Seit Monaten werden Signal-Nutzer Opfer von Phishing-Attacken. Die Generalbundesanwaltschaft ermittelt seit Februar. Diese Angriffe ziehen immer weitere Kreise – auch Bundestagsabgeordnete und Nato-Mitarbeiter seien betroffen, berichtete nun der Spiegel. Was genau ist bekannt und wie kann man sich schützen? Die wichtigsten Fragen und Antworten zu diesen Angriffen.

Wurde Signal gehackt?

Nein. Obwohl viele Medien von einem „Signal-Hack“ schreiben, wurde der Messenger-Dienst nicht gehackt, sondern es handelte sich um einen Phishing-Angriff.

Was ist ein Phishing-Angriff?

Beim Phishing täuschen Angreifer ihre Opfer mit dem Ziel, diese dazu zu bringen, freiwillig Daten herauszugeben, zum Beispiel zu ihren Bankkonten oder auch Kontaktdaten. Nutzer erhalten echt wirkende Nachrichten und werden dadurch manipuliert.

Phishing-Angriffe können sowohl Unternehmen als auch Personen des öffentlichen Lebens und Privatpersonen treffen. Viele haben schon einmal von gefälschten E-Mails von Banken gehört – auch das ist Phishing. Doch mittlerweile bewegen sich Cyberkriminelle auf allen möglichen Plattformen und agieren mithilfe von KI teils noch ausgeklügelter.

Und was genau ist jetzt auf Signal passiert?

Viele Nutzer haben eine Nachricht vom vermeintlichen „Signal-Support“ erhalten. Darin heißt es, dass der Account gehackt wurde oder dass es Versuche einer Kontoübernahme gab. Das Opfer wird aufgefordert, über den vermeintlichen Kundendienst sein Konto erneut zu verifizieren, durch das Scannen eines QR-Codes oder das Verschicken eines Verifizierungscodes.

Das Perfide daran: Bis zu diesem Moment war der Nutzer keiner Gefahr ausgesetzt, er ist es erst jetzt, wenn er darauf hereinfällt und sensible Daten übermittelt.

Was ist Social Engeneering?

Diese manipulative Methode, um Menschen zu einem bestimmten Verhalten zu bringen, wird auch Social Engineering genannt. Anders als bei anderen Cyber-Angriffen werden dabei keine technischen Schwachstellen, sondern Menschen ausgenutzt. Angreifer versuchen, Vertrauen zu gewinnen oder Druck aufzubauen, um ihre Opfer zu unüberlegten Handlungen zu bringen – etwa das Weitergeben von Zugangsdaten, das Öffnen schädlicher Links oder die Preisgabe sensibler Informationen. Typische Methoden sind Phishing-Nachrichten, gefälschte Support-Anfragen oder das Vortäuschen bekannter Kontakte. Zwar verschlüsselt Signal Inhalte und ist deshalb sehr sicher, es kann aber nicht verhindern, dass Nutzer manipuliert werden und sich unklug verhalten.

Sind nur Politiker und Journalisten betroffen?

Mit hoher Wahrscheinlichkeit nicht. Schon vor einem Jahr diskutierten Nutzer auf der Plattform Reddit über diese Art von Phishing. Nicht jeder Betrug und nicht jeder Angriff erhält so viel mediale Aufmerksamkeit, wie wenn Politiker oder Journalisten betroffen sind. Weil dieser Angriff jedoch vergleichsweise einfach umzusetzen ist, dürfte es auch Opfer geben, die nicht in der Öffentlichkeit stehen. Denn auch Privatpersonen teilen in Messengern Informationen mit ihren Freunden und Bekannten, die Angreifer zu Geld machen können.

Welche Folgen haben die Angriffe?

Auf einer Infoseite erklärt das Bundesamt für Sicherheit und Informationstechnik (BSI) die beiden Arten der jüngsten Phishing-Angriffe über Signal. Je nach Angriff ist der Nutzer dann entweder von seinem Konto ausgeschlossen oder ermöglicht dem Angreifer, seine Kommunikation auf einem Computer mitzulesen. Was daraus folgen könnte: dass interne Kommunikation zwischen Beamten, die über diesen Dienst kommunizierten, in nächster Zeit geleakt wird. Ebenso ist denkbar, dass Telefonnummern und weitere Daten der Opfer nun im Internet kursieren.

Wie kann man sich schützen?

Eine goldene Regel für den aktuellen Fall: Der Kundendienst von Signal kontaktiert Nutzer nicht per Nachricht. Wer auf diesem Wege kontaktiert wird, sollte das an Signal melden und den Kontakt dann blockieren. Zudem sollte man, unabhängig vom Messenger oder Dienst, den man nutzt, immer skeptisch sein, wenn man dazu aufgerufen wird, sofort zu handeln.

Denn diese künstlich erzeugte Dringlichkeit weist oft nicht auf reale Gefahr hin, sondern ist ein psychologisches Werkzeug. Dadurch wird Angst und Druck aufgebaut. Wer eine solche Nachricht bekommt, sollte zunächst im Netz schauen, ob andere Nutzer von ähnlichen Kontaktversuchen berichten, und stets skeptisch werden, wenn jemand versucht, Druck aufzubauen – selbst, wenn es so scheint, als käme dieser Druck von der Plattform, wie in diesem Fall Signal, selbst.

Sollte man besser nur noch SMS schreiben?

Nein. SMS sind technisch veraltet und nicht Ende-zu-Ende-verschlüsselt. Das heißt, die Nachrichten werden im Klartext über Mobilfunknetze übertragen und können prinzipiell von Netzbetreibern oder Angreifern mitgelesen werden.

Der Angriff via Signal zeigt einmal mehr: Unabhängig von der technischen Infrastruktur bleibt immer eine Schwachstelle, die Cyberkriminelle ausnutzen können: der Mensch. Und vor menschlichen Fehlern schützt auch die technisch sicherste Infrastruktur nicht.

Was macht Signal so sicher?

Im Vergleich zu anderen Messengern legt Signal großen Wert auf Datenschutz. Alle Nachrichten sind Ende-zu-Ende-verschlüsselt. Nur die beteiligten Kommunikationspartner können Inhalte lesen, niemand anderes. Ein weiterer wichtiger Unterschied zu Diensten wie Whatsapp oder Telegram liegt in der Datensparsamkeit: Signal speichert keine Chatinhalte auf Servern und erhebt nur sehr wenige Metadaten.

Zudem ist die Software „Open Source“, das bedeutet der Quellcode ist öffentlich einsehbar, sodass unabhängige Experten prüfen können, wie Signal funktioniert, und potenzielle Sicherheitslücken identifizieren und melden können. Hinter dem Messenger steht die Signal Foundation, eine gemeinnützige Stiftung. Das heißt, es gibt keine Profitorientierung und somit wenig Anreiz, Nutzerdaten zu sammeln, auszuwerten oder weiterzugeben.

Warum sind auch Nutzer in Gefahr, die nicht auf den Angriff hereingefallen sind?

Wenn man nicht selbst, sondern zum Beispiel jemand im Bekanntenkreis auf so einen Angriff hereingefallen ist, können die Angreifer die Kommunikation zwischen einem selbst und dem Bekannten mitlesen. Außerdem können sie an Telefonnummern von Nutzern kommen, mit denen das Opfer auf Signal interagiert hat.

Sind die Angreifer erst einmal im Besitz der Telefonnummern, können sie auch die Kontakte des ursprünglichen Opfers angreifen, etwa mit einer Spear Phishing Attack. Das ist eine gezielte Form des Phishings, bei der Angreifer nicht wahllos viele Menschen kontaktieren, sondern eine bestimmte Person mit einer individuell passenden Ansprache. Diese Kontaktversuche wirken besonders glaubwürdig.

Verhindern lässt sich das, indem man in den Privatsphäre-Einstellungen von Signal festlegt, dass niemand die eigene Nummer sehen kann. Dann wird sie niemandem angezeigt und kann auch nicht von anderen Geräten abgefischt werden.