Phishing auf Signal: Je größer das Ausmaß der Phishing-Attacke, desto mehr Unsinn gerät in die Debatte.

Dabei sind die wichtigsten Fragen doch: Wie hätten Regierung und Parlament geschützt werden können und gab es Versäumnisse der Behörden? Ein Kommentar.

Die Phishing-Attacke über den Messenger Signal hat die höchste Ebene der Politik erreicht. Zwei Ministerinnen und die Bundestagspräsidentin sind offenbar auf den Trick hereingefallen – und haben damit ihre Kontakte, Telefonnummern, Netzwerke und vermutlich auch Chat-Inhalte dem Angreifer offengelegt. Zahlreiche Signal-Gruppen im parlamentarischen Raum sollen derzeit von den Angreifern nahezu unbemerkt ausgelesen werden können, sagen Sicherheitskreise gegenüber dem Spiegel.

Deutsche Medien berichten aufgeregt von einem „Signal-Hack“. Nur ist Phishing eben gerade kein üblicher „Hack“. Es handelt sich hier nicht um ein Softwareproblem oder eine Sicherheitslücke im Code, sondern einen Angriff auf die gutgläubige Person am Smartphone. Die vertraut dem sicheren Messenger so sehr, dass sie den mehr oder weniger plumpen Nachrichten eines gefälschten Signal-Supports Glauben schenkt und dann freigiebig und naiv ihre privaten Sicherheitscodes an die Angreifer herausgibt. Gleich zwei Mal hintereinander.

Das kann passieren, denn die Angreifer spielen mit der Angst des Ziels, setzen es unter Druck. Wer nicht mit den Grundlagen der IT-Sicherheit vertraut ist, kann darauf hereinfallen. So bitter das ist.

Umso mehr würde man von einer Spionageabwehr erwarten, dass sie vor solchen Attacken warnt – und vor allem auf höchster Ebene mit Nachdruck und frühzeitig sagt: „Wenn Sie ein vermeintlicher Signal-Support anschreibt, folgen Sie niemals dessen Anweisungen. Finger weg, das ist gefährlich! Der Signal-Support schreibt niemanden auf Signal an.“

Haben die Behörden versagt?

Wir wissen, dass diese Art der Phishing-Attacke seit mindestens September 2025 im Umlauf ist und schon früh auch Abgeordnete des Bundestages im Visier waren. Eine große Frage ist, wann die für die Abwehr von solchen Attacken zuständigen Behörden BSI und Verfassungsschutz selbst aktiv geworden sind und Regierung und Parlament gewarnt haben. Erst nach unserer Berichterstattung im Januar gab es Anfang Februareine offizielle Mitteilung der beiden Behörden. Haben diese erst so spät reagiert?

Daran schließt sich die Frage an: Wann sind die mittlerweile angeblich 300 Betroffenen, die Bundestagspräsidentin und die beiden Ministerinnen auf das Phishing hereingefallen? Funktionieren hier Warnmechanismen nicht oder werden ignoriert? Und was hilft in Zukunft gegen solche geschickten, aber doch trivialen Angriffe?

Aktionismus hilft nicht

Was auf jeden Fall nicht hilft, sind spontan aufgestellte Forderungen wie die der Bundestagsvizepräsidentin Andrea Lindholz (CSU). Sie will als Konsequenz aus dem Schlamassel den Messenger Signal im Bundestag verbieten. Stattdessen sollen die Abgeordneten den „Bundes-Messenger“ Wire nutzen. Das ist realitätsfern wie unsinnig.

Signal hat sich nicht ohne Grund als sicherer Messenger in Politik, Journalismus und Aktivismus etabliert. Er macht es endlich einfach, dass Menschen verschlüsselt, vertraulich und privat kommunizieren können – ohne sich in die Untiefen von E‑Mail-Verschlüsselung einarbeiten zu müssen. Das ist ein großer Gewinn an Sicherheit.

Phishing ist auf allen möglichen Kommunikationskanälen und Programmen möglich: Nicht ohne Grund hat noch niemand ernsthaft gefordert, E‑Mails zu verbieten, weil darüber Phishing stattfindet. Dieser Art des Angriffs begegnet man mit Aufklärung, Warnungen und vor allem digitaler Bildung, nicht mit unsinnigen Verboten.

Markus Reuter recherchiert und schreibt zu Digitalpolitik, Desinformation, Zensur und Moderation sowie Überwachungstechnologien. Darüber hinaus beschäftigt er sich mit der Polizei, Grund- und Bürgerrechten sowie Protesten und sozialen Bewegungen. Für eine Recherchereihe zur Polizei auf Twitter erhielt er 2018 den Preis des Bayerischen Journalistenverbandes, für eine TikTok-Recherche 2020 den Journalismuspreis Informatik. Bei netzpolitik.org seit März 2016 als Redakteur dabei. Er ist erreichbar unter markus.reuter | ett | netzpolitik.org, sowie auf Mastodon und Bluesky. Kontakt: E-Mail (OpenPGP). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Über Markus Reuter - netzpolitik:

Avatar-FotoUnter der Kennung "Gastautor:innen" fassen wir die unterschiedlichsten Beiträge externer Quellen zusammen, die wir dankbar im Beueler-Extradienst (wieder-)veröffentlichen dürfen. Die Autor*innen, Quellen und ggf. Lizenzen sind, soweit bekannt, jeweils im Beitrag vermerkt und/oder verlinkt.