Die Sicherheit von Messenger-Diensten wie Signal und WhatsApp basiert maßgeblich auf ihrer starken Ende-zu-Ende-Verschlüsselung. Das macht sie nun zum Ziel einer „großangelegten weltweiten“ Spionagekampagne, warnen die niederländischen Geheimdienste MIVD und AIVD, die für die Bereiche Militär sowie Inlandsschutz und Spionageabwehr zuständig sind. Russische Staatshacker versuchten derzeit weltweit, Zugriff auf die Konten von hochrangigen Würdenträgern, Militärpersonal und Regierungsbeamten zu erlangen.

Laut dem Hinweis der beiden Spionagebehörden stehen auch Journalisten und andere Personen von strategischem Interesse für den russischen Staat im Fadenkreuz der Operation. Diese mache deutlich, dass die sicherste Verschlüsselung wenig bringe, wenn der Zugang zum Endgerät oder zum Nutzerkonto selbst kompromittiert werde.

Social Engineering statt Software-Exploits

Die Angreifer verwenden laut MIVD und AIVD keine technischen Schwachstellen oder Zero-Day-Exploits in der Software der Messenger. Stattdessen setzten sie auf manipulatives Social Engineering, um legitime Funktionen der Apps gegen die Nutzer zu verwenden, heißt es. Eine häufig beobachtete Methode sei die Täuschung über gefälschte Support-Chatbots. Die staatlichen Hacker gäben sich etwa als offizieller Signal-Support aus und versuchten, den Opfern Verifizierungs- oder PIN-Codes zu entlocken. Sobald ein Nutzer solche Informationen preisgibt, können die Angreifer das Konto auf einem eigenen Gerät übernehmen.

Eine weitere Taktik soll der Missbrauch der Funktion für verknüpfte Geräte sein. Dabei koppelten die Angreifer heimlich ein weiteres Gerät mit dem bestehenden Account. Dies ermögliche es ihnen, alle ein- und ausgehenden Nachrichten in Echtzeit mitzulesen, ohne dass das Opfer den Fernzugriff unmittelbar bemerke.

Die Folgen einer erfolgreichen Übernahme können gravierend sein. Die Übeltäter lesen nicht nur private Chats mit, sondern erhalten auch Zugriff auf alle Gruppenunterhaltungen, in denen das Opfer Mitglied ist. In diesen Kanälen vermuten die russischen Akteure sensible Informationen, die aufgrund des hohen Vertrauens in die App-Sicherheit dort oft unvorsichtig geteilt werden. Um der Bedrohung entgegenzuwirken, haben die niederländischen Behörden einen Leitfaden veröffentlicht, der Nutzer für verdächtige Anzeichen sensibilisieren soll.

Prävention und Identifikation verdächtiger Accounts

Die Geheimdienste raten dazu, bei jedem Verdacht auf Unregelmäßigkeiten sofort die zuständigen IT-Sicherheitsstellen zu informieren. Die Identität verdächtiger Konten sollte über alternative Kommunikationswege wie E-Mail oder Telefon verifiziert werden. Erhärte sich ein Verdacht, müssten die betroffenen Accounts umgehend durch den Gruppenadministrator entfernt werden. Falls der Administrator selbst kompromittiert zu sein scheint, bleibt als sicherste Option nur das Verlassen der bestehenden Gruppe und die Eröffnung eines neuen, gesicherten Kommunikationskanals.

Die Spionageaktivitäten finden vor dem Hintergrund einer verschärften Internetzensur in Russland seit Beginn der Ukraine-Invasion statt. Dienste wie WhatsApp und Signal sind in Russland bereits offiziell gesperrt. Zuletzt geriet auch Telegram verstärkt unter Druck. Gegen dessen Gründer Pawel Durow ermitteln russische Behörden im Rahmen eines Strafverfahrens. Sie werfen ihm die Unterstützung terroristischer Aktivitäten vor, da der Messenger angeblich bei zahlreichen Straftaten als Werkzeug genutzt worden sei. Durow selbst hat Russland bereits vor Jahren verlassen, um dem wachsenden Einfluss des Staates auf seine Plattform zu entgehen.

Die gleichzeitige Verfolgung von Plattformbetreibern im Inland und die gezielten Angriffe auf ausländische Nutzerkonten verdeutlichen die Doppelstrategie des Kreml: Er will die Kontrolle über den digitalen Informationsraum sowohl defensiv als auch offensiv sichern.

(nie)

Manchmal vollzieht sich Wandel so langsam, dass man ihn kaum bemerkt. Jahrzehntelang wurde marktmächtigen Netzbetreibern wie der Telekom Deutschland besonders genau auf die Finger geschaut, damit sich in dem einst monopolisierten Bereich so etwas wie Wettbewerb entwickeln kann. Schritt für Schritt wird dieser „asymmetrische“ Ansatz nun abgebaut.

Zuletzt war es Digitalminister Karsten Wildberger (CDU), der vergangene Woche einen lange erwarteten Gesetzentwurf vorgelegt hat. Dieser „zielt darauf ab, bürokratische Hürden zu senken, Rahmenbedingungen zu verbessern und den Netzausbau zu beschleunigen“, wie ihn das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) beschreibt.

Demnach soll es der Bundesnetzagentur künftig möglich sein, „Zugangsverpflichtungen zu Netzen bzw. Netzelementen aufzuerlegen, die von anderen Unternehmen aufgrund wirtschaftlicher oder physischer Hindernisse nicht repliziert werden können“, heißt es im Entwurf. Die Regelung werde „symmetrisch“ gelten, also „für alle Unternehmen unabhängig von beträchtlicher Marktmacht“, schreibt das Digitalministerium (BMDS) unmissverständlich.

Mehr Spielraum für die Telekom – mit Auflagen

Erst kürzlich hat die Bundesnetzagentur bekannt gegeben, in vier deutschen Städten erstmals von asymmetrischer Vorab-Regulierung der bundesweiten Marktführerin abrücken zu wollen. Begründet hat sie dies mit den sinkenden Marktanteilen der Telekom und dem robusten Wettbewerb, der in den Städten herrsche. Eben diese entscheidende Stütze bei der Bewertung des regulatorischen Augenmaßes soll nun entfallen.

Das heißt nicht, dass die Telekom künftig im ganzen Land ungehindert schalten und walten kann, wie es ihr gefällt. Selbst wenn der BMDS-Vorschlag in der vorliegenden Form durchginge, sieht das Ministerium ein mehrstufiges Verfahren vor, bevor sie Zugangsverpflichtungen auferlegen kann.

Zunächst soll die Netzagentur festlegen, in welchen Gebieten nur ein Glasfasernetz wirtschaftlich tragfähig ist. Dort tätige Betreiber wären dann verpflichtet, in Verhandlungen „über einen offenen Netzzugang zu fairen und angemessenen Bedingungen“ einzutreten. Den Rahmen dafür soll die Regulierungsbehörde abstecken und dabei auch Entgeltmaßstäbe festlegen. Scheitern die Verhandlungen, kann sie den Zugang zum fremden Netz anordnen.

Mehr Glasfaser, weniger Doppelausbau

Offenkundig will das BMDS damit mehrere Fliegen mit einer Klappe schlagen. Zum einen klagen Wettbewerber der Telekom seit Jahren über sogenannten Doppelausbau. Den Vorwurf, die Telekom würde strategisch die Glasfasernetze ihrer Konkurrenz überbauen, konnte eine eigens eingerichtete Monitoringstelle zwar nicht belegen. Indes ändert dies nichts daran, dass sich der teure Ausbau mehrerer Netze in dünn besiedelten Regionen oft schlicht nicht rechnet – und dort kein Infrastrukturwettbewerb entstehen kann, der weiterhin den Rahmen vorgibt.

Zum anderen bereitet sich das BMDS auf die anstehende Migration von althergebrachter Kupferinfrastruktur auf moderne Glasfaserleitungen vor. Bevor DSL-Anschlüsse abgeschaltet werden können, brauche es ein „funktionierendes Zugangsregime zu den korrespondierenden Glasfasernetzen“, heißt es im Gesetzentwurf. Anstatt aufwändiger Einzelverfahren, die laut BMDS in der Praxis bislang keine Anwendung fanden, soll ein bundesweit einheitliches Verfahren samt zentraler Zugangsbedingungen die Kosten senken und zugleich die Wahlmöglichkeiten für Nutzer:innen in Gebieten mit nur einem Netzbetreiber verbessern.

Freiwilliger Ansatz gescheitert

Über diese eng miteinander verknüpften Punkte diskutiert die Branche seit Jahren im Gigabitforum. Dort kommen Netzbetreiber, Regulierungsbehörden und Ministerien zusammen, um sich auf den richtigen Rahmen der deutschen Ausbaupolitik zu verständigen. Auf eine gemeinsame, auf Freiwilligkeit basierende Linie konnten sie sich dort jedoch nicht einigen, wie der Gesetzesentwurf ausführt. Existierende Open-Access-Dienstleistungen hätten bestenfalls bilaterale Abkommen ermöglicht. Zu einer branchenweiten Lösung hat es bislang nicht gereicht.

Dass nun viele kleinere Netzbetreiber auf die Barrikaden steigen, verwundert nicht. Unter Umständen müssten sie in Regionen, die sie – womöglich exklusiv – mit Glasfaserleitungen ausgebaut haben, ausgerechnet die Telekom in ihre Netze lassen. Ihr Wettbewerbsvorteil, oder gar ihr regionales Glasfasermonopol, wäre dann dahin.

Betreiberverbände warnen vor „ökonomischem Druck“

So verweisen Betreiberverbände auf den ökonomischen Druck, der freiwillige Open-Access-Modelle attraktiv mache oder warnen vor verunsicherten Investoren. Zudem trage auch die Marktführerin Schuld, indem sie eine aggressive Re-Monopolisierungsstrategie fahre: „Open Access scheitert heute nicht am Angebot, sondern einzig an der Verweigerung der Telekom“, schreibt etwa der Betreiberverband BREKO.

Dagegen betont das BMDS, genügend Sicherungen eingebaut zu haben, um ausbauenden Unternehmen Planungssicherheit zu bieten. Der Fokus auf wirtschaftlich unattraktive Gebiete sowie regulierte Zugangsbedingungen sollen sicherstellen, dass Investitionen in Glasfaser weiter fließen und zugleich ein missbräuchlicher Doppelausbau verhindert wird.

Wer hierbei mehr vom Zuckerbrot abbekommen wird als von der Peitsche, bleibt vorerst offen: Netzbetreiber und Investoren würden geänderten Rahmenbedingungen mit neuen Kalkulationen begegnen, während die Telekom weiterhin ein ungebrochenes Interesse daran hat, ihre Vormachtstellung auf dem Breitbandmarkt zu erhalten.

Still und leise entstehen Open-Access-Netze

Als lachender Sieger könnten am Ende vielleicht sogar jene Projekte dastehen, die besonders lange für den Ausbau brauchen. Rund 21 Milliarden Euro haben Bundesregierungen über einen Zeitraum von zehn Jahren inzwischen in den staatlich geförderten Ausbau gesteckt. Trotz des Schneckentempos hat sich vor allem in bislang digital abgehängten Regionen die Breitbandsituation spürbar verbessert – und das, obwohl viele der derzeit knapp 4.000 Ausbauprojekte noch nicht fertiggestellt sind.

Für derart geförderte Netze, die mitunter von regionalen Stadtwerken gebaut werden, besteht bereits heute eine Open-Access-Pflicht. Im Idealfall werden Kund:innen dann per Mausklick ihren Anbieter wechseln können, wie dies etwa in Schweden vielerorts möglich ist. Das dürfte vor allem der Telekom die Schweißperlen auf die Stirn treiben, denn das Internet hört bei der sogenannten letzten Meile nicht auf, sondern beginnt aus Sicht von Nutzer:innen dort erst. Taktiken wie absichtlich geschaffene, künstliche Engpässe, die Telekom-Kund:innen über tröpfelnde Daten zu bestimmten Internet-Diensten klagen lassen, könnten dann über Nacht verschwinden.

Das niederländische Verteidigungsministerium sagt, dass Russland hinter der seit September 2025 laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. In Deutschland hatte netzpolitik.org zuerst darüber berichtet, dass zahlreiche, vor allem investigative Journalist:innen von dem Angriff betroffen sind.

In der Folge warnten BSI und Verfassungsschutz vor den Attacken und nannten diese „wahrscheinlich staatlich gesteuert“. In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl die militärischen als auch der zivilen Geheimdienste MIVD und AIVD nun von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. In dem Text werden allerdings keine Belege für diese Behauptung geliefert. Netzpolitik.org hat Hinweise, die die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Mehrere Indizien sprechen für Russland

Nach Recherchen von netzpolitik.org gibt es mehrere Indizien, die auf eine russische Urheberschaft deuten könnten. Ein Linguist, mit dem netzpolitik.org gesprochen hat, erklärte, dass der erste Phishing-Text, über den wir damals berichtet haben, auf eine Urheberschaft aus dem slawischen Sprachraum hinweisen könnte. So wurden im Text mehrere für Sprecher:innen dieser Sprachen typische Fehler beim Artikelgebrauch gemacht.

In eckigen Klammern haben wir markiert, wo die jeweiligen Artikel fehlten:

Dear User, this is [the] Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to [a] data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass [a] verification procedure, entering the verification code to [the] Signal Security Support Chatbot.“

Diese Fehler können ein Hinweis auf eine slawische Sprache wie das Russische sein. Das Zuschreiben von Urheberschaft ist jedoch schwierig, da der Angreifer auch mit absichtlich eingebauten Fehlern eine falsche Fährte legen könnte, damit zum Beispiel Russland verdächtigt wird.

Ähnliche Angriffe in Armenien, Belarus und Großbritannien

Ein weiteres Indiz für die Russland-These sind ähnliche Angriffe in anderen Ländern. So berichtete das Resident NGO Threat Lab im Oktober vergangenen Jahres von einem Angriff auf belarussische Oppositionelle und Journalist:innen im Ausland. Die Masche war hier textlich abgewandelt, der Angreifer trat aber auch unter dem Namen „Signal Support“ auf und schürte ebenso Angst, dass es einen Angriff auf den Account gegeben habe. Die Sicherheitsforscher vermuteten damals allerdings belarussische Angreifer hinter der Attacke.

Einen weiteren Angriff nach ähnlichem Muster gab es laut Cyberhub.am im Januar 2026 in Armenien, wo mindestens ein armenischer Journalist attackiert worden sein soll. Hier agierte wieder der angebliche „Signal Security Support Chatbot“ und warnte vor einem Angriff auf das Telefon des Opfers. Auch hier gingen die Sicherheitsexperten davon aus, dass der Angegriffene gezielt ausgewählt worden sei.

Im Dezember hatte auch der Guardian über Phishing-Attacken auf Mitglieder des britischen Parlaments berichtet. Unter Berufung auf das National Cyber Security Centre (NCSC) des britischen Geheimdienstes GCHQ hatte die dortige Parlamentsbehörde in einem Warnschreiben an die Parlamentarier:innen auf eine russische Urheberschaft verwiesen.

Die eindeutige Attribution ist bei Hackerangriffen in der Regel sehr schwierig, da es viele Faktoren gibt, um die Herkunft eines Angriffs zu verschleiern oder falsche Fährten zu legen. Dazu kommen politische Interessen bei der Zuweisung der Urheberschaft und der Drahtzieher, die sich in einer kriegerischen Auseinandersetzung wie dem Angriffskrieg gegen die Ukraine noch verschärfen. Es bleiben statt tatsächlicher Beweise oft nur Anhaltspunkte und Indizien und Überlegungen dahingehend, wem ein erfolgreicher Angriff nutzen würde.

Als Redaktion haben wir uns deswegen bis heute mit Thesen zur Attribution des Angriffs zurückgehalten und werden dies auch weiter tun, da es sich hier nur um Indizien handelt.

Zahlreiche Journalist:innen im Visier bei Attacke über Signal-Messenger

So geht der Phishing-Angriff

Bei dem Phishing-Versuch, der seit September 2025 im Umlauf ist, verschicken die Angreifer eine Nachricht über den Messenger Signal, bei der sie sich als „Signal Support“ ausgeben und behaupten, dass es verdächtige Aktivitäten auf dem Handy sowie den Versuch gegeben habe, auf private Daten zuzugreifen. Deswegen müssten die Betroffenen den Verifikationsprozess von Signal erneut durchlaufen und den Verifikationscode dem vermeintlichen „Signal Security Support ChatBot“ übermitteln. In der Folge versuchen sie, auch die Signal-PIN zu ergattern. Gibt der Angegriffene beide Codes weiter, können die Angreifer den Account übernehmen und dann zukünftige Chats sowie Kontakte, Chatgruppen und Netzwerke auslesen.

Die Textnachrichten der Angreifer beim Vorgehen können sich dabei ändern. Mittlerweile sind Nachrichten des falschen „Signal Support“ im Umlauf, die behaupten, dass man den Verifikationscode und die PIN wegen einer Zwei-Faktor-Authentifizierung herausgeben solle. Die Sicherheit und Vertraulichkeit des Messengers Signal ist bei den Attacken nicht selbst betroffen, wenn die Angegriffenen den Versuch einfach „Blockieren und Melden“.

Hochrangige Ziele betroffen

Zusammen mit Netzwerk Recherche hat netzpolitik.org Informationen gesammelt, wer wann die Phishing-Attacke erhalten hat. Demnach sind in Deutschland deutlich mehr als 100 Journalist:innen aller Mediengattungen und zahlreicher Medienhäuser betroffen. Unter den Angegriffenen sind viele aus dem investigativen Bereich sowie mehrere sehr prominente Vertreter:innen der Medienbranche.

Zudem sind netzpolitik.org Attacken auf Bundestagsabgeordnete und deren Büro-Mitarbeitende sowie auf prominente Vertreter:innen der Zivilgesellschaft bekannt. Laut Bundesamt für Verfassungsschutz sind zudem „hochrangige Ziele aus Politik, Militär und Diplomatie“ betroffen. Eine ähnliche Zielgruppe ist auch in den Niederlanden betroffen.

Die Angriffe laufen nach Informationen von netzpolitik.org seit September 2025. Dabei wurden manche Personen auch schon mehrfach von den Angreifern angeschrieben, manche bis zu vier Mal.

Die Niederlande geht davon aus, dass die russischen Hacker mit diesen Angriffen „wahrscheinlich Zugang zu sensiblen Informationen erhalten“ haben. Davon ist nach Informationen von netzpolitik.org auszugehen: In mindestens einem Fall hat der Angriff nach unseren Informationen in Deutschland geklappt, in mindestens einem weiteren Fall auch in einem anderen europäischen Land. Es ist davon auszugehen, dass die Dunkelziffer höher ist, da sich Betroffene dafür schämen könnten, Opfer des Angriffs geworden zu sein.

Wenn du Ziel dieses Angriffs geworden bist, Zugriff auf deinen Signal-Account auf diese Weise verloren hast oder weitergehende Informationen und Hinweise zu diesem Angriff hast, wende dich vertrauensvoll an uns für weitere Nachforschungen und Recherchen.