Signal-Hack und Social Media: Was Politiker und Verbraucher jetzt lernen müssen
Die jüngsten Ereignisse zeigen – Politikerinnen und Politiker sind auf Signal und anderen Social-Media-Plattformen deutlich weniger geschützt, als es die Debatte über „sichere Messenger“ vermuten lässt. Dabei ist das Problem weniger Technik als Organisation, Schulung und Kultur im politischen Betrieb. Um als Verbraucher potenzielle Angriffe zu umgehen, gibt es gezielte Schutzmaßnahmen, die mit wenig Aufwand großen Schaden verhindern können.
Die Phishing-Welle über Signal hat nun auch die Spitzenpolitik (öffnet in neuem Tab) getroffen: Unter den Betroffenen sind Bundesministerinnen Hubertz von der SPD und Prien von der CDU sowie Bundestagspräsidentin Klöckner, deren Kontakte, Netzwerke und vermutlich auch Chat-Inhalte nun als kompromittiert gelten. Die Bundesregierung vermutet einen staatlich gesteuerten Angreifer (öffnet in neuem Tab), mutmaßlich aus Russland, der gezielt Politiker, Militärs, Diplomaten und Journalisten ins Visier nimmt.
Signal selbst (öffnet in neuem Tab) betont, dass Verschlüsselung und Infrastruktur nicht gehackt wurden, sondern Nutzer über gefälschte „Support“-Nachrichten zur Herausgabe von Codes verleitet wurden. Die Message dahinter: Der Nachrichtendienst ist technisch robust, kann jedoch die Fehler seiner Nutzer nicht ausgleichen. An Kritik an der Reaktion des Unternehmens (öffnet in neuem Tab) mangelte es trotzdem nicht. So wurden Designschwächen, die Angreifern erlaubten, den Profilnamen “Signal Support” zu kapern, sowie fehlende Reaktionen auf bereits im Februar festgestellte Sicherheitshinweise kritisiert. Genau an dieser Schnittstelle zwischen sicherer App und unsicheren Umgangsformen mit Onlinediensten (öffnet in neuem Tab) offenbaren sich tiefer liegende Schwächen im digitalen Selbstschutz der Politik.
Was beim “Signal-Hack” wirklich passiert
Die aktuelle Angriffswelle kann als klassisches Beispiel des “Social Engineering” (öffnet in neuem Tab) verstanden werden. Damit ist ein Phänomen gemeint, bei dem Angreifer nicht technische Sicherheitslücken, sondern menschliche Eigenschaften wie Angst oder Vertrauen tangieren, um Personengruppen geschickt zu manipulieren. Konkret erhalten Betroffene Nachrichten vom „Signal-Support“, die um die Eingabe eines Codes bittet. Wer diesen Code teilt, ermöglicht Angreifern, ein neues Gerät mit dem eigenen Signal-Konto zu verknüpfen. Zwar bleibt der bisherige Chatverlauf verschlüsselt, aber schon der Zugriff auf aktuelle Kommunikation und Netzwerke ist in der politischen Sphäre hochsensibel.
Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) (öffnet in neuem Tab) und der Verfassungsschutz warnten bereits im Februar vor gezielten Angriffen auf Signal-Accounts von Personen in Politik, Militär und Diplomatie. Bereits damals lag der Verdacht auf staatlich gesteuerten Cyberakteure nahe. Angesichts des aktuellen Eklats verfestigt sich diese Vermutung und die Bundesanwaltschaft ermittelt wegen Spionageverdachts (öffnet in neuem Tab).
Wie geschützt sind Politiker auf Social Media wirklich?
Politikerinnen und Politiker gelten als Hochrisiko-Zielgruppe, nutzen aber meist dieselben Smartphones, Apps und Plattformen wie alle anderen, nur mit deutlich größerem Angriffsinteresse. Gerade Signal wird von vielen als besonders sicherer Messenger eingesetzt, weil Ende-zu-Ende-Verschlüsselung (öffnet in neuem Tab) Standard ist und der Quellcode offen liegt. Trotzdem machen die aktuellen Angriffe deutlich, dass der technische Vorsprung nichts nützt, wenn Alltagsroutinen, Schulungen und Prozesse nicht mithalten können.
Dass es so weit kommen konnte hat mehrere Gründe: Zum einen spielt die individuelle Medienkompetenz eine entscheidende Rolle. Viele politische Mandatsträger sind juristisch, wirtschaftlich oder politikwissenschaftlich ausgebildet, aber überraschend wenig in Themen der Cyber-Sicherheit geschult. Hinzu kommt eine klare Verantwortung von Organisationen, wie von Sicherheits- und Verfassungsschutzbehörden (öffnet in neuem Tab), die zwar konkret vor Angriffen gewarnt haben, aber offenbar zu spät oder zu wenig zielgruppengerecht, um das Verhalten wirklich zu verändern. Schließlich ist eine strukturelle Abhängigkeit nicht zu leugnen. Informelle Kommunikation über Messenger ersetzt immer öfter klassisch geschützte Kanäle, weil sie schneller und niedrigschwelliger ist.
Hinzu kommt: Was heute als „Social Media“ gilt, verwischt zunehmend. Messenger wie Signal und WhatsApp, klassische Plattformen wie Instagram oder X und halböffentliche Kanäle wie Broadcast-Listen verschmelzen zu einem durchgängigen Kommunikationsraum. Für Angreifer ist es zweitrangig, ob sie über Signal oder eine Direktnachricht auf Instagram einen Einstiegspunkt finden: Entscheidend ist, dass sie dort treffen, wo politische Kommunikation tatsächlich stattfindet.
Was Verbraucher jetzt tun können
Die schlechte Nachricht: Gegen ausgeklügelte Angriffe ist niemand völlig immun. Die gute Nachricht: Mit ein paar konsequenten Gewohnheiten (öffnet in neuem Tab) lässt sich das Risiko deutlich senken. Viele der Schutzmaßnahmen sind schnell umgesetzt und kosten vor allem Aufmerksamkeit statt Geld. Im BASECAMP Nachgefragt! (öffnet in neuem Tab) erklärte BSI Präsidentin Claudia Plattner kürzlich, welche einfachen Gewohnheiten dabei helfen können sich zu schützen.
- Misstrauen bei „Support“-Nachrichten: Ein seriöser Messenger-Support fragt niemals nach einem Bestätigungs- oder SMS-Code. Sobald eine Nachricht dazu auffordert, ist das ein klares Warnsignal. Im Zweifel sollte man die App schließen, neu öffnen und über die offiziellen Einstellungen prüfen, ob es wirklich ein Problem mit dem Konto gibt.
- Registrierungssperre und PIN aktivieren: In Signal und anderen Messengern lassen sich zusätzliche Sperren einrichten, etwa eine PIN oder ein Registrierungs-Lock. Damit können Angreifer dein Konto nicht ohne diese zweite Hürde auf einem neuen Gerät anmelden, selbst wenn sie an einen Code kommen sollten.
- Passkeys benutzen: Wo immer möglich, sollten statt klassischer Passwörter sogenannte Passkeys genutzt werden. Sie basieren auf kryptografischen Schlüsseln und sind deutlich resistenter gegen Phishing-Angriffe, da sie nicht einfach abgegriffen oder weitergegeben werden können.
- Geräteliste regelmäßig prüfen: Viele Apps zeigen an, auf welchen Geräten man aktuell eingeloggt ist. Wenn dort ein Smartphone oder Computer auftaucht, den man nicht kennt, sollte man sich sofort abmelden und die Passwörter ändern.
- Nummer und Profil sparsam teilen: Je weniger öffentlich eine Handynummer ist, desto schwieriger wird es für Angreifer, sie gezielt zu adressieren. Daher gilt: Telefonnummer nicht leichtfertig auf Websites oder Social Media posten und vielleicht sogar bei Visitenkarten lieber einmal mehr überlegen, ob es wirklich notwendig ist oder eine Festnetz-Weiterleitung es nicht auch tun würde. Bei unbekannten Anfragen lieber einmal zu viel als zu wenig nachfragen.
- Updates und Basis-Hygiene: Betriebssystem, Apps und Browser aktuell halten, Bildschirmsperre mit starkem Code oder biometrischen Merkmalen nutzen und keine Apps aus dubiosen Quellen installieren. Diese Basics sind unspektakulär, machen es aber Angreifern deutlich schwerer.
- In Zukunft: Perspektivisch wird auch die EUID Wallet eine wichtige Rolle spielen. Sie soll es ermöglichen, digitale Identitäten sicher und kontrolliert zu verwalten und sich gegenüber Diensten zu authentifizieren, ohne sensible Daten unnötig preiszugeben.
Entscheidend ist eine Haltungsänderung: Digitale Sicherheit ist kein Spezialthema für IT-Profis, sondern Teil der eigenen Alltagskompetenz, ähnlich wie der Blick nach links und rechts im Straßenverkehr. Wer lernt, typische Maschen wie Phishing zu erkennen und ein paar Schutzfunktionen konsequent zu nutzen, macht es Angreifern auf Signal, WhatsApp und anderen Plattformen spürbar schwerer.
Brauchen wir „sichere“ Alternativen – oder bessere Gewohnheiten?
Die erste Reaktion auf Sicherheitsvorfälle ist oft der Ruf nach neuen Plattformen, strengeren Regeln oder gar Verboten. Auch in der aktuellen Diskussion wird infrage gestellt, ob Signal noch das geeignete Werkzeug (öffnet in neuem Tab) für politische Kommunikation sei. Konkret stellte Bundestagspräsidentin Klöckner die Messenger App Wire vor, die anders als die meisten anderen Apps nur über E-Mail-Adressen Anmeldung funktioniert und dazu noch “über eine Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik” (öffnet in neuem Tab) verfügt.
Sinnvoller als der Sprung auf vermeintlich „noch sicherere“ Nischenlösungen ist eine realistische Risikoabwägung: Sichere Messenger wie Signal oder Matrix können nur im Zusammenspiel mit sauber aufgesetzter Infrastruktur, klaren Regeln und gelebter Sicherheitskultur wirken. Ein Wechsel der App löst das Problem nicht, wenn dieselben Codes sorglos geteilt werden, Warnsignale ignoriert und Trainingsangebote aus Zeitmangel weggedrückt werden. Gleichzeitig braucht es aber auch politische Entscheidungen für robustere, möglichst souveräne Infrastrukturen, die mit den Anforderungen einer digitalisierten Demokratie Schritt halten.
Josef Schleghuber, Head of Financial Risk Management bei Telefónica, fasst die Situation so zusammen:
„Betrugsbekämpfung ist mehr denn je eine gesamtgesellschaftliche Aufgabe, zu der alle Beteiligten, Kunden, Unternehmen, Ermittlungsbehörden und der Gesetzgeber einen Beitrag zu leisten haben. Sektorübergreifende Zusammenarbeit, der Einsatz neuster Technologie, Prinzipien wie Security by Design sowie ein angemessener rechtlicher Handlungsspielraum sind unabdingbar“.
Am Ende steht eine unbequeme Einsicht: Unsere Politiker sind auf Social Media und Messengern nur so gut geschützt wie die schwächste Kombination aus App-Design, Behördenstrategie und persönlicher Aufmerksamkeit. Die Signal-Hack-Welle zeigt, dass alle drei Ebenen Luft nach oben haben und dass digitale Resilienz längst zu einer Kernkompetenz des politischen Handwerks geworden ist.
Mehr Informationen:
Cyberarchitektur: Stresstest für den digitalen Staat
Digitale Souveränität: Europas Verteidigung im Cyberzeitalter
NIS2, KRITIS und CRA: Deutschlands langer Weg zu einer umfassenden Cybersicherheitsarchitektur
Empfehlung der Redaktion
Autor:in
