Die Hinweise auf eine russische Urheberschaft der Phishing-Attacken auf die Messenger Signal und WhatsApp verdichten sich. Das Medienhaus Correctiv hat nun den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auf digitale Spuren gestoßen, die nach Russland führen.

Seit Monaten werden vorrangig Personen aus Politik, Militär und Journalismus gezielt mit einer Phishing-Attacke auf den Messengern Signal und WhatsApp angegriffen, wie netzpolitik.org im Januar berichtete. Anfang Februar warnten der deutsche Verfassungsschutz und das BSI vor dem Angriff und verwiesen auf „wahrscheinlich staatlich gesteuerte Cyberakteure“.

Nachdem niederländische Geheimdienste den Angriff Russland zugeschrieben hatten, veröffentlichte netzpolitik.org weitere Hinweise auf diese Spur, deren Muster sich zudem in Belarus und Armenien beobachten lässt. Am vergangenen Freitag haben nun auch das US-amerikanische FBI und die IT-Sicherheitsbehörde CISA die Attacke russischen „Cyberakteuren“, die mit russischen Geheimdiensten in Verbindung stünden, zugeschrieben.

Russisches Hosting und Phishing-Programm

Die Recherche von Correctiv untermauert nun diese Behauptung. So konnte Correctiv die laufende Angriffswelle in Deutschland mit früheren Kampagnen in der Ukraine und Moldau in Verbindung bringen. Zudem konnte Correctiv die Nutzung des russischen Hosting-Dienstleisters Aeza und den Einsatz eines russischen Phishing-Programms Defisher nachweisen. In Kombination mit dem politischen Zuschnitt spreche dies dafür, dass es sich um eine zusammenhängende politische Kampagne handle, die ihren Ursprung in Russland habe, folgern die Rechercheure.

Eine Auftraggeberschaft des russischen Staates kann dies nicht beweisen. Die eindeutige Attribution ist bei Hackerangriffen in der Regel sehr schwierig, da es viele Faktoren gibt, um die Herkunft eines Angriffs zu verschleiern oder falsche Fährten zu legen. Dazu kommen politische Interessen bei der Zuweisung der Urheberschaft und der Drahtzieher, die sich in einer militärischen Auseinandersetzung wie dem Angriffskrieg gegen die Ukraine noch verschärfen.

Wie kann man sich schützen?

„Diese Angriffe nutzen keine Schwachstelle in der Signal-Anwendung selbst aus. Signal ist nach wie vor eine der sichersten und am weitesten verbreiteten verschlüsselten Messaging-Apps“, sagte Donncha Ó Cearbhaill, Leiter des Security Lab bei Amnesty International im Januar gegenüber netzpolitik.org.

Von Signal selbst hieß es damals gegenüber netzpolitik.org: „Signal wird Sie niemals in irgendeiner Form über einen Zwei-Wege-Chat innerhalb der App kontaktieren.“ Zudem sollten die Nutzer:innen die Registrierungssperre aktivieren. Das geht unter „Einstellungen“ –> „Konto“ und dann den Schieberegler bei „Registrierungssperre“ aktivieren. Zudem sagt Signal: „Geben Sie Ihre Signal-PIN oder Registrierungssperre niemals an Dritte weiter.“

Wenn eine Nachricht eines bislang unbekannten Accounts mit dem beschriebenen oder einem ähnlichen Inhalt ankommt, sollte man die ankommende Nachricht „melden“ und dann „melden und blockieren“ klicken. In keinem Fall sollte man den Anweisungen folgen, weil Signal niemals Nutzer:innen auf einem solchen Weg kontaktieren würde.

Sollte in Chats die Nachricht auftauchen, dass sich die Sicherheitsnummer eines Kontakts geändert hat, bedeutet das häufig nur, dass dieser ein neues Handy hat. Dennoch sollte man immer in solchen Situationen auf einem anderen Kanal als dem Signal-Textchat bei dem betreffenden Kontakt nachfragen, warum sich dessen Sicherheitsnummer geändert hat.

Für die Überprüfung eignet sich in der Regel ein Telefonat oder noch besser ein Videotelefonat. Ratsam ist zudem, sich alle mit Signal verbundenen eigenen Geräte anzeigen zu lassen und nicht mehr benötigte zu löschen.

Wer sein iPhone noch nicht auf den allerneuesten Software-Stand gebracht hat, sollte das genau jetzt nachholen – und iOS 26.3.1 respektive 26.3.1 (a) installieren. Falls noch nicht eingespielt, steht das Update über „Einstellungen > Allgemein > Softwareupdate“ zum Download bereit. Neuere iPhones (ab iPhone 11), die immer noch mit iOS 18 betrieben werden, sollten ebenfalls dringend auf die aktuelle iOS-26-Version upgraden. Die für diese Geräte letzte verfügbare iOS-Version 18.7.2 gilt nicht mehr als sicher.

Malware lässt sich angeblich leicht umfunktionieren

Unbekannte haben das mächtige, bereits für Angriffe eingesetzte Exploit-Kit „DarkSword“ offenbar auf Github veröffentlicht – und damit praktisch frei zugänglich gemacht. Weitere Kriminelle können den Code dadurch leicht für eigene Angriffe nutzen. Die DarkSword-Spyware nutzt eine ganze Kette an Schwachstellen in den Apple-Betriebssystemen, um nicht gepatchte iPhones etwa allein bei Aufruf einer manipulierten Webseite zu kompromittieren und sensible Daten von den Geräten zu extrahieren. Die nun frei verfügbare Malware „lässt sich viel zu einfach umfunktionieren“, zitiert Techcrunch einen Sicherheitsforscher von iVerify, der DarkSword analysiert hat – „das ist übel“. Er glaube nicht, dass sich das „noch eindämmen lässt“.

Nach offensichtlich beispiellosen Malware-Angriffen auf iPhones hat Apple seine Kunden in der vergangenen Woche dazu aufgefordert, iOS zu aktualisieren, „um das iPhone vor Angriffen aus dem Internet zu schützen“. Sicherheitsforscher haben zum ersten Mal breitflächige Angriffe durch die zwei hochkomplexen Exploit-Kits Coruna und DarkSword protokolliert, die wohl für staatliche Überwachung entwickelt wurden – und dann Hacker-Gruppen in die Hände gefallen sind. Die Malware wurde anschließend offenbar auch wahllos gegen iPhone-Nutzer in der Ukraine, Türkei und Saudi-Arabien eingesetzt und sollte etwa Informationen über Kryptowallets klauen.

Viele Apple-Patches, einige Sonderfälle

„Geräte, auf denen die neuesten Updates von iOS 15 bis iOS 26 installiert sind, sind bereits geschützt“, erläuterte der Hersteller. Das bedeutet aber auch, dass Nutzer die allerneueste, für ihr Gerät verfügbare Version einspielen müssen – und etwa von iOS 18 auf iOS 26 umsteigen, falls das Update angeboten wird. Inwiefern ältere Betriebssystemversionen komplett geschützt sind, bleibt offen; sämtliche bekannten Sicherheitslücken patcht Apple nämlich nur noch in der allerjüngsten Version seiner Systeme. Patches für ältere Systemversionen gibt es dann nur noch für bestimmte Gerätereihen, die keine neuere iOS-Version mehr erhalten. Als Schutz auf älteren Geräten kann auch die Aktivierung des Blockierungsmodus’ (Einstellungen > Datenschutz & Sicherheit > Blockierungsmodus) dienen, wie Apple anmerkt. Dieser schränkt allerdings bestimmte Funktionen ein.

Angriffe auf iPads und Macs wurden bislang nicht dokumentiert, von den Exploit-Kits genutzte Lücken gibt es dort aber ebenso. Nutzer sollten also auch auf diese Geräte möglichst auf Version 26.3.1 aktualisieren.

(lbe)

Von ungefähr 13.000 Menschen sprachen die Veranstalter*innen, von 6.700 die Polizei. Am Sonntag protestierten Tausende vor dem Brandenburger Tor in Berlin für besseren Schutz vor digitaler Gewalt. Sie zeigten Plakate mit der Aufschrift: „Nicht wütend genug“ oder „Gewalt gegen Frauen gefährdet Demokratie“. Der Grund dafür ist der Fall der Schauspielerin Collien Fernandes.

Seit Jahren kursieren von ihr nicht-einvernehmliche sexuelle Deepfakes. Bereits 2024 erschien eine ZDF-Dokumentation mit Fernandes: Jagd nach den Tätern. Seit einem Bericht des Spiegel sind ihre Erfahrungen wieder in den Schlagzeilen, und Reaktionen aus Politik und Zivilgesellschaft überschlagen sich. Früher als geplant will das Justizministerium ein Gesetz vorlegen zum Schutz vor digitaler Gewalt.

Eine wertvolle Gelegenheit

Mit dem Fall Fernandes bekommt ein Thema Momentum, das lange unter dem Radar der breiten Öffentlichkeit war. Rund ein Vierteljahrhundert nach den ersten Spuren des Begriffs steht digitale Gewalt in Deutschland wie nie zuvor im Fokus. Verschiedene Formen digitaler und häuslicher Gewalt bekommen mit Collien Fernandes ein Gesicht und eine Fürsprecherin. Damit bietet sich eine seltene und wertvolle Gelegenheit, Betroffenen eine Stimme zu geben – und ihren politischen Forderungen.

Ein solches politisches Momentum ist mächtig, es lauern aber zwei Gefahren. Erstens kann das Momentum schnell wieder verpuffen, denn Nachrichtenzyklen sind oft kurzlebig. Zweitens kann sich das Momentum an Forderungen festmachen, die Betroffenen wenig oder nur scheinbar helfen.

Innerhalb kürzester Zeit hat sich Bundesjustizministerin Stefanie Hubig (SPD) geäußert. Sie hat auf ihre – bereits länger laufende – Arbeit an einem Gesetz gegen digitale Gewalt verwiesen. Geplant ist unter anderem eine neue Strafbarkeit für sexualisierte Deepfakes, die seit der neuen EU-Richtlinie zur Bekämpfung von Gewalt gegen Frauen allerdings ohnehin Pflicht ist. Vor klaffenden Lücken beim Schutz vor bildbasierter Gewalt warnen Fachleute bereits seit Jahren. Erste Teile des Entwurfs kursieren schon, wir werden ihn zeitnah analysieren.

Achtung: Vorratsdatenspeicherung

Verwiesen hat die Justizministerien allerdings auch auf die bereits im Koalitionsvertrag vereinbarte Einführung der Vorratsdatenspeicherung. Mit Vorratsdatenspeicherung gegen digitale Gewalt? Wenn Netzbetreiber IP-Adressen und Portnummern auf Vorrat speichern müssen, ist das grundrechtlich kritisch. Das sehen auch Fachleute für digitale Gewalt so. Ende 2024 hat die Initiative „Ein Team gegen digitale Gewalt“ gemeinsam mit 60 weiteren Organisationen und Projekten ein umfassendes Forderungspapier vorgelegt. Darin heißt es:

Schutz vor digitaler Gewalt begründet keine Grundrechtseinschränkungen. Es ist im Interesse der Betroffenen, auf Repressions- und Verfolgungsmaßnahmen zu verzichten, die zwar den Straftäter aufspüren, aber auch die Betroffenen und die Gesamtgesellschaft vulnerabler machen.

Stattdessen sollten „Möglichkeiten ausgeschöpft und erprobt werden, die keine oder weniger negative Effekte haben“. Als konkrete Maßnahmen nennt das Papier Werkzeuge mit weniger Kollateralschäden wie etwa Login-Falle und Quick-Freeze-Verfahren.

Wie viel ist dem Staat der Schutz vor digitaler Gewalt wert?

Ein neues Bündel an Forderungen steht in einem neuen 10-Punkte-Papier, das mehr als 250 namhafte Frauen unterzeichnet haben. Manche der Forderungen sind spezifisch, andere breit. Die Strafbarkeit für sexualisierte Deepfakes (Forderung eins) zum Beispiel zielt auf jene konkrete Reform im Strafgesetzbuch, die das Justizministerium bereits plant. Weitaus größer ist allerdings Forderung fünf: Hier geht es um „Schutzstrukturen“ in der Breite nach dem Vorbild des spanischen Modells.

Dieses spanische Modell umfasst Prävention, Schutz und Strafverfolgung; ein Netz aus Unterstützungsdiensten und spezialisierten Staatsanwaltschaften, wie es der Verein Frauenhauskoordinierung zusammenfasst. Im Vergleich zu einer Strafrechtsreform geht es hier also auch um viel Geld für Personal, Behörden und Fortbildungen. Es geht um Menschen in Polizei und Justiz, die Zeit und Expertise brauchen, um Betroffene und ihre Erlebnisse ernst nehmen zu können. Um Menschen in Beratungsstellen, die Betroffenen Zeit und Rat geben sollen. Um Frauenhäuser, bei denen Betroffene Schutz und Zuflucht finden.

Bezeichnenderweise soll Fernandes ihre Anzeige nicht in Deutschland eingereicht haben, sondern in Spanien. Nicht nur, weil sie auf Mallorca einen Wohnsitz habe, sondern auch aufgrund der besseren Rechtslage. Für das deutsche Schutzsystem ist das ein bitteres Zeugnis. Selbst wenn sich jetzt ein politischer Wille formt, das System zu verbessern: Das wird Jahre dauern, länger als ein typischer Nachrichtenzyklus.

Erst vor wenigen Wochen hatten wir acht deutsche Organisationen gefragt: „Was brauchen Betroffene digitaler Gewalt am dringendsten?“ Aus den zahlreichen Antworten lässt sich eine wichtige Forderung kondensieren: Es muss mehr Geld ins Hilfesystem fließen.

Dieser Aspekt kann schnell unter den Tisch fallen, wenn Politik und Nachrichtenmedien über vergleichsweise kostengünstige Verschärfungen im Strafrecht sprechen. Oder über Vorratsdatenspeicherung, die ohnehin längst auf dem Wunschzettel der schwarz-roten Koalition stand.

Wie viel ist dem Staat der Schutz vor digitaler Gewalt wirklich wert? Genau hier gilt es den Finger in die Wunde zu legen, wenn es darum geht, das Momentum des Falls Fernandes im Sinne der Betroffenen zu nutzen.