Bundestag und Bundesregierung erst im Februar vor Attacke gewarnt

Der für Spionageabwehr zuständige Verfassungsschutz (BfV) hat Bundestag und Bundeskabinett erst am 6. Februar vor der laufenden Signal-Phishing-Attacke gewarnt. Das bestätigte ein Sprecher des Bundesinnenministeriums indirekt gegenüber netzpolitik.org.

Die Attacke hatte zuletzt an Brisanz gewonnen, weil herauskam, dass offenbar zwei Bundesministerinnen und die Bundestagspräsidentin auf die Masche hereingefallen sind und damit ihre Accounts gegenüber dem Angreifer offengelegt haben. Sicherheitskreise gehen von rund 300 Betroffenen aus und davon, dass „zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“, warnte das BfV in einem Schreiben an die Bundestagsfraktionen.

Nach Informationen von netzpolitik.org läuft die Phishing-Kampagne gegen hochrangige Vertreter:innen aus Politik, Militär und Journalismus allerdings schon mindestens seit September 2025. Sie erreichte laut unseren Recherchen im November und Dezember letzten Jahres einen ersten Höhepunkt, bevor sie sich im Januar ausweitete.

Bekannt wurde die Attacke in Deutschland, als netzpolitik.org am 28. Januar darüber berichtete, dass zahlreiche Journalist:innen im Visier stünden. Gut eine Woche nach dem Bericht warnten dann BfV und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Angriffswelle. Mittlerweile haben die Behörden ein weiteres Update der Warnung samt Handlungsleitfaden veröffentlicht.

Wann wurden die Accounts kompromittiert?

Unbekannt ist bislang, wann Familienministerin Karin Prien (CDU), Bauministerin Verena Hubertz (SPD) und Bundestagspräsidentin Julia Klöckner (CDU) der Phishing-Attacke auf den Leim gingen. Wir haben sowohl den Verfassungsschutz wie auch das BSI, das Bundesinnenministerium sowie das Familien- und Bauministerium gefragt, wann die Beteiligten Opfer der Phishing-Attacke wurden. Doch die angefragten Behörden und Ministerien mauern in dieser Frage.

Man äußere sich zu etwaigen Betroffenheiten einzelner Personen grundsätzlich nicht, heißt es etwa aus dem Bundesinnenministerium. Das Bauministerium antwortet auf die Frage, wann der Account von Frau Hubertz kompromittiert worden sei, dass es die Annahme der Frage selbst „weder bestätigen noch dementieren“ könne. Der Verfassungsschutz teilt mit, dass er zu „Details, die etwaige nachrichtendienstliche Erkenntnisse oder Tätigkeiten betreffen, grundsätzlich nicht öffentlich Stellung nimmt“. Das Familienministerium ging auf die gestellten Fragen nicht ein, das BSI reagierte gar nicht.

Signal äußert sich zu den Angriffen

Unterdessen hat der Messenger Signal selbst eine Stellungnahme auf Mastodon und Bluesky verbreitet. Darin stellt der Anbieter klar, dass es sich bei dem Angriff nicht um einen „Hack“ handele: Verschlüsselung, Infrastruktur und die Integrität des App-Codes seien nicht beeinträchtigt. Man sei sich aber der Tragweite des Angriffs bewusst und werde in den kommenden Wochen „verschiedene Änderungen“ einführen, um diese Art von Angriffen weiter zu erschweren.

Welche Änderungen das sein werden, ist bislang nicht klar. Denkbar ist etwa, dass die bislang nicht standardmäßig eingeschaltete „Registrierungssperre“ für neue Geräte in Zukunft per default aktiv ist. Signal schreckte vor diesem Schritt in der Vergangenheit zurück, da dieser für Nutzer:innen beispielsweise bei einem Handy-Wechsel als Hürde wahrgenommen würde.

In dem Post erklärte Signal auch erstmals das Vorgehen der Angreifer offiziell:

Laut dem, was uns die Opfer mitgeteilt haben, folgten die Angriffe einem ähnlichen Muster: Nachdem die Angreifer die Nutzer dazu gebracht hatten, ihre Signal-Zugangsdaten preiszugeben, nutzten sie diese, um deren Konto zu übernehmen und änderten häufig auch die zugehörige Telefonnummer. Da eine solche Übernahme zur Abmeldung des Signal-Kontos auf dem Gerät des Opfers führt, bereiteten die Angreifer die Opfer darauf vor, indem sie ihnen mitteilten, die Abmeldung sei beabsichtigt und sie müssten sich lediglich „neu anmelden“ oder ein neues Konto erstellen. Beim Erstellen eines neuen Signal-Kontos – das nun von dem übernommenen Konto getrennt war – glaubten die Opfer, sich wieder in ihr Hauptkonto einzuloggen. Daher bemerkten viele die Übernahme nicht. Die kompromittierten Konten wurden anschließend missbraucht, um die Kontaktlisten der Opfer anzugreifen, indem sich die Angreifer als Kontoinhaber ausgaben.

In der Stellungnahme wiederholte Signal, dass die Nutzer:innen selbst auch wachsam sein müssten: „Denken Sie daran: Niemand vom Signal-Support wird Sie jemals per Nachricht kontaktieren oder nach Ihrem Registrierungs-Verifizierungscode oder Ihrer Signal-PIN fragen.“

Viel spricht für Russland als Urheber des Angriffs

Das niederländische Verteidigungsministerium hatte Anfang März verlautbart, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet. Die Bundesregierung schreibt den Angriff bislang nicht offiziell einem Land zu, ließ aber über Regierungskreise verbreiten, dass Russland dahinter stecke.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl der militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Eine Auftraggeberschaft des russischen Staates kann dies nicht beweisen. Die eindeutige Zuschreibung ist bei solchen Angriffen in der Regel sehr schwierig, da es viele Faktoren gibt, um die Herkunft eines Angriffs zu verschleiern oder falsche Fährten zu legen. Dazu kommen politische Interessen bei der Zuweisung der Urheberschaft und der Drahtzieher, die sich in einer militärischen Auseinandersetzung wie dem Angriffskrieg gegen die Ukraine noch verschärfen.