?
Es gibt es verschiedene Optionen. Grundsätzlich ist nicht die App selbst Gegenstand eines Angriffs, sondern einzelne Nutzerinnen und Nutzer. Offenbar geben sich die Angreifer als Support-Team des Messengerdienstes aus und treten dann direkt über eine Chatnachricht mit ihrer Zielperson in Kontakt. Über eine angebliche Sicherheitswarnung bringen sie die Betroffenen dazu, ihren privaten Sicherheits-PIN zu übermitteln. Mit diesem können die Angreifer das Konto dann übernehmen. Der Nutzer verliert dadurch den Zugriff auf sein Konto, der Angreifer kann sich aber weiter als dieser ausgeben.
Bei einer zweiten Methode nutzen die Angreifer die Möglichkeit, zusätzliche Geräte mit dem Konto zu koppeln. Dabei kontaktieren die Angreifer die Ziele unter einem Vorwand und bringen sie dazu, einen QR-Code zu scannen. Über diesen wird ein weiteres Gerät gekoppelt – das allerdings der Angreifer kontrolliert. Die Betroffenen behalten zwar ihr Konto, die Angreifer haben aber Zugriff auf alle Chats und Gruppen und können mitlesen. Dabei werden auch Chats sowie Fotos und Dateien der letzten 45 Tage übertragen.
Wer steckt dahinter?
Die deutschen Sicherheitsbehörden gehen davon aus, dass die Angriffe “wahrscheinlich durch einen staatlich gesteuerten Cyberakteur” durchgeführt werden, so das Bundesamt für Verfassungsschutz. Ein konkretes Land wird zwar nicht genannt, der niederländische Geheimdienst machte aber zuletzt “staatliche russische Hacker” verantwortlich. Wenig später veröffentlichte auch die US-Bundespolizei FBI eine Warnung, die “Cyberakteure, die mit den russischen Geheimdiensten in Verbindung stehen”, hinter der Angriffswelle sah.
Eigentlich galt Signal immer als besonders sicher. Doch seit ein paar Monaten warnen die deutschen Sicherheitsbehörden aber vor Angriffswellen. Das Bundesamt für Verfassungsschutz etwa aktualisierte seine Warnung am vergangenen Freitag: “Aktuelle Erkenntnisse zeigen, dass die Kampagne weiterhin aktiv ist und an Dynamik gewinnt”, hieß es in der Mitteilung.
Wie kann man ein betroffenes Gerät erkennen?
Haben die Angreifer die PIN bekommen, geht der eigene Zugriff auf das Signal-Konto verloren. Es ist wichtig, alle Kontakte zu informieren, damit sie das gehackte Konto blockieren können. Bei der Nutzung der Koppelungsvariante lässt sich der Angriff nur durch einen Blick in die Signal-Einstellungen über “Gekoppelte Geräte” identifizieren. Erscheinen dort unbekannte Geräte, sollten diese gelöscht werden. Möglich sind bei Signal bis zu fünf gekoppelte Geräte.
In Zusammenarbeit mit dem Bundesamt für Sicherheit und Informationstechnik (BSI) hat der Verfassungsschutz einen Leitfaden entwickelt, mit dem Nutzerinnen und Nutzer überprüfen können, ob sie betroffen sind. Die aktuelle Angriffswelle richtet sich demnach allerdings weniger gegen Privatpersonen. Dennoch – es ist nicht ausgeschlossen, ebenso wenig wie eine Ausweitung auf andere Dienste wie zum Beispiel WhatsApp.
Was sagt Signal?
Signal nehme die Berichte zur Übernahme von Konten von Regierungsvertretern und Journalisten “sehr ernst”, erklärte der Messenger-Anbieter auf der Plattform X. Die Verschlüsselung und Infrastruktur von Signal sei aber nicht kompromittiert worden. Denn die Angriffe zielten darauf, Nutzer dazu zu verleiten, selbst Informationen preiszugeben. Der Messenger-Dienst betonte, der Signal-Support nehme “niemals über In-App-Nachrichten, SMS oder soziale Medien Kontakt” mit Nutzern auf, um ihren Bestätigungscode oder ihre PIN zu erfragen”. Gegen Phishing-Versuche helfe letztlich nur “die Wachsamkeit der Nutzer”.
Mit Informationen von Kirsten Girschick, ARD-Hauptstadtstudio sowie der Nachrichtenagentur AFP.
