Autor, Sprecher und Episodenbild
Thorsten Siefert
Technik und Gestaltung
Thorsten Siefert
Es gilt das gesprochene Wort
Die Sicherheitslage wirkt derzeit wie ein Dauerfeuer.
Im April wurden mehrere Vorfälle bekannt.
In Frankreich meldete die Behörde ANTS einen Datenabfluss. Diese Behörde ist für Ausweise, Führerscheine und andere Dokumente zuständig.
Ein Angreifer behauptete, Zugriff auf Daten von 18 bis 19 Millionen Personen gehabt zu haben.
In Großbritannien tauchten Gesundheitsdaten und genetische Daten von rund 500.000 Personen auf einer Handelsplattform auf.
Auch Fraport meldete mögliche unbefugte Zugriffe auf Kundenkonten.
Betroffen sein konnten Namen, Geburtsdaten, Kontaktdaten, Bestellhistorien und Parkplatzbuchungen.
Der Kosmetikhersteller Rituals meldete ebenfalls einen Abfluss von Kundendaten.
Dazu kommen Warnungen vor alten Sicherheitslücken, Angriffen auf Router, verwundbaren Servern und riskanten Cloud-Freigaben.
Auch die EU-Altersverifizierung geriet in die Kritik.
Nur einen Tag nach dem Start soll ein Sicherheitsberater die App in unter zwei Minuten überwunden haben.
Er konnte laut Bericht die PIN zurücksetzen und biometrische Kontrollen umgehen.
Diese Beispiele zeigen ein bekanntes Muster.
Manchmal liegt das Problem im Code.
Manchmal liegt es in einer schlechten Konfiguration.
Manchmal liegt es in alten Systemen, die nie sauber gepflegt wurden.
Und manchmal liegt das Problem vor dem Bildschirm.
Genau dort setzt Phishing an.
Der aktuelle Fall betrifft den Messenger Signal.
Signal gilt aus guten Gründen als sicher.
Die App verschlüsselt Nachrichten Ende zu Ende.
Das heißt: Eine Nachricht wird auf dem Gerät des Absenders verschlüsselt.
Sie wird erst auf dem Gerät des Empfängers wieder lesbar.
Dazwischen können Betreiber, Provider oder Dritte den Inhalt nicht einfach mitlesen.
Das ist ein großer Fortschritt.
Vor allem für Politik, Journalismus, Aktivismus und vertrauliche Arbeit.
Früher brauchte man für vergleichbaren Schutz oft komplizierte E-Mail-Verschlüsselung.
Heute reicht eine App, die viele Menschen bedienen können.
Genau deshalb ist Signal so verbreitet.
Doch starke Verschlüsselung löst nicht jedes Problem.
Sie schützt den Weg der Nachricht.
Sie schützt nicht automatisch vor einer Person, die ihren eigenen Zugang herausgibt.
Hier liegt der Unterschied zwischen Hack und Phishing.
Ein Hack meint im Alltag meist einen technischen Einbruch.
Angreifer finden eine Schwachstelle in Software.
Sie nutzen einen Fehler im System.
Sie umgehen Schutzmechanismen.
Sie verschaffen sich Zugang, ohne dass der Nutzer aktiv hilft.
Ein Beispiel wäre eine ungepatchte Sicherheitslücke in einem Server.
Oder eine App, die sensible Daten falsch speichert.
Phishing funktioniert anders.
Beim Phishing wird nicht zuerst das System angegriffen.
Beim Phishing wird die Person angegriffen.
Angreifer bauen eine glaubwürdige Geschichte.
Sie geben sich als Support aus.
Oder als Bank.
Oder als Dienstleister.
Oder als Kollege.
Dann erzeugen sie Druck.
Sie behaupten, ein Konto sei gefährdet.
Sie drohen mit Sperrung.
Sie bitten um schnelle Bestätigung.
Sie wollen eine PIN, einen Code oder einen Klick.
Der Angriff läuft also über Vertrauen.
Nicht über einen Programmfehler.
Genau das macht ihn so wirksam.
Bei Signal sieht die Masche offenbar so aus:
Eine Nachricht kommt von einem angeblichen Signal-Support.
Sie warnt vor verdächtigen Aktivitäten.
Sie fordert den Nutzer auf, etwas zu prüfen.
Dann soll ein Code weitergegeben werden.
Oder eine PIN.
Oder ein QR-Code soll gescannt werden.
Für den Nutzer sieht das nach Sicherheit aus.
In Wahrheit wird damit ein fremdes Gerät verknüpft.
Oder das Konto wird neu registriert.
Die Angreifer erhalten dann Zugriff.
Sie sehen Kontakte.
Sie sehen Gruppen.
Sie können unter Umständen Chats mitlesen.
Sie können sich als die betroffene Person ausgeben.
Das ist besonders gefährlich in politischen Netzwerken.
Dort reicht ein kompromittiertes Konto oft nicht allein.
Ein Konto öffnet Gruppen.
Gruppen öffnen Netzwerke.
Netzwerke öffnen neue Ziele.
So entsteht eine Kette.
Ein gehacktes Vertrauen führt zum nächsten Angriff.
Wichtig ist dabei: Signal wird dadurch nicht automatisch unsicher.
Die Verschlüsselung kann technisch intakt sein.
Der Dienst kann korrekt funktionieren.
Und trotzdem kann ein Konto übernommen werden.
Das klingt widersprüchlich.
Ist es aber nicht.
Ein guter Tresor schützt seinen Inhalt.
Aber er schützt nicht davor, dass jemand den Code freiwillig verrät.
Genau darum geht es hier.
Der falsche Signal-Support bricht nicht die Tür auf.
Er bringt den Besitzer dazu, sie selbst zu öffnen.
Nach Berichten hat die Attacke inzwischen höchste politische Ebenen erreicht.
Zwei Ministerinnen und die Bundestagspräsidentin sollen auf die Masche hereingefallen sein.
Damit könnten Kontakte, Telefonnummern, Netzwerke und Chat-Inhalte offengelegt worden sein.
Solche Fälle sind mehr als peinlich.
Sie sind sicherheitspolitisch relevant.
Politische Kommunikation enthält Termine.
Kontakte.
Strategien.
Persönliche Einschätzungen.
Manchmal auch vertrauliche Hinweise.
Wenn Angreifer solche Informationen lesen, entsteht Schaden.
Nicht nur für einzelne Personen.
Auch für Institutionen.
Auch für Quellen.
Auch für Menschen, die in Gruppen mitschreiben.
Die Attacke ist laut Berichten nicht neu.
Diese Art des Phishings ist mindestens seit September 2025 im Umlauf.
Schon früh waren Abgeordnete im Visier.
BSI und Verfassungsschutz warnten Anfang 2026 offiziell vor solchen Angriffen.
Laut BSI ist charakteristisch, dass keine Schadsoftware eingesetzt wird.
Es wird auch keine technische Schwachstelle im Messenger ausgenutzt.
Die Angreifer nutzen legitime Funktionen.
Sie kombinieren diese mit Social Engineering.
Social Engineering heißt: Menschen werden manipuliert.
Sie sollen aus Angst, Hilfsbereitschaft oder Zeitdruck falsch handeln.
Der aktuelle Schwerpunkt liegt bei Signal.
Ähnliche Methoden sind aber auch bei WhatsApp denkbar.
Das liegt an der Struktur solcher Dienste.
Viele Messenger nutzen Telefonnummern.
Viele erlauben neue Geräte.
Viele arbeiten mit Codes.
Viele bieten Sicherheitsfunktionen, die Nutzer verstehen müssen.
Das ist kein Fehler an sich.
Aber es schafft Angriffsflächen.
Vor allem, wenn Menschen nicht wissen, was ein Code bedeutet.
Ein SMS-Code ist kein Formularfeld für den Support.
Eine PIN ist kein Nachweis der Identität gegenüber Fremden.
Ein QR-Code ist nicht automatisch harmlos.
Ein verknüpftes Gerät ist ein echter Zugang.
Wer diese Begriffe nicht kennt, kann getäuscht werden.
Das ist kein persönliches Versagen allein.
Es ist ein Bildungsproblem.
Digitale Sicherheit wird oft zu spät erklärt.
Viele Menschen lernen erst nach einem Schaden, wie solche Angriffe funktionieren.
Das reicht nicht.
Man braucht einfache Regeln.
Die erste Regel lautet:
Der Signal-Support schreibt Sie nicht auf Signal an.
Wer eine solche Nachricht bekommt, sollte nicht antworten.
Nicht diskutieren.
Nicht testen.
Nicht klicken.
Nicht scannen.
Die zweite Regel lautet:
Geben Sie niemals eine Signal-PIN weiter.
Auch nicht an einen angeblichen Support.
Auch nicht an eine Behörde.
Auch nicht an eine bekannte Person, die danach fragt.
Die dritte Regel lautet:
Geben Sie keinen SMS-Code weiter.
Ein Code ist oft der Schlüssel zur Anmeldung.
Wer ihn weitergibt, gibt Kontrolle ab.
Die vierte Regel lautet:
Scannen Sie keinen QR-Code aus einer unerwarteten Nachricht.
Ein QR-Code kann ein Gerät koppeln.
Dann liest jemand mit.
Die fünfte Regel lautet:
Prüfen Sie regelmäßig die verknüpften Geräte.
In Signal gibt es dafür einen Bereich in den Einstellungen.
Unbekannte Geräte müssen sofort entfernt werden.
Die sechste Regel lautet:
Aktivieren Sie die Registrierungssperre.
Sie erschwert die Übernahme des Kontos.
Sie ersetzt keine Vorsicht.
Aber sie erhöht die Hürde.
Die siebte Regel lautet:
Nutzen Sie selbstlöschende Nachrichten, wenn Inhalte sensibel sind.
Das verhindert keinen Angriff.
Aber es begrenzt den Schaden.
Die achte Regel lautet:
Verbergen Sie Ihre Telefonnummer, wo das sinnvoll ist.
Nicht jeder Kontakt muss Ihre Nummer sehen.
Die neunte Regel lautet:
Verifizieren Sie wichtige Kontakte über einen zweiten Kanal.
Rufen Sie an.
Schreiben Sie eine E-Mail.
Fragen Sie persönlich nach.
Vertrauen Sie nicht nur einer Nachricht im Messenger.
Die zehnte Regel lautet:
Wenn Sie schon reagiert haben, handeln Sie sofort.
Ändern Sie die Signal-PIN.
Prüfen Sie verknüpfte Geräte.
Entfernen Sie unbekannte Geräte.
Melden und blockieren Sie den verdächtigen Kontakt.
Wenn Sie keinen Zugriff mehr haben, warnen Sie Ihre Kontakte.
Nutzen Sie dafür einen anderen Kanal.
Bitten Sie Gruppen, das kompromittierte Konto zu entfernen.
Erstellen Sie sensible Gruppen neu.
Kontaktieren Sie den echten Signal-Support.
Wichtig ist auch der Blick auf die Sprache.
Wer hier nur von einem Signal-Hack spricht, lenkt falsch ab.
Dann klingt es so, als sei vor allem die App kaputt.
Das trifft den Kern nicht.
Der Angriff richtet sich gegen das Verhalten der Nutzer.
Er nutzt die Oberfläche eines sicheren Dienstes.
Er versteckt Betrug hinter Sicherheitsbegriffen.
Genau deshalb ist Aufklärung so wichtig.
Ein Verbot von Signal würde das Problem nicht lösen.
Phishing gibt es per E-Mail.
Per SMS.
Per Telefon.
Per WhatsApp.
Per Teams.
Per Brief.
Und theoretisch auch per Fax.
Niemand fordert ernsthaft, E-Mail zu verbieten, weil dort Phishing vorkommt.
Die richtige Antwort ist eine andere.
Menschen müssen wissen, wie solche Angriffe aussehen.
Institutionen müssen schnell warnen.
Behörden müssen klare Regeln geben.
Organisationen müssen ihre Mitarbeiter schulen.
Und Führungspersonen müssen dieselben Regeln einhalten wie alle anderen.
Sicherheit entsteht nicht durch eine App allein.
Sie entsteht durch Technik, Prozesse und Verhalten.
Signal kann starke Verschlüsselung liefern.
Nutzer müssen Zugänge schützen.
Organisationen müssen Krisenwege üben.
Dazu gehört ein einfacher Plan.
Was passiert, wenn ein Konto übernommen wird?
Wer informiert die Kontakte?
Wer löscht Gruppen?
Wer prüft Geräte?
Wer meldet den Vorfall?
Wer entscheidet, ob eine neue Telefonnummer nötig ist?
Diese Fragen müssen vorher geklärt sein.
Nicht erst, wenn der Schaden da ist.
Phishing bleibt so erfolgreich, weil es alltäglich wirkt.
Eine Nachricht kommt an.
Sie klingt dringend.
Sie nutzt bekannte Symbole.
Sie spricht von Sicherheit.
Sie fordert eine kleine Handlung.
Genau diese kleine Handlung kann reichen.
Darum hilft eine einfache innere Bremse.
Sobald eine Nachricht Druck macht, stoppen.
Sobald ein Code verlangt wird, stoppen.
Sobald ein QR-Code unerwartet kommt, stoppen.
Sobald ein Support über einen privaten Chat schreibt, stoppen.
Dann prüfen.
Nicht in der Nachricht.
Nicht über den Link.
Nicht über den Absender.
Sondern über einen unabhängigen Weg.
Das ist unbequem.
Aber es schützt.
Der Fall Signal zeigt also zwei Dinge zugleich.
Erstens: Sichere Messenger bleiben wichtig.
Zweitens: Sichere Messenger machen uns nicht automatisch sicher.
Wer vertraulich kommuniziert, braucht beides.
Gute Technik.
Und klare Gewohnheiten.
Abschluss
Der wichtigste Satz bleibt einfach:
Geben Sie keine PIN weiter. Geben Sie keinen SMS-Code weiter. Scannen Sie keinen unerwarteten QR-Code.
Auch dann nicht, wenn die Nachricht nach Support aussieht.
Auch dann nicht, wenn sie Druck macht.
Auch dann nicht, wenn sie von einem bekannten Konto kommt.
Prüfen Sie verknüpfte Geräte. Aktivieren Sie die Registrierungssperre. Nutzen Sie selbstlöschende Nachrichten, wenn Inhalte sensibel sind.
Und sprechen Sie über solche Fälle.
Phishing lebt davon, dass Menschen sich schämen.
Sicherheit wächst, wenn Menschen warnen.
Schreiben Sie uns gern Ihre Erfahrungen, Hinweise und Fragen zur Folge.
Am einfachsten geht das über unsere App.
Episoden hören Sie am besten mit der netkiosk.digital-App.
Sie finden sie im Apple App Store.