In einem Interview mit dem Spiegel (€) hat Signal-Chefin Meredith Whittaker angekündigt, dass der Messenger in Zukunft zusätzliche Warnhinweise anzeigen wird, um Phishing besser zu verhindern. Hintergrund der Maßnahme sind die teilweise erfolgreichen Phishing-Versuche gegen Vertreter:innen aus Politik, Militär und Journalismus, der in Deutschland nach Medienberichten zwei Ministerinnen und die Bundestagspräsidentin zum Opfer fielen.

Im Interview sagte Whittaker:

Wenn jemand zum ersten Mal eine Nachricht von einer unbekannten Nummer erhält, werden künftig zusätzliche Warnhinweise angezeigt. Das Annehmen neuer, unbekannter Kontakte wird in Zukunft nicht mehr mit einem einzigen Klick möglich sein und zwingend einen Warnhinweis enthalten. Wir prüfen noch weitere Ideen und werden dazu bald mehr bekannt geben. Und um es noch einmal klar zu sagen: Signal wird Nutzer niemals in einem zweiseitigen Chat kontaktieren, um sie nach ihrer PIN, ihrem Schlüssel oder anderen Informationen zu fragen.

Öffentlich bekannt wurde die Attacke in Deutschland, als netzpolitik.org am 28. Januar darüber berichtete, dass zahlreiche Journalist:innen im Visier stünden. Gut eine Woche nach dem Bericht warnten dann der Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Angriffswelle. Mittlerweile haben die Behörden ein weiteres Update der Warnung samt Handlungsleitfaden veröffentlicht.

Am gestrigen Donnerstag war die Phishing-Kampagne auch Thema im Digital- und im Innenausschuss des Bundestages. In nicht-öffentlicher Sitzung wurde durch Verfassungsschutzchef Sinan Selen und BSI-Chefin Claudia Plattner die Kampagne nachgezeichnet und noch einmal vor Phishing gewarnt. Laut dem Bericht wussten die Behörden erst „im Januar“ über die Angriffe Bescheid. Nach Informationen von netzpolitik.org könnte allerdings ein Ende 2025 vom Phishing betroffener Bundestagsabgeordneter beide Behörden schon früher informiert haben.

Viel spricht für Russland als Urheber des Angriffs

Mittlerweile verdichtet sich, dass Russland hinter der Attacke stecken dürfte. Das niederländische Verteidigungsministerium hatte Anfang März verlautbart, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet. Die Bundesregierung schreibt den Angriff bislang nicht offiziell einem Land zu, ließ aber über Regierungskreise verbreiten, dass Russland dahinter stecke.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl der militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Mehr als 13.700 Telefonnummern

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Weiteren Spuren nachgegangen sind auch die IT-Sicherheitsexperten des Security Labs von Amnesty International, die sich schon frühzeitig mit der Kampagne befasst haben. Sie haben einem Bericht des Spiegels (€) zufolge ein Angriffswerkzeug gefunden. Wie Donncha Ó Cearbhaill, der Leiter des Amnesty-Labs dem Medium mitteilte, soll es sich um ein in russischer Sprache programmiertes Werkzeug namens ApocalypseZ handeln.

Die Untersuchung konnte erstmals auch eine Zahl der angegriffenen Signal-Accounts offenlegen. In der Datenbank der Angreifer konnten die Amnesty-Expert:innen Mobilfunknummern potenzieller Opfer sehen. „Im Januar waren es mehr als 13.700“, sagte Ó Cearbhaill gegenüber dem Spiegel. In den Screenshots des Schadprogramms konnten die Forscher:innen zudem sehen, dass viele der Phishing-Nachrichten über polnische und niederländische Nummern verschickt wurden.

Laut dem Spiegel-Bericht bestätigt sich nun auch die Annahme, die Donncha Ó Cearbhaill schon im Januar gegenüber netzpolitik.org geäußert hatte: Die Angreifer lesen die Kontakte derjenigen aus, die auf das Phishing hereinfallen – und versenden dann neue Nachrichten. Ziel ist die Übernahme der Accounts samt Einblicken in Netzwerke und zukünftige Inhalte der Kommunikation.

Es flog etwas unter dem Radar, doch ab dem heutigen Freitag wird es Ernst: Instagram verwässert den Privatsphärenschutz des sozialen Netzwerks. Die Opt-in-Option zur Ende-zu-Ende-Verschlüsselung (End-to-End-Encryption, E2EE) schaltet Meta für Direktnachrichten global ab.

Damit vollzieht Meta eine Kehrtwende, da das Unternehmen zuvor die E2EE als Goldstandard für die Privatsphäre gepriesen hat, wie die BBC es formuliert. Die allgemeine E2EE hatte Meta für den Facebook Messenger und Instagram ab Ende 2023 schrittweise eingeführt.

Instagram: E2EE-Ende wegen geringer Nutzung

Das auf Privatsphäre spezialisierte IT-Sicherheitsunternehmen Proton weist auch auf Instagram auf die anstehende Änderung hin. Wer auf bisherige verschlüsselte Nachrichten und Chats Zugriff behalten möchte, muss diese nun zügig herunterladen, bevor sie von Instagram verschwinden.

Als Erklärung dazu, warum die Ende-zu-Ende-Verschlüsselung nun nicht mehr möglich sein soll, liefert ein aktualisierter Facebook-Blog-Beitrag eine Antwort: Demnach haben nur sehr wenige Menschen die Möglichkeit der Aktivierung der Ende-zu-Ende-Verschlüsselung in Direktnachrichten genutzt. Wer weiterhin E2EE für Nachrichten nutzen wolle, könne dafür einfach WhatsApp einsetzen.

In Großbritannien wird dieser Schritt vermutlich begrüßt. Bereits zur Ankündigung der Einführung einer E2EE in Instagram stieg die britische Regierung auf die Barrikaden: Die damalige Innenministerin Suella Braverman forderte zunächst Sicherheitsmaßnahmen ein, um Kinder vor Missbrauch auf den Plattformen Instagram und Facebook Messenger zu schützen. Meta habe keine ausreichenden Zusicherungen gemacht, dass die beiden Plattformen „von krank machenden Missbrauchstätern“ freigehalten würden. Damals argumentierte Meta dagegen, Ende-zu-Ende-Verschlüsselung schütze die Menschen im Vereinigten Königreich vor Hackern, Betrügern und Kriminellen.

Da Meta nun potenziell Zugriff auf mehr persönliche Informationen von Nutzern erhält, könnte der Verdacht naheliegen, dass das etwa für Werbezwecke genutzt werden kann. Das ist aber gar nicht nötig. Allein anhand von Meta-Daten ist erstaunlich präzise Werbeansprache bereits möglich, erklärte der Instagram-Chef Adam Mosseri vor einiger Zeit.

(dmk)

Ende April, ein Platz im Görlitzer Park in Berlin: Etwa 100 Menschen stehen vor einer Bühne, am Rand eine Reihe Polizeifahrzeuge und Gruppen von Polizist*innen. Es gibt kostenloses Essen und Rap. Die Bühne haben Aktivist*innen mit Überwachungskameras dekoriert. Davor ist ein Banner gespannt, Aufschrift: „Gegen Überwachung und Ausgrenzung“. In kleinerer Schrift darunter: „Keine KI-Videoüberwachung unserer Parks, Plätze und Straßen!“

Diesen Park will die Polizei künftig mit Videokameras und Verhaltensscanner-Software kontrollieren, so wie weitere Orte in Berlin. Die Software, eine sogenannte Künstliche Intelligenz, soll analysieren, was die abgebildeten Menschen gerade tun und gutes von schlechtem Verhalten unterscheiden. Deshalb sind die Demonstrierenden hier. Sie lehnen die KI-Kontrolle ab. Die Person am Mikrofon ruft: „Man kann Kameras auch kaputt machen!“

Neun Bundesländer haben ihrer Polizei den Einsatz von Verhaltensscannern entweder bereits erlaubt – oder planen, dies zu tun. Bislang setzen Polizeien die Technologie nur in Mannheim und Hamburg ein. Doch die Zahl der Orte, die damit überwacht werden, wird sich wohl bald deutlich erhöhen.

Größere Polizeigesetz-Änderungen

Mehrere Bundesländer legalisieren derzeit Verhaltensscanner im Rahmen größerer Polizeigesetz-Reformen. Sie genehmigen den Beamt*innen unter anderem den Einsatz von Datenanalyse à la Palantir, Live-Gesichtserkennung oder Videodrohnen. In einigen Ländern, die gerade ihr Polizeigesetz verschärfen oder verschärft haben, formt sich auch außerparlamentarischer Widerstand.

Magdalena Finke, CDU-Innenministerin von Schleswig-Holstein hat mit ihrem Polizeigesetz-Entwurf Fans des Fußballvereins in Kiel gegen sich aufgebracht. Die mobilisieren in der Fanszene und vernetzen sich darüber hinaus mit zivilgesellschaftlichen Initiativen. „Das wurde komplett im Hinterzimmer ausgehandelt“, sagt Fußballfan Jan auf Anfrage von netzpolitik.org über das Polizeigesetz.

Jan und seine Mitstreiter*innen wollen eine große Demo durch die Landeshauptstadt Kiel organisieren. Kein bloßer Fanmarsch, sondern ein breites Bündnis. „Wir wollen Menschen aus dem ganzen Landesgebiet mobilisieren“, sagt Jan. Geplant sind außerdem Infoveranstaltungen für Fußballfans, Flyer und Aktionen mit Spruchbändern im Stadion. „Wir sehen das als unsere Aufgabe, das Polizeigesetz in unserer Kurve zum großen Thema zu machen.“

Das volle Programm High-Tech-Überwachung

Die schwarz-grüne Landesregierung von Schleswig-Holstein steht kurz davor, das volle Programm High-Tech-Überwachung genehmigt zu bekommen: Datenanalyse nach Palantir-Art, Verhaltensscanner, Live-Gesichtserkennung, Gesichtersuchmaschine. Am 6. Mai haben die Abgeordneten den Gesetzentwurf erstmals im Parlament besprochen.

Jan sagt: „Durch Überwachung und erst recht durch KI-Überwachung werden die Freiräume immer begrenzter. Freiräume sind aber ein wichtiger Teil der partizipativen Demokratie.“

Begründet werde die Ausweitung der Überwachung mit Messerangriffen. „Aber in Kiel gibt es kaum bis keine Messerangriffe. Dann kann man doch nicht deshalb der Polizei solche Befugnisse geben. Die lassen sich nicht wieder zurückdrehen“, sagt Jan. Er befürchtet, dass bald alle öffentlichen Plätze im Land KI-überwacht werden.

Wie wir bereits berichtet haben, gibt es auch in Thüringen Widerstand gegen das dortige Polizeigesetz. Der bekommt zunehmend Schwung, wie die Initiator*innen der Anti-Polizeigesetz-Kampagne ThürPAG stoppen berichten. Zu den Kritiker*innen gehören inzwischen die antifaschistischen Bündnisse Auf die Plätze Erfurt und Rechtsruck Stoppen, der Verein Vielfalt Leben – QueerWeg und der Hacker*innentreff Krautspace Jena.

Kunstaktionen gegen Überwachung

In Sachsen wehrt sich das antifaschistische Aktionsbündnis Leipzig nimmt Platz gegen die Polizeigesetz-Novelle. Die Dresdner Datenpunks planen Kunstaktionen zu Überwachung, um darüber mit Menschen ins Gespräch zu kommen.

Aufklärung zur niedersächsischen Polizeigesetznovelle leisten der Kleindatenverein und Freiheitsfoo.

Derweil agieren Initiativen wie Kameras stoppen aus Köln, Bündnis Hansaplatz aus Hamburg oder dieDatenschützer Rhein-Main seit Jahren nicht ohne Erfolg gegen Video- und KI-Überwachungs-Projekte – auch vor Gericht.

Ausdrücklich gegen die Massen-Datenanalyse positioniert sich das Bündnis Kein Palantir in Baden-Württemberg. Das Netzwerk Sicherheit ohne Überwachung macht derweil auf Bundesebene gegen verschärfte Gesetze mobil. Es geht einmal mehr um biometrische Gesichtersuche, um Datenanalyse nach Palantir-Art – und Vorratsdatenspeicherung. Unter anderem geplant ist eine Demonstration am 13. Juni 2026 ab 14 Uhr in Berlin.

Die Gewerkschaft der Osterhasen

Zurück zur Kundgebung im Görlitzer Park. Dahinter stehen drei Initiativen: Cables of Resistance, die in Berlin kürzlich einen Kongress zum Kampf gegen die Big-Tech-Übermacht veranstaltet hat; Wrangelkiez United, eine polizeikritische Anwohner*innengruppe – und Görli 24/7, die dagegen kämpft, dass die Stadt den Görlitzer Park inzwischen nachts verriegelt.

Für einen offen zugänglichen Görlitzer Park sind auch zwei Redner*innen, die als nächstes die Bühne betreten, maskiert mit rosa Hasenköpfen. Sie stellen sich als Vertreter*innen der „Osterhasen-Gewerkschaft“ vor und erzählen, dass Menschen bereits Nachschlüssel zu den Parktoren an Interessierte verteilt hätten. Einige Eingänge könne man auch selbst öffnen, wenn man eine Türklinke in die dafür vorgesehene Öffnung schiebt. „Klinken bekommt ihr am Info-Stand“, ruft einer der Hasen.

Bevor die Osterhasen die Bühne betreten, gibt es eine unfreiwillige Programm-Pause. Beamt*innen treten an die Bühne heran und wollen Personalien sehen – von der Person, die über kaputte Kameras gesprochen hatte. Gibt es jetzt Ärger?

Per Mikrofon hält eine andere Person aus dem Kreis der Veranstalter das Publikum auf dem Laufenden. Sie gibt weiter, dass die Polizei die Aussage über die Zerstörbarkeit von Kameras für eine Straftat hält. „Also sagt das nicht“, ruft sie durch die Lautsprecher. „Sagt nicht, dass man Kameras auch kaputtmachen kann.“