Ein „Signal“ an die Awareness

Schlagzeilen über einen vermeintlichen „Hack“ des Messengers Signal sorgten für Aufsehen. Tatsächlich handelte es sich nicht um einen technischen Angriff auf Signal, sondern um eine klassische Phishing-Kampagne, die gezielt politische Funktionsträger ins Visier nahm. Der Vorfall zeigt, wie Angreifer mit einfachen Mitteln und psychologischer Raffinesse erhebliche Reichweite erzielen können – und welche Schutzmaßnahmen jeder Nutzer sofort ergreifen sollte.

In den vergangenen Tagen dominierten Schlagzeilen über einen vermeintlichen „Hack“ des Messengers Signal die deutsche Medienlandschaft. Hochrangige Politiker, Beamte und ein ehemaliger Chef des Bundesnachrichtendienstes (BND) gerieten ins Visier einer Gruppe von Cyberkriminellen.

Was die Medienlandschaft zur erfolgreichen Hacking-Attacke stilisierte, war nicht das Werk spezialisierter Angreifer. Hinter dem Vorfall steckten weder komplexe Algorithmen noch eine ausgefeilte Technik. Der Vorfall war eine technisch unspektakuläre, psychologisch ausgefeilte und öffentlichkeitswirksame Phishing-Attacke. Sie nutzte eine fundamentale Schwachstelle aus: Die Menschen am anderen Ende der Verbindung ahnten von nichts. Das hätte sich vermeiden lassen. Dieser Vorfall deckt noch weitaus größere Probleme auf.

Die Angriffe folgten einem präzisen Muster. Betroffene erhielten Nachrichten über den Instant Messenger Signal, darunter Abgeordnete, die Bundestagspräsidentin und Sicherheitsexperten. Die Absender gaben sich dabei als Support-Mitarbeiter, Bekannte oder Kollegen aus. In diesen Nachrichten forderten sie die Betroffenen auf, einen per SMS erhaltenen Code zu übermitteln. Das Ziel der Angreifer war es, die Signal-Konten der Opfer auf eigenen Geräten zu übernehmen.

Prominent ist der Fall eines ehemaligen BND-Vizechefs, der laut Medienberichten auf den Trick hereinfiel. Die Täter agierten dabei, indem sie technisch prüften, ob das Konto sicher ist. Alternativ gaben sie vor, ein Problem mit dem Kontaktverzeichnis lösen zu wollen. Sobald ein Opfer den Registrierungscode preisgab, verlor es den Zugriff auf das Konto. Währenddessen schrieben die Angreifer, als wären sie das Opfer, weitere Kontakte an. Eine klassische Kettenreaktion.

Pikant ist: Am 06. Februar warnten der Verfassungsschutz und das BSI explizit vor dieser Masche. Sie war gezielt darauf ausgelegt, die vertrauenswürdige Kommunikation innerhalb politischer Institutionen zu infiltrieren.

Es ist wichtig zu verstehen, warum Medien den Begriff „Hack“ technisch irreführend verwenden. Signal gilt aufgrund seiner Ende-zu-Ende-Verschlüsselung und des quelloffenen Protokolls weiterhin als einer der sichersten Messenger weltweit. Bei den aktuellen Vorfällen nutzten Angreifer keine Sicherheitslücke in der Verschlüsselung oder im Code von Signal aus. Es gab kein Eindringen in die Server-Infrastruktur und die App war ebenfalls nicht manipuliert.

Stattdessen handelte es sich um Social Engineering in Form von Phishing. Der Begriff lehnt sich an das englische „fishing“ an – in der für die Hackerszene typischen Schreibweise mit „ph“. Beim Phishing angeln Täter nach Zugangsdaten oder Autorisierungscodes.

Der technische Vorgang war äußerst simpel: Die Angreifer gaben die Telefonnummer des Opfers in eine neue Signal-Installation ein. Signal sendet daraufhin eine SMS mit einem Verifizierungscode an diese Nummer.

Die Angreifer mussten nur noch vorgeben, das System habe den Code versehentlich an die Opfer geschickt. Alternativ behaupteten sie, der Nutzer bestätige ihn. Viele der „Empfänger“ leiteten den Code an die Täter weiter. Mit diesem Code legitimieren die Täter die Übernahme des Kontos formal: Aus Sicht des Systems meldet sich der Nutzer regulär neu an. In diesem Moment meldet Signal das Opfer ab. Dieses Detail hätte bei genauem Hinsehen sofort stutzig gemacht.

Dass die Angreifer so erfolgreich sein konnten, lag an einer deaktivierten Sicherheitsfunktion: der Registrierungssperre. Ohne diese Sperre reicht der SMS-Code aus, um ein Konto auf einem neuen Gerät zu aktivieren. Mit aktiver Registrierungssperre verlangt Signal zusätzlich eine PIN, die der Nutzer kennt. Die Angreifer setzten darauf, dass Nutzer diese zweite Hürde nicht aktiviert hatten. Sie spekulierten dabei darauf, dass die PIN in Stresssituationen oder bei vermeintlich vertrauenswürdigen Anfragen ebenfalls preisgegeben wurde.

Die Registrierungssperre ist als Sicherheitsfunktion zu verstehen. Sie erhöht die Hürde, bietet jedoch keine Garantie.

Bevor die Registrierungssperre aktiviert werden kann, muss eine Signal-PIN existieren. Diese richten Sie wie folgt ein:

1. Öffnen Sie die Signal-App und tippen Sie oben rechts auf das Menü (drei Punkte).
2. Wählen Sie Einstellungen → Konto → Signal-PIN ändern.
3. Vergeben Sie eine möglichst sichere PIN. Empfehlenswert ist eine alphanumerische PIN statt einer rein vierstelligen Zahlenkombination. Sie ist deutlich schwerer zu erraten.

Nun können Sie die Registrierungssperre aktivieren.

1. Tippen Sie in der App erneut auf das Menü (drei Punkte) oben rechts.
2. Rufen Sie Einstellungen → Konto auf.
3. Im Bereich „Konto“ finden Sie zwei Schalter: Mit dem oberen erinnert Signal Sie regelmäßig an Ihre PIN, damit Sie diese nicht vergessen. Der untere aktiviert die eigentliche Registrierungssperre. Beide sollten aktiv sein.

Soll Ihre Telefonnummer künftig erneut bei Signal registriert werden, wird zusätzlich zum SMS-Code Ihre PIN verlangt. Selbst wenn Angreifer den SMS-Code abfangen oder Sie ihn versehentlich weitergeben, scheitern sie an dieser PIN.

Die Vorfälle zeigen, dass Technik allein keine absolute Sicherheit garantieren kann, wenn die Bedienung unvorsichtig erfolgt. Folgende Maßnahmen sollte jeder Signal-Nutzer sofort ergreifen:

• Registrierungssperre aktivieren: Dies ist die wichtigste Schutzmaßnahme. Selbst wenn Angreifer den SMS-Code in die Hände bekommen, scheitern sie an der zusätzlichen PIN-Abfrage.
• Skepsis bei Codes: Ein Verifizierungscode ist wie ein Haustürschlüssel. Geben Sie ihn niemals an Dritte weiter – auch nicht an Freunde, Kollegen oder vermeintliche Support-Mitarbeiter. Kein seriöser Dienst fragt einen solchen Code jemals aktiv ab.
• Identität verifizieren: Wenn ein Kontakt plötzlich ungewöhnliche Nachrichten sendet oder nach Codes fragt, kontaktieren Sie den Absender über einen anderen Kanal (z. B. Telefonanruf). So können Sie sichergehen, dass das Konto nicht bereits übernommen wurde.
• Sicherheitsnummern prüfen: Signal bietet die Möglichkeit, die Sicherheitsnummer eines Kontakts zu verifizieren. Ändert sich diese plötzlich, weist Signal im Chatverlauf darauf hin. Hinweis: Eine Änderung tritt auch bei jedem regulären Geräte- oder Neuinstallationswechsel auf, ist also nicht zwangsläufig ein Indiz für einen Angriff. Bei unerwarteten Änderungen lohnt sich aber eine Rückfrage über einen zweiten Kanal.
• Verschwindende Nachrichten nutzen: Für besonders sensible Kommunikation lassen sich Nachrichten zeitgesteuert automatisch löschen. Das reduziert die Angriffsfläche, falls ein Konto später doch einmal kompromittiert werden sollte.

Wer schnell reagiert, kann den Schaden begrenzen. Folgende Hinweise deuten auf eine erfolgreiche Übernahme durch Dritte hin:

• Die eigene Signal-App fordert plötzlich zur Neuanmeldung auf.
• Kontakte berichten von Nachrichten, die Sie nicht geschrieben haben.
• Im Chatverlauf erscheinen unerwartete Hinweise auf geänderte Sicherheitsnummern.
• Eingehende Anrufe oder Nachrichten kommen plötzlich nicht mehr an.

Da Signal die Telefonnummer als primären Identifikator verwendet, kann ein gekapertes Konto vom rechtmäßigen Inhaber „zurückerobert“ werden:

1. Signal auf dem eigenen Gerät neu installieren bzw. die Anmeldung mit der eigenen Nummer erneut durchführen.
2. Den per SMS zugestellten Verifizierungscode eingeben (diesmal selbst und nicht weitergeben!).
3. Bei aktiver Registrierungssperre die zugehörige PIN bereithalten.
4. Anschließend Kontakte über einen alternativen Kanal informieren, um Folgeangriffe zu unterbinden.
5. Vorgang dokumentieren und gegebenenfalls Anzeige erstatten – insbesondere bei beruflichem oder politischem Hintergrund.

Die EU-NIS2-Richtlinie umzusetzen, vor allem in Gestalt des BSI-Gesetzes, bedeutet eine Chance auf ein höheres Cybersicherheitsniveau in Deutschland. Sie sieht eine Besonderheit vor, die sich daraus ergibt, wie die Gewalten geteilt sind: Sie gilt nicht für den Bundestag und seine Mitglieder.

Der Grund liegt im freien Mandat der Abgeordneten (Art. 38 Abs. 1 GG). Die Mitglieder des Parlaments unterstehen als Träger dieses freien Mandats keiner Weisung. Das BSI übt hier keine kontrollierende oder regulierende Funktion aus, da ein solches Vorgehen die parlamentarische Organisationsautonomie beeinträchtigt.

Die in der NIS2 vorgesehene Schulungspflicht für Führungskräfte gilt für Abgeordnete nicht. Stattdessen regelt der Bundestag seine IT-Sicherheit selbstständig und bietet Schulungen zur IT-Sicherheit auf freiwilliger Basis an.

Signal hat auf die Angriffswelle reagiert und plant, Schutzfunktionen weiter auszubauen. Deutlichere Warnhinweise bei Registrierungen sowie eine prominentere Platzierung der Registrierungssperre ergänzen diese Maßnahmen.

Unterdessen wurden in Berlin Stimmen laut, die ein Verbot von Signal fordern. Stattdessen wird propagiert, den Messenger „Wire“ zu nutzen. Diese Forderung mutet wie Aktionismus an. Sie ist es auch. Das Problem behebt sie nicht.

Die wichtigste Schutzfunktion, wenn wir digitale Werkzeuge nutzen, ist und bleibt das Bewusstsein der Nutzenden. Blindes Vertrauen in Technologie gepaart mit mangelndem Wissen um die potenziellen Gefahren bilden eine gefährliche Mixtur. Gerade exponierte Personen wie Abgeordnete, Regierungsmitglieder und andere hohe Funktionsträger benötigen deshalb Wissen über existierende Cyberbedrohungen und deren Abwehr. So, wie es die NIS2 für Führungskräfte in Unternehmen vorsieht.

Die Fälle in Berlin mahnen uns, dass die digitale Kommunikation gerade bei politischer Zuspitzung ein Ziel bleibt. Das gilt nicht nur für politische oder militärische Funktionsträger, sondern für uns alle.