Autor, Sprecher und Episodenbild
Thorsten Siefert
Technik und Gestaltung
Thorsten Siefert
Es gilt das gesprochene Wort
Die Sicherheitslage wirkt derzeit wie ein Dauerfeuer.
Im April wurden mehrere Vorfรคlle bekannt.
In Frankreich meldete die Behรถrde ANTS einen Datenabfluss. Diese Behรถrde ist fรผr Ausweise, Fรผhrerscheine und andere Dokumente zustรคndig.
Ein Angreifer behauptete, Zugriff auf Daten von 18 bis 19 Millionen Personen gehabt zu haben.
In Groรbritannien tauchten Gesundheitsdaten und genetische Daten von rund 500.000 Personen auf einer Handelsplattform auf.
Auch Fraport meldete mรถgliche unbefugte Zugriffe auf Kundenkonten.
Betroffen sein konnten Namen, Geburtsdaten, Kontaktdaten, Bestellhistorien und Parkplatzbuchungen.
Der Kosmetikhersteller Rituals meldete ebenfalls einen Abfluss von Kundendaten.
Dazu kommen Warnungen vor alten Sicherheitslรผcken, Angriffen auf Router, verwundbaren Servern und riskanten Cloud-Freigaben.
Auch die EU-Altersverifizierung geriet in die Kritik.
Nur einen Tag nach dem Start soll ein Sicherheitsberater die App in unter zwei Minuten รผberwunden haben.
Er konnte laut Bericht die PIN zurรผcksetzen und biometrische Kontrollen umgehen.
Diese Beispiele zeigen ein bekanntes Muster.
Manchmal liegt das Problem im Code.
Manchmal liegt es in einer schlechten Konfiguration.
Manchmal liegt es in alten Systemen, die nie sauber gepflegt wurden.
Und manchmal liegt das Problem vor dem Bildschirm.
Genau dort setzt Phishing an.
Der aktuelle Fall betrifft den Messenger Signal.
Signal gilt aus guten Grรผnden als sicher.
Die App verschlรผsselt Nachrichten Ende zu Ende.
Das heiรt: Eine Nachricht wird auf dem Gerรคt des Absenders verschlรผsselt.
Sie wird erst auf dem Gerรคt des Empfรคngers wieder lesbar.
Dazwischen kรถnnen Betreiber, Provider oder Dritte den Inhalt nicht einfach mitlesen.
Das ist ein groรer Fortschritt.
Vor allem fรผr Politik, Journalismus, Aktivismus und vertrauliche Arbeit.
Frรผher brauchte man fรผr vergleichbaren Schutz oft komplizierte E-Mail-Verschlรผsselung.
Heute reicht eine App, die viele Menschen bedienen kรถnnen.
Genau deshalb ist Signal so verbreitet.
Doch starke Verschlรผsselung lรถst nicht jedes Problem.
Sie schรผtzt den Weg der Nachricht.
Sie schรผtzt nicht automatisch vor einer Person, die ihren eigenen Zugang herausgibt.
Hier liegt der Unterschied zwischen Hack und Phishing.
Ein Hack meint im Alltag meist einen technischen Einbruch.
Angreifer finden eine Schwachstelle in Software.
Sie nutzen einen Fehler im System.
Sie umgehen Schutzmechanismen.
Sie verschaffen sich Zugang, ohne dass der Nutzer aktiv hilft.
Ein Beispiel wรคre eine ungepatchte Sicherheitslรผcke in einem Server.
Oder eine App, die sensible Daten falsch speichert.
Phishing funktioniert anders.
Beim Phishing wird nicht zuerst das System angegriffen.
Beim Phishing wird die Person angegriffen.
Angreifer bauen eine glaubwรผrdige Geschichte.
Sie geben sich als Support aus.
Oder als Bank.
Oder als Dienstleister.
Oder als Kollege.
Dann erzeugen sie Druck.
Sie behaupten, ein Konto sei gefรคhrdet.
Sie drohen mit Sperrung.
Sie bitten um schnelle Bestรคtigung.
Sie wollen eine PIN, einen Code oder einen Klick.
Der Angriff lรคuft also รผber Vertrauen.
Nicht รผber einen Programmfehler.
Genau das macht ihn so wirksam.
Bei Signal sieht die Masche offenbar so aus:
Eine Nachricht kommt von einem angeblichen Signal-Support.
Sie warnt vor verdรคchtigen Aktivitรคten.
Sie fordert den Nutzer auf, etwas zu prรผfen.
Dann soll ein Code weitergegeben werden.
Oder eine PIN.
Oder ein QR-Code soll gescannt werden.
Fรผr den Nutzer sieht das nach Sicherheit aus.
In Wahrheit wird damit ein fremdes Gerรคt verknรผpft.
Oder das Konto wird neu registriert.
Die Angreifer erhalten dann Zugriff.
Sie sehen Kontakte.
Sie sehen Gruppen.
Sie kรถnnen unter Umstรคnden Chats mitlesen.
Sie kรถnnen sich als die betroffene Person ausgeben.
Das ist besonders gefรคhrlich in politischen Netzwerken.
Dort reicht ein kompromittiertes Konto oft nicht allein.
Ein Konto รถffnet Gruppen.
Gruppen รถffnen Netzwerke.
Netzwerke รถffnen neue Ziele.
So entsteht eine Kette.
Ein gehacktes Vertrauen fรผhrt zum nรคchsten Angriff.
Wichtig ist dabei: Signal wird dadurch nicht automatisch unsicher.
Die Verschlรผsselung kann technisch intakt sein.
Der Dienst kann korrekt funktionieren.
Und trotzdem kann ein Konto รผbernommen werden.
Das klingt widersprรผchlich.
Ist es aber nicht.
Ein guter Tresor schรผtzt seinen Inhalt.
Aber er schรผtzt nicht davor, dass jemand den Code freiwillig verrรคt.
Genau darum geht es hier.
Der falsche Signal-Support bricht nicht die Tรผr auf.
Er bringt den Besitzer dazu, sie selbst zu รถffnen.
Nach Berichten hat die Attacke inzwischen hรถchste politische Ebenen erreicht.
Zwei Ministerinnen und die Bundestagsprรคsidentin sollen auf die Masche hereingefallen sein.
Damit kรถnnten Kontakte, Telefonnummern, Netzwerke und Chat-Inhalte offengelegt worden sein.
Solche Fรคlle sind mehr als peinlich.
Sie sind sicherheitspolitisch relevant.
Politische Kommunikation enthรคlt Termine.
Kontakte.
Strategien.
Persรถnliche Einschรคtzungen.
Manchmal auch vertrauliche Hinweise.
Wenn Angreifer solche Informationen lesen, entsteht Schaden.
Nicht nur fรผr einzelne Personen.
Auch fรผr Institutionen.
Auch fรผr Quellen.
Auch fรผr Menschen, die in Gruppen mitschreiben.
Die Attacke ist laut Berichten nicht neu.
Diese Art des Phishings ist mindestens seit September 2025 im Umlauf.
Schon frรผh waren Abgeordnete im Visier.
BSI und Verfassungsschutz warnten Anfang 2026 offiziell vor solchen Angriffen.
Laut BSI ist charakteristisch, dass keine Schadsoftware eingesetzt wird.
Es wird auch keine technische Schwachstelle im Messenger ausgenutzt.
Die Angreifer nutzen legitime Funktionen.
Sie kombinieren diese mit Social Engineering.
Social Engineering heiรt: Menschen werden manipuliert.
Sie sollen aus Angst, Hilfsbereitschaft oder Zeitdruck falsch handeln.
Der aktuelle Schwerpunkt liegt bei Signal.
รhnliche Methoden sind aber auch bei WhatsApp denkbar.
Das liegt an der Struktur solcher Dienste.
Viele Messenger nutzen Telefonnummern.
Viele erlauben neue Gerรคte.
Viele arbeiten mit Codes.
Viele bieten Sicherheitsfunktionen, die Nutzer verstehen mรผssen.
Das ist kein Fehler an sich.
Aber es schafft Angriffsflรคchen.
Vor allem, wenn Menschen nicht wissen, was ein Code bedeutet.
Ein SMS-Code ist kein Formularfeld fรผr den Support.
Eine PIN ist kein Nachweis der Identitรคt gegenรผber Fremden.
Ein QR-Code ist nicht automatisch harmlos.
Ein verknรผpftes Gerรคt ist ein echter Zugang.
Wer diese Begriffe nicht kennt, kann getรคuscht werden.
Das ist kein persรถnliches Versagen allein.
Es ist ein Bildungsproblem.
Digitale Sicherheit wird oft zu spรคt erklรคrt.
Viele Menschen lernen erst nach einem Schaden, wie solche Angriffe funktionieren.
Das reicht nicht.
Man braucht einfache Regeln.
Die erste Regel lautet:
Der Signal-Support schreibt Sie nicht auf Signal an.
Wer eine solche Nachricht bekommt, sollte nicht antworten.
Nicht diskutieren.
Nicht testen.
Nicht klicken.
Nicht scannen.
Die zweite Regel lautet:
Geben Sie niemals eine Signal-PIN weiter.
Auch nicht an einen angeblichen Support.
Auch nicht an eine Behรถrde.
Auch nicht an eine bekannte Person, die danach fragt.
Die dritte Regel lautet:
Geben Sie keinen SMS-Code weiter.
Ein Code ist oft der Schlรผssel zur Anmeldung.
Wer ihn weitergibt, gibt Kontrolle ab.
Die vierte Regel lautet:
Scannen Sie keinen QR-Code aus einer unerwarteten Nachricht.
Ein QR-Code kann ein Gerรคt koppeln.
Dann liest jemand mit.
Die fรผnfte Regel lautet:
Prรผfen Sie regelmรครig die verknรผpften Gerรคte.
In Signal gibt es dafรผr einen Bereich in den Einstellungen.
Unbekannte Gerรคte mรผssen sofort entfernt werden.
Die sechste Regel lautet:
Aktivieren Sie die Registrierungssperre.
Sie erschwert die รbernahme des Kontos.
Sie ersetzt keine Vorsicht.
Aber sie erhรถht die Hรผrde.
Die siebte Regel lautet:
Nutzen Sie selbstlรถschende Nachrichten, wenn Inhalte sensibel sind.
Das verhindert keinen Angriff.
Aber es begrenzt den Schaden.
Die achte Regel lautet:
Verbergen Sie Ihre Telefonnummer, wo das sinnvoll ist.
Nicht jeder Kontakt muss Ihre Nummer sehen.
Die neunte Regel lautet:
Verifizieren Sie wichtige Kontakte รผber einen zweiten Kanal.
Rufen Sie an.
Schreiben Sie eine E-Mail.
Fragen Sie persรถnlich nach.
Vertrauen Sie nicht nur einer Nachricht im Messenger.
Die zehnte Regel lautet:
Wenn Sie schon reagiert haben, handeln Sie sofort.
รndern Sie die Signal-PIN.
Prรผfen Sie verknรผpfte Gerรคte.
Entfernen Sie unbekannte Gerรคte.
Melden und blockieren Sie den verdรคchtigen Kontakt.
Wenn Sie keinen Zugriff mehr haben, warnen Sie Ihre Kontakte.
Nutzen Sie dafรผr einen anderen Kanal.
Bitten Sie Gruppen, das kompromittierte Konto zu entfernen.
Erstellen Sie sensible Gruppen neu.
Kontaktieren Sie den echten Signal-Support.
Wichtig ist auch der Blick auf die Sprache.
Wer hier nur von einem Signal-Hack spricht, lenkt falsch ab.
Dann klingt es so, als sei vor allem die App kaputt.
Das trifft den Kern nicht.
Der Angriff richtet sich gegen das Verhalten der Nutzer.
Er nutzt die Oberflรคche eines sicheren Dienstes.
Er versteckt Betrug hinter Sicherheitsbegriffen.
Genau deshalb ist Aufklรคrung so wichtig.
Ein Verbot von Signal wรผrde das Problem nicht lรถsen.
Phishing gibt es per E-Mail.
Per SMS.
Per Telefon.
Per WhatsApp.
Per Teams.
Per Brief.
Und theoretisch auch per Fax.
Niemand fordert ernsthaft, E-Mail zu verbieten, weil dort Phishing vorkommt.
Die richtige Antwort ist eine andere.
Menschen mรผssen wissen, wie solche Angriffe aussehen.
Institutionen mรผssen schnell warnen.
Behรถrden mรผssen klare Regeln geben.
Organisationen mรผssen ihre Mitarbeiter schulen.
Und Fรผhrungspersonen mรผssen dieselben Regeln einhalten wie alle anderen.
Sicherheit entsteht nicht durch eine App allein.
Sie entsteht durch Technik, Prozesse und Verhalten.
Signal kann starke Verschlรผsselung liefern.
Nutzer mรผssen Zugรคnge schรผtzen.
Organisationen mรผssen Krisenwege รผben.
Dazu gehรถrt ein einfacher Plan.
Was passiert, wenn ein Konto รผbernommen wird?
Wer informiert die Kontakte?
Wer lรถscht Gruppen?
Wer prรผft Gerรคte?
Wer meldet den Vorfall?
Wer entscheidet, ob eine neue Telefonnummer nรถtig ist?
Diese Fragen mรผssen vorher geklรคrt sein.
Nicht erst, wenn der Schaden da ist.
Phishing bleibt so erfolgreich, weil es alltรคglich wirkt.
Eine Nachricht kommt an.
Sie klingt dringend.
Sie nutzt bekannte Symbole.
Sie spricht von Sicherheit.
Sie fordert eine kleine Handlung.
Genau diese kleine Handlung kann reichen.
Darum hilft eine einfache innere Bremse.
Sobald eine Nachricht Druck macht, stoppen.
Sobald ein Code verlangt wird, stoppen.
Sobald ein QR-Code unerwartet kommt, stoppen.
Sobald ein Support รผber einen privaten Chat schreibt, stoppen.
Dann prรผfen.
Nicht in der Nachricht.
Nicht รผber den Link.
Nicht รผber den Absender.
Sondern รผber einen unabhรคngigen Weg.
Das ist unbequem.
Aber es schรผtzt.
Der Fall Signal zeigt also zwei Dinge zugleich.
Erstens: Sichere Messenger bleiben wichtig.
Zweitens: Sichere Messenger machen uns nicht automatisch sicher.
Wer vertraulich kommuniziert, braucht beides.
Gute Technik.
Und klare Gewohnheiten.
Abschluss
Der wichtigste Satz bleibt einfach:
Geben Sie keine PIN weiter. Geben Sie keinen SMS-Code weiter. Scannen Sie keinen unerwarteten QR-Code.
Auch dann nicht, wenn die Nachricht nach Support aussieht.
Auch dann nicht, wenn sie Druck macht.
Auch dann nicht, wenn sie von einem bekannten Konto kommt.
Prรผfen Sie verknรผpfte Gerรคte. Aktivieren Sie die Registrierungssperre. Nutzen Sie selbstlรถschende Nachrichten, wenn Inhalte sensibel sind.
Und sprechen Sie รผber solche Fรคlle.
Phishing lebt davon, dass Menschen sich schรคmen.
Sicherheit wรคchst, wenn Menschen warnen.
Schreiben Sie uns gern Ihre Erfahrungen, Hinweise und Fragen zur Folge.
Am einfachsten geht das รผber unsere App.
Episoden hรถren Sie am besten mit der netkiosk.digital-App.
Sie finden sie im Apple App Store.