Signal gilt als einer der sichersten Messenger der Welt. Ende-zu-Ende-verschlüsselt, empfohlen von Sicherheitsexperten, genutzt von Behörden, Redaktionen und Unternehmen weltweit. Und trotzdem hat eine Phishing-Kampagne* in den vergangenen Monaten offenbar zwei deutsche Bundesministerinnen, die Bundestagspräsidentin und Abgeordnete aus nahezu allen Fraktionen des Bundestags kalt erwischt.
Das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik** warnen: Die Kampagne werde wahrscheinlich durch einen staatlich gesteuerten Cyberakteur durchgeführt und gewinne weiterhin an Dynamik. Der Generalbundesanwalt ermittelt bereits wegen des Anfangsverdachts auf Spionage.
Das Problem war der Mensch
Charakteristisch für diese Angriffskampagne ist, dass weder Schadsoftware eingesetzt noch technische Schwachstellen der Messengerdienste ausgenutzt wurden. Stattdessen bedienten sich die Angreifer legitimer Sicherheitsfunktionen der Anwendungen und kombinierten diese mit Social Engineering.
Konkret: Die Angreifer schickten Nachrichten, in denen sie die Nutzer aufforderten, eine PIN einzugeben, Links anzusteuern oder einen QR-Code zu scannen – getarnt als Support-Nachricht oder Systemhinweis. Signal wurde also nicht geknackt, die Empfänger haben aktiv auf etwas geklickt.
Das ist keine Schwäche einzelner Personen, sondern das Grundprinzip hinter Phishing: Angreifer zielen auf den Menschen und seine Gutgläubigkeit, nicht auf Schwächen der Technik. Menschen lassen sich täuschen, wenn die Nachrichten überzeugend genug wirken und im richtigen Moment ankommen.
Führungspersonen sind besonders attraktive Ziele
Es gibt eine Sonderform des Phishings, die sich gezielt an Entscheidungsträger richtet: sogenanntes Whaling. Die Logik dahinter ist simpel. Wer Zugang zu vertraulichen Informationen, strategischen Entscheidungen und weitreichenden Netzwerken hat, ist ein lohnendes Ziel. Die Angriffe sind entsprechend aufwändiger vorbereitet, persönlicher formuliert und schwerer zu erkennen als gewöhnliche Massen-Phishing-Mails.
Beim Signal-Konto von Bundeskanzler Friedrich Merz wurden keine Auffälligkeiten festgestellt. Mitarbeitende des Bundesamts für Verfassungsschutz hatten den Kanzler persönlich informiert. Diese Anekdote illustriert beides: Das Risiko ist real, und der Schutz erfordert aktive Auseinandersetzung, nicht bloße Passivität.
Technologie schützt. Aufklärung schützt mehr.
Sichere Kommunikationsinfrastruktur ist eine Grundvoraussetzung. Wer intern auf unverschlüsselte Kanäle setzt oder veraltete Telefonanlagen betreibt, lädt Risiken ein, die sich vermeiden lassen. Cyberkriminelle haben ihre Angriffe längst industrialisiert und Zugangsdaten, Exploits und fertige Angriffsketten sind heute als „Cybercrime as a Service“ verfügbar. Dagegen sind Systeme, die aus vergangenen Dekaden stammen, nicht gewappnet. Der Wechsel auf eine moderne, updatefähige Lösung ist also unumgänglich. Die Soft-PBX-Lösungen aus der COMtrexx Serie und die cloudbasierte All-in-One-Kommunikationsplattform COMuniq ONE befinden sich auf dem Stand der Technik im Sinne des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und bieten zuverlässigen Schutz.
Aber Technologie allein schützt nicht vor dem, was in der Signal-Affäre passiert ist. Laut dem Verizon Data Breach Investigations Report 2024*** waren bei 68 Prozent der untersuchten Datenschutzverletzungen Menschen beteiligt, etwa wenn Personen auf Social Engineering hereinfallen oder Fehler machen. Wer einmal im Jahr eine Schulung absolviert und danach monatelang keine Phishing-Simulation gesehen hat, klickt im Zweifel also trotzdem auf den falschen Link.
So kann Security Awareness funktionieren:
Gerade der letzte Punkt wird in der Praxis oft vernachlässigt. Führungskräfte gelten intern häufig als außerhalb des Schulungsradars. Die Konsequenz: Sie sind schlechter vorbereitet als ihre Teams, stehen aber besonders im Fokus.
Fazit
Die Signal-Affäre im Bundestag ist kein Versagen einer App. Sie ist ein Lehrstück darüber, wie Phishing heute funktioniert: unauffällig, gezielt, ohne Schadsoftware. Der wirksamste Schutz ist keine Frage der Technologie allein. Es ist die Kombination aus sicherer Infrastruktur und Menschen, die wissen, worauf sie achten müssen, gerade in Führungspositionen.
Haben Sie Fragen zu sicherer Unternehmenskommunikation? Schreiben Sie uns an security@auerswald.de. Und wenn Sie mehr über die Grundlagen von Phishing erfahren möchten: Unser früherer Beitrag zu Phishing-Mails erklärt, wie Angriffe funktionieren und woran man sie erkennt.
** https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2026/202602_BfV_BSI.html
*** https://www.verizon.com/business/resources/infographics/2024-dbir-infographic.pdf
Redaktioneller Hinweis: Aus Gründen der besseren Lesbarkeit wird bei dem vorliegenden Text auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet.
Wir bei Auerswald gehören zu den führenden deutschen Herstellern von innovativen Kommunikationslösungen für VoIP-Infrastrukturen. Unsere Produkte produzieren wir dabei ausschließlich an unserem Hauptsitz in Cremlingen bei Braunschweig.
Wollen Sie mehr über Auerswald und unsere Lösungen erfahren? Dann klicken Sie hier!
Kommentare
Keine Kommentare