Werbung
Die Messenger-App Signal gilt aufgrund ihrer Ende-zu-Ende-Verschlüsselung und ihres offenen Quellcodes eigentlich als recht sicher. Dennoch warnen aktuell das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik vor einer gezielten Phishing-Kampagne, die diese Sicherheitsmechanismen nicht technisch, sondern über soziale Manipulation umgeht. Die Warnung fällt ungewöhnlich deutlich aus und richtet sich ausdrücklich auch an potenziell bereits betroffene Nutzer.
Kern der Angriffe sind gefälschte Nachrichten, die sich als offizielle Hinweise von Signal ausgeben. In einer verbreiteten Variante meldet sich ein angeblicher Signal-Chat-Bot in englischer Sprache mit dem Hinweis, das Nutzerkonto sei kompromittiert worden. Die Empfänger werden aufgefordert, ihre Signal-PIN einzugeben und sich neu zu registrieren. In einer weiteren Ausführung wird behauptet, gekoppelte Geräte müssten aus Sicherheitsgründen neu verknüpft werden. Die dafür bereitgestellten Links oder QR-Codes führen jedoch nicht zu Signal, sondern ermöglichen den Angreifern den Zugriff auf das Konto.
Besonders perfide ist dabei die Gestaltung der Nachrichten. Sie enthalten explizite Warnungen, die PIN nicht an andere Personen weiterzugeben, sondern ausschließlich mit Signal selbst zu kommunizieren. Genau dieser Hinweis erhöht nach Einschätzung der Sicherheitsbehörden die Glaubwürdigkeit der Nachricht und senkt die Hemmschwelle, den enthaltenen Anweisungen zu folgen. Technisch nutzen die Angreifer keine Schwachstelle in der Signal-Software selbst, sondern missbrauchen die Registrierungs- und Geräteverknüpfungsmechanismen, um Konten zu übernehmen.
Laut der gemeinsamen Warnmitteilung des BfV und des BSI handelt es sich mit hoher Wahrscheinlichkeit um einen staatlich gesteuerten Cyberakteur. Dafür spricht unter anderem die Auswahl der Zielpersonen. Betroffen sind primär hochrangige Akteure aus Politik, Militär und Diplomatie sowie Investigativjournalistinnen und -journalisten in Deutschland und anderen europäischen Staaten. Die Behörden gehen davon aus, dass es sich um eine koordinierte Kampagne handelt, die auf nachrichtendienstliche Auswertung sensibler Kommunikation abzielt.
Ein erfolgreicher Zugriff auf ein Signal-Konto ermöglicht nicht nur die Einsicht in vertrauliche Einzelchats. Je nach Kommunikationsstruktur können darüber hinaus ganze Netzwerke kompromittiert werden, etwa durch das Mitlesen von Gruppenchats, das Sammeln von Metadaten oder das gezielte Weiterverbreiten manipulierter Nachrichten im Namen der betroffenen Person. Damit entsteht ein erhebliches Risiko für die Vertraulichkeit beruflicher und privater Kommunikation.
Vor diesem Hintergrund rufen Verfassungsschutz und BSI Nutzer, die bereits auf eine solche Nachricht reagiert oder ihre PIN eingegeben haben, ausdrücklich dazu auf, Kontakt mit den Behörden aufzunehmen. Hinweise und weiterführende Informationen stellt die gemeinsame Warnmitteilung bereit. Gleichzeitig wird betont, dass Signal selbst niemals per Chat zur Eingabe von PINs auffordert und sicherheitsrelevante Aktionen ausschließlich innerhalb der App ohne externe Links oder QR-Codes erfolgen.
