Das Bundesamt für den Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik warnen gemeinsam vor einem Phishingversuch eines mutmaßlich staatlichen oder staatlich gesteuerten Angreifers im Messenger Signal.

„Im Fokus stehen hochrangige Ziele aus Politik, Militär und Diplomatie sowie Investigativjournalistinnen und -journalisten in Deutschland und Europa“, heißt es in einem unter anderem an den Bundestag und seine Abgeordneten verschickten Sicherheitshinweis. „Die aktuell zu beobachtende Angriffskampagne ist insbesondere im Hinblick auf hochrangige Zielpersonen als sicherheitsrelevant einzustufen.“

Für den Angriff würden legitime Sicherheitsfunktionen missbraucht – die aber die Mithilfe der Nutzer erfordern. Vergleichbare Vorgehensweisen würden auch bei WhatsApp funktionieren, warnen die beiden Behörden, von denen das BfV mit der Spionageabwehr und das BSI mit der Cybersicherheit des Bundes betraut ist.

Erste Variante führt zu Accountverlust

Eine von zwei beschriebenen Angriffsvarianten verläuft dabei nach denkbar einfachem Muster: Ein angeblicher Support-Bot oder ein angebliches Support-Team schreiben die Nutzer an und behaupten, dass ihre Gerätesicherheit gefährdet sei.

Bild 1 von 2

Nur wenn sie unmittelbar ihre Sicherheitspin oder eine Verifizierungs-SMS übermitteln würden, wäre ihr Gerät sicher. Folgen die Angeschriebenen der Aufforderung, nutzen die Angreifer das Konto ab diesem Moment in selbst kontrollierter Umgebung. Wer dann dem Konto schreibt, schreibt nur noch den Angreifern. Immerhin haben die dann aber keinen Zugriff auf die Kontakte des Nutzers und auch nicht auf vorher erfolgte Chatinhalte. Dennoch: Eine Wiederherstellung des Kontos durch den Nutzer ist dann nicht mehr möglich.

Zweite Variante ermöglicht weitergehenden Zugriff

BfV und BSI warnen aber auch vor einer zweiten Variante, bei der auch Inhalte und Kontakte kompromittiert werden können. Dabei wird ein Vorwand gesucht, warum der angegriffene Nutzer einen QR-Code scannen soll. Doch der ist die Berechtigung dafür, dass die Angreifer dann ein neues Gerät mit dem Konto verknüpfen können – was ihnen Nachrichten und Inhalte der vergangenen anderthalb Monate zugänglich macht und das Mitlesen aktueller Nachrichten erlaubt. Außerdem können sie im Namen des Opfers Nachrichten verschicken – und somit weitere mögliche Opfer erreichen.

Angesichts der Berichte über Sichtungen der Angriffe scheint es sich dabei nicht um einen sehr gezielten Angriff auf einzelne Akteure zu handeln, sondern um einen Streuschuss. Da Signal auf die Ende-zu-Ende-verschlüsselten Nachrichten keinen Zugriff hat und auch kein Client-Side-Scanning zu Spam oder Phishing betreibt, ist es auf die Aufmerksamkeit seiner Nutzer angewiesen, auf solche Versuche nicht hereinzufallen.

(dahe)

Die Deutsche Bahn bietet ab sofort die Anmeldung mit Passkeys in der App und auf der Webseite an. Das erhöht die Zugangssicherheit signifikant.

In der App und auf der Webseite der Deutschen Bahn ist nun die Anmeldung mittels Passkeys möglich. Bevor das klappt, müssen Interessierte sich natürlich erst einmal Passkeys für ihre Geräte erstellen. Das gelingt in den Konto-Einstellungen über den Punkt „Login und Sicherheit“ und dort den Klick auf die Schaltfläche „Zum Account-Manager“. Darin finden sich die Passkeys unter „Alternative Login-Methoden“.

Dort lassen sich neue Passkeys erstellen – eine Mengenbegrenzung nennt die Seite jedoch nicht. Bereits erstellte Passkeys lassen sich umbenennen oder auch wieder entfernen.

Passkey-Anmeldung ohne SMS-Zweitfaktor

Eine eigene FAQ auf der Webseite der DB erklärt die Nutzung von Passkeys. Die Anmeldung mit Passkeys erfolgt dann ohne die sonst genutzte Zwei-Faktor-Authentifizierung mit SMS. Die sind dem CCC zufolge ohnehin keine gute Idee und können sich abfangen lassen. Die Zugangssicherheit bei der Deutschen Bahn gewinnt daher deutlich.

Passkeys setzen auf eine kryptografische Absicherung von Zugängen, anstatt lediglich Benutzername und Passwort zu nutzen. Die althergebrachten Zugangsdaten sind anfällig für Phishing oder landen als Remix in Datensammlungen im Internet, wo sie Kriminellen als Ausgangspunkt für Kontoübernahmen dienen. Passkeys hingegen nutzen einen privaten Schlüssel auf dem Endgerät, der dieses dann mit dem Zugang verknüpft. Zum Anmelden erfolgt dann in der Regel eine biometrische Identitätsprüfung, etwa mittels Fingerabdruck, Gesichtsscan mit Kamera oder einer PIN. Das ist deutlich komfortabler als das Eingeben von Passwörtern.

Inzwischen beherrschen diverse Passwort-Manager die Verwaltung von Passkeys, sodass sie sogar geräteübergreifend nutzbar sind. Etwa Microsofts Edge arbeitet so als Passwort-Manager, der über die Cloud die Passkeys auf die weiteren Geräte der Nutzer synchronisiert und sie dort bereitstellen kann.

(dmk)

Das Debian-Projekt hat ein Kommunikationsproblem. Entwickler, die keine Zeit oder kein Interesse mehr haben, ziehen sich still zurück – ohne ihre Verantwortung offiziell zu übertragen. Ein solches Verhalten gefährdet die Wartung von Paketen, die Sicherheit von Accounts und die Kontinuität wichtiger Teams. Debian-Projektleiter Andreas Tille hat das Problem in seiner Februar-Mitteilung an die Entwickler-Community detailliert beschrieben.

Das Kernproblem ist laut Tille nicht, dass Freiwillige aufhören zu arbeiten – das sei völlig normal. Problematisch sei vielmehr, dass sie dies nicht kommunizieren. „Debian existiert, weil Menschen sich freiwillig dafür entscheiden, ihre Zeit dafür aufzuwenden“, schreibt Tille. Doch die meisten seien mit Enthusiasmus beigetreten, ohne eine explizite Vereinbarung zu einer späteren Ankündigung, falls sich ihre verfügbare Zeit, Energie oder Interessen ändern.

Die Konsequenzen dieser stillen Abwanderung sind erheblich: Bugs bleiben unbearbeitet, sicherheitsrelevante Accounts ohne aktive Überwachung, delegierte Rollen existieren nur noch auf dem Papier. Besonders deutlich wurde das Problem bei der Reorganisation des FTPmaster-Teams, das über zwei Jahrzehnte für die Debian-Archive verantwortlich war. Im Oktober 2025 musste es aufgelöst und in zwei neue Teams aufgeteilt werden, weil wesentliche Arbeit von zu wenigen Menschen getragen wurde – mit negativen Auswirkungen auf Transparenz und Kommunikation.

MIA-Team soll automatisiert nach Inaktiven fahnden

Als Lösung schlägt Tille einen sechsstufigen automatisierten Prozess vor: Das MIA-Team (Missing In Action) soll mithilfe von Heuristiken inaktive Entwickler identifizieren und nach sechs Monaten ohne Aktivität automatisierte E-Mails versenden. Diese bieten einfache Optionen: Bestätigung der aktiven Präsenz, Übergang zum Emeritus-Status (ehrenhalber zurückgezogener Entwickler ohne aktive Pflichten) oder Kontaktaufnahme mit dem MIA-Team.

Bleibt eine Antwort aus, folgen sechs Monate lang monatliche Erinnerungen. Danach versucht das MIA-Team, die Person manuell zu erreichen, und warnt vor der Verwaisung ihrer Pakete. Erfolgt auch dann keine Reaktion, werden die Pakete nach einem weiteren Monat verwaist und der Account wird schließlich den Debian Account Managers zur möglichen Entfernung gemeldet.

Der Vorteil dieses automatisierten Systems: Es vermeidet direkte Fragen, die für manche Menschen sozial schwierig seien. Viele Entwickler empfinden es als unangenehm, von Freunden oder Kollegen direkt auf ihre Inaktivität angesprochen zu werden. „Aus gegenseitiger Rücksicht vermeiden wir es oft, zu fragen. Aus derselben Rücksicht vermeiden wir es auch, proaktiv zu sagen, dass wir zurückgetreten sind“, beschreibt Tille das Dilemma.

Delegation mit Ablaufdatum als weiterer Ansatz

Für delegierte Rollen schlägt Tille zusätzlich einen leichten Erneuerungsmechanismus vor. Delegierte sollen sechs Monate vor Ablauf ihrer Delegation einen kurzen Bericht mit Erneuerungsantrag einreichen. Bleibt dieser aus, läuft die Delegation automatisch ab. Dieser Ansatz normalisiere die Rotation und mache sie zu einem regulären Prozess statt einer konfliktbeladenen Ausnahmesituation.

Ein Beispiel für die Folgen fehlender Kommunikation ist das Data Protection Team: Alle bisherigen Delegierten sind zurückgetreten, die Delegation wurde widerrufen. Debian hat derzeit kein aktives Datenschutz-Team, obwohl die Aufgabe im DSGVO-Kontext wichtig ist. Der Workload war dabei gering – nur vier Anfragen im Jahr 2025.

Tille betont, dass bessere Sichtbarkeit von Inaktivität auch Chancen für neue Freiwillige schafft. Über eineinhalb Jahre hat er täglich ein langfristig inaktives Paket zur Zusammenarbeitsplattform Salsa migriert. Dies senke die Barriere für Beiträge erheblich und sende ein klares Signal, dass Hilfe willkommen ist. Bei aktiven Maintainern seien die Antworten meist konstruktiv gewesen – bei Paketen ohne Aktivität seit Jahren blieb die Reaktion dagegen meist aus.

Unklar ist derzeit, wie viel vom vorgeschlagenen MIA-Prozess bereits implementiert wurde. Tille fordert die Community auf, den aktuellen Status sichtbar zu machen, und lädt Interessierte explizit ein, sich einzubringen. Das Problem betreffe nicht nur Debian: „Dies ist eine wichtige Initiative für die Gesundheit des Debian-Projekts – und tatsächlich für jedes Open-Source-Projekt“, schreibt der Projektleiter.

(fo)