Angriffe nehmen offenbar deutlich zu: Messenger Signal wird für Politik, Militär und Medien zum Problem

Er gilt eigentlich als besonders sicher und wird deshalb auch im Berliner Politikbetrieb breit genutzt – der Signal-Messenger. Die deutschen Sicherheitsbehörden warnen aber schon seit Monaten vor einer Betrugsmasche, mit der ausländische Mächte wie Russland Zugriff auf Nutzerkonten bekommen und dann heimlich alles mitlesen können.

Inzwischen gibt es offenbar eine beträchtliche Zahl Betroffener – auch Bundestagspräsidentin Julia Klöckner (CDU) soll angeblich unter ihnen sein.

Das Problem scheint dringlich. Am 6. Februar haben das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) zunächst einen fünfseitigen Sicherheitshinweis veröffentlicht, der auf das Problem hinweist und konkrete Handlungsanweisungen gibt.

Am vergangenen Freitag wurde die Warnung aktualisiert: „Aktuelle Erkenntnisse zeigen, dass die Kampagne weiterhin aktiv ist und an Dynamik gewinnt“, heißt es in der Mitteilung. „Allen Betroffenen wird dringend empfohlen, die Anleitung zu befolgen, um eine mögliche Kompromittierung der eigenen Kommunikationskanäle festzustellen und zu bereinigen.“

Am Dienstag wurden nach AFP-Informationen nochmals ausdrücklich Fraktionen und Parteien kontaktiert, um auf das Problem mit dem Messenger Signal, hinter dem ein nicht kommerzielles Projekt einer gleichnamigen US-Stiftung steckt, hinzuweisen.

Wer ist verantwortlich für die Angriffe auf Signal?

Die deutschen Sicherheitsbehörden gehen davon aus, dass die Angriffe „wahrscheinlich durch einen staatlich gesteuerten Cyberakteur durchgeführt“ werden. Ein konkretes Land wird nicht genannt.

Anfang März machte der niederländische Geheimdienst aber „staatliche russische Hacker“ verantwortlich. Wenig später veröffentlichte auch die US-Bundespolizei FBI eine Warnung, die „Cyberakteure, die mit den russischen Geheimdiensten in Verbindung stehen“, hinter der Angriffswelle sah.

Die Angriffe richten sich den Angaben zufolge auch gegen hochrangige Ziele im Militär, Beamte, Diplomaten und Investigativjournalisten, die gut mit Entscheidungsträgern vernetzt sind.

Wie viele Fälle bei Signal sind bekannt?

Offiziell gibt es dazu keine Angaben. Weder die Sicherheitsdienste noch die Bundesregierung oder die Fraktionen im Bundestag wollten sich dazu auf Anfrage äußern. Der „Spiegel“ berichtete am Mittwoch, dass Bundestagspräsidentin Klöckner unter den Opfern der Phishing-Angriffswelle ist.

Demnach war sie auch in einem Signal-Gruppenchat mit Mitgliedern des CDU-Präsidiums, dem auch Parteichef und Kanzler Friedrich Merz angehört. Ein Sprecher Klöckners wollte die Angaben auf AFP-Anfrage weder bestätigen noch dementieren.

Wie gehen die Angreifer vor?

Es gibt zwei Varianten: Entweder die Angreifer geben sich als Support-Team des Messengerdienstes aus und treten direkt über eine Chatnachricht mit ihrer Zielperson in Kontakt. Über eine angebliche Sicherheitswarnung bringen sie die Betroffenen dazu, ihren privaten Sicherheits-PIN zu übermitteln.

Mit diesem können die Angreifer das Konto dann übernehmen. Der Nutzer verliert dadurch den Zugriff auf sein Konto, der Angreifer kann sich aber weiter als dieser ausgeben.

Bei einer zweiten Methode nutzen die Angreifer die Möglichkeit, zusätzliche Geräte mit dem Konto zu koppeln. Dabei kontaktieren die Angreifer die Ziele unter einem Vorwand und bringen sie dazu, einen QR-Code zu scannen. Über diesen wird ein weiteres Gerät gekoppelt – das allerdings der Angreifer kontrolliert.

Die Betroffenen behalten zwar ihr Konto, die Angreifer haben aber Zugriff auf alle Chats und Gruppen und können mitlesen. Dabei werden auch Chats sowie Fotos und Dateien der vergangenen 45 Tage übertragen.

Wie erkennen Signal-Nutzer einen Angriff?

Im ersten Fall ist es eindeutig, weil der Zugriff auf das Signal-Konto verloren geht. Da sich der Angreifer aber weiter als die angegriffene Person ausgeben kann, ist es wichtig, alle Kontakte zu informieren, damit sie das gehackte Konto blockieren können.

Bei der Nutzung der Koppelungsvariante ist es schwieriger. Erkennen lässt sich dies nur durch einen Blick in die Signal-Einstellungen über „Gekoppelte Geräte“. Erscheinen dort unbekannte Geräte, sollten diese gelöscht werden. Möglich sind bei Signal bis zu fünf gekoppelte Geräte.

Was sagt der Messenger-Anbieter Signal?

Signal nehme die Berichte zur Übernahme von Konten von Regierungsvertretern und Journalisten „sehr ernst“, erklärte der Messenger-Anbieter im Online-Dienst X nach der Warnung der niederländischen Geheimdienste. „Die Verschlüsselung und Infrastruktur von Signal“ sei aber „nicht kompromittiert worden“. Denn die Angriffe zielten mittels „ausgeklügelter Phishing-Kampagnen“ darauf, Nutzer dazu zu verleiten, selbst Informationen preiszugeben.

Der Messenger-Dienst betont, der Signal-Support nehme „niemals über In-App-Nachrichten, SMS oder soziale Medien Kontakt“ mit Nutzern auf, „um ihren Bestätigungscode oder ihre PIN zu erfragen“. Gegen Phishing-Versuche helfe letztlich nur „die Wachsamkeit der Nutzer“.

Ist nur Signal betroffen?

Hier liege „der aktuelle Schwerpunkt der Angriffe“, betonen BfV und BSI. Sie verweisen aber darauf, dass vergleichbare Vorgehensweisen „aufgrund ähnlicher Funktionsprinzipien auch bei WhatsApp denkbar sind“.

Der niederländische Geheimdienst schreibt in seiner Mitteilung explizit, dass die Angriffe auch darauf zielten, WhatsApp-Konten zu übernehmen. Dabei werde vornehmlich über die Koppelungsvariante versucht, Zugriff zu bekommen.