Die Phishing-Attacke über den Messenger Signal hat die höchste Ebene der Politik erreicht. Zwei Ministerinnen und die Bundestagspräsidentin sind offenbar auf den Trick hereingefallen – und haben damit ihre Kontakte, Telefonnummern, Netzwerke und vermutlich auch Chat-Inhalte dem Angreifer offengelegt. Zahlreiche Signal-Gruppen im parlamentarischen Raum sollen derzeit von den Angreifern nahezu unbemerkt ausgelesen werden können, sagen Sicherheitskreise gegenüber dem Spiegel.

Deutsche Medien berichten aufgeregt von einem „Signal-Hack“. Nur ist Phishing eben gerade kein üblicher „Hack“. Es handelt sich hier nicht um ein Softwareproblem oder eine Sicherheitslücke im Code, sondern einen Angriff auf die gutgläubige Person am Smartphone. Die vertraut dem sicheren Messenger so sehr, dass sie den mehr oder weniger plumpen Nachrichten eines gefälschten Signal-Supports Glauben schenkt und dann freigiebig und naiv ihre privaten Sicherheitscodes an die Angreifer herausgibt. Gleich zwei Mal hintereinander.

Das kann passieren, denn die Angreifer spielen mit der Angst des Ziels, setzen es unter Druck. Wer nicht mit den Grundlagen der IT-Sicherheit vertraut ist, kann darauf hereinfallen. So bitter das ist.

Umso mehr würde man von einer Spionageabwehr erwarten, dass sie vor solchen Attacken warnt – und vor allem auf höchster Ebene mit Nachdruck und frühzeitig sagt: „Wenn Sie ein vermeintlicher Signal-Support anschreibt, folgen Sie niemals dessen Anweisungen. Finger weg, das ist gefährlich! Der Signal-Support schreibt niemanden auf Signal an.“

Haben die Behörden versagt?

Wir wissen, dass diese Art der Phishing-Attacke seit mindestens September 2025 im Umlauf ist und schon früh auch Abgeordnete des Bundestages im Visier waren. Eine große Frage ist, wann die für die Abwehr von solchen Attacken zuständigen Behörden BSI und Verfassungsschutz selbst aktiv geworden sind und Regierung und Parlament gewarnt haben. Erst nach unserer Berichterstattung im Januar gab es Anfang Februar eine offizielle Mitteilung der beiden Behörden. Haben diese erst so spät reagiert?

Daran schließt sich die Frage an: Wann sind die mittlerweile angeblich 300 Betroffenen, die Bundestagspräsidentin und die beiden Ministerinnen auf das Phishing hereingefallen? Funktionieren hier Warnmechanismen nicht oder werden ignoriert? Und was hilft in Zukunft gegen solche geschickten, aber doch trivialen Angriffe?

Immer mehr Spuren beim Messenger-Phishing weisen auf Russland

Aktionismus hilft nicht

Was auf jeden Fall nicht hilft, sind spontan aufgestellte Forderungen wie die der Bundestagsvizepräsidentin Andrea Lindholz (CSU). Sie will als Konsequenz aus dem Schlamassel den Messenger Signal im Bundestag verbieten. Stattdessen sollen die Abgeordneten den „Bundes-Messenger“ Wire nutzen. Das ist realitätsfern wie unsinnig.

Signal hat sich nicht ohne Grund als sicherer Messenger in Politik, Journalismus und Aktivismus etabliert. Er macht es endlich einfach, dass Menschen verschlüsselt, vertraulich und privat kommunizieren können – ohne sich in die Untiefen von E‑Mail-Verschlüsselung einarbeiten zu müssen. Das ist ein großer Gewinn an Sicherheit.

Phishing ist auf allen möglichen Kommunikationskanälen und Programmen möglich: Nicht ohne Grund hat noch niemand ernsthaft gefordert, E‑Mails zu verbieten, weil darüber Phishing stattfindet. Dieser Art des Angriffs begegnet man mit Aufklärung, Warnungen und vor allem digitaler Bildung, nicht mit unsinnigen Verboten.

Die Programmierer des DNS-basierten Werbeblockers Pi-hole haben am Wochenende aktualisierte Pakete veröffentlicht. Sie schließen zwei Sicherheitslücken, die als hochriskant gelten.

Die Updates gelten den Komponenten Pi-hole Core und FTL (Faster-Than-Light, der DNS-Server von Pi-hole). Eine Lücke betrifft beide Komponenten und ermöglicht Angreifern, ihre Rechte auf verwundbaren Systemen auszuweiten. Die Programmierer erklären, dass der Pi-hole-User Schreibzugriff auf die zentrale Konfigurationsdatei „/etc/pihole/pihole.toml“ hat. Zwei Shell-Skripte lesen den Pfad zur „files-pid“-Datei und nutzen ihn ohne weitere Prüfungen für Installation und Löschen – und laufen dabei als root („pihole-FTL-prestart.sh“ und „pihole-FTL-poststop.sh“). Angreifer mit Pi-hole-Rechten können dadurch Dateien mit root-Rechten löschen und anlegen, und das sogar außerhalb des geschützten Verzeichnisses. Ein Beispiel nennt das Advisory, das lokale root-Rechte durch Manipulation der Authorized-Keys-Datei für SSH erreicht (CVE-2026-41489, CVSS 8.8, Risiko „hoch“).

Eine unzureichende Filterung im „dns.interface“-Konfigurationsfeld in Pi-hole FTL führt dazu, dass Zeilenumbruch-Zeichen akzeptiert werden. Angreifer können beliebige Direktiven in die dnsmasq-Konfiguration schmuggeln. Die weitverbreitete Konfiguration ohne Admin-Passwort erlaubt den API-Zugriff ohne Zugangsdaten. Bösartige Akteure können eine „dhcp-script=“-Direktive einschmuggeln und DHCP aktivieren. Sofern ein Gerät im Netzwerk ein DHCP-Lease anfragt, können dadurch beliebige Befehle ausgeführt werden (CVE-2026-39849, CVSS 8.7, Risiko „hoch“).

Verwundbare Software

Verwundbar sind Pi-hole Core und Pi-hole FTL ab Version 6.0. Die Updates auf die neuen Fassungen Pi-hole Core 6.4.2 sowie Pi-hole FTL 6.6.1 oder neuer korrigieren die sicherheitsrelevanten Fehler. Auf dem Raspberry Pi, auf dem die Software standardmäßig läuft, führt der Befehl sudo pihole -up dazu, dass der Werbeblocker sich aktualisiert.

Zuletzt hatte das Pi-hole-Projekt Anfang April Sicherheitslücken geschlossen. Sie erlaubten Angreifern unter anderem das Einschleusen von Schadcode.

(dmk)

Nach Berichten über zum Verkauf angebotene Datensätze der UK Biobank auf Alibaba hat die britische Regierung eingegriffen und eine Untersuchung eingeleitet. Die oberste Datenschützerin des Landes fordert eine umfassende Aufklärung. Die UK Biobank gilt als eines der weltweit wichtigsten Projekte für biomedizinische Forschung. Freiwillige stellen dort seit vielen Jahren Gesundheits- und Genomdaten zur Verfügung, die Forschern weltweit zugänglich gemacht werden.

Wie Ian Murray, Minister of State, erklärte, hatte die UK Biobank die Regierung bereits am 20. April darüber informiert, dass mehrere Angebote auf Alibaba-Plattformen entdeckt worden waren. „Die Biobank teilte uns mit, dass drei Angebote identifiziert worden seien, die offenbar Daten von Teilnehmern der UK Biobank zum Verkauf anbieten. Mindestens einer dieser drei Datensätze scheint Daten von allen 500.000 Freiwilligen der UK Biobank zu enthalten“, heißt es von Murray. Weitere Angebote beträfen die „Unterstützung bei der Beantragung eines rechtmäßigen Zugangs zur UK Biobank oder analytische Unterstützung für Forscher, die bereits Zugang zu den Daten haben“. Nach einem Gespräch mit dem Anbieter der Daten geht die Regierung nicht davon aus, dass es zu Verkäufen gekommen sei.

Zugänge gesperrt und Datenzugriff vorerst gestoppt

Nach Bekanntwerden des Vorfalls wurden mehrere Sofortmaßnahmen eingeleitet. Gemeinsam mit der UK Biobank, den Plattformbetreibern und chinesischen Behörden seien die Angebote zügig entfernt worden. Zugleich wurde den Forschungseinrichtungen, die als mögliche Quelle der Daten identifiziert wurden, entzogen.

Darüber hinaus wurde der Zugriff auf die UK Biobank vorübergehend pausiert. Downloads sind derzeit gestoppt, bis technische Maßnahmen implementiert sind, die ein unkontrolliertes Herunterladen künftig verhindern sollen. Die Organisation hat sich zudem selbst bei der britischen Datenschutzaufsicht (ICO) gemeldet.

Datenschützerin fordert Transparenz

Die National Data Guardian, Nicola Byrne, reagierte mit deutlicher Kritik. Es sei „zutiefst besorgniserregend“, dass Gesundheitsdaten, die Menschen im Vertrauen auf sichere Nutzung bereitgestellt hätten, offenbar online zum Verkauf standen. Nun müsse vollständig aufgeklärt werden, wie es dazu kommen konnte und welche Konsequenzen gezogen werden.

Teilnehmende hätten ein Recht auf klare Informationen darüber, was passiert ist und wie ähnliche Vorfälle künftig verhindert werden sollen. Nur durch Transparenz und konsequentes Handeln lasse sich das Vertrauen in datengetriebene Gesundheitsforschung aufrechterhalten.

Vertrauensfrage für internationale Gesundheitsforschung

Die Regierung bezeichnete den Vorfall als „inakzeptablen Missbrauch“ der Daten und des Vertrauens der Teilnehmenden. Gleichzeitig kündigte sie neue Leitlinien für den Umgang mit Forschungsdaten an. Noch ist unklar, wie die Datensätze konkret in die Hände der Anbieter gelangt sind. Eine umfassende Untersuchung läuft. Die Regierung betont, dass die angebotenen Daten keine Informationen wie Namen, Adressen oder Kontaktdaten enthalten hätten. Zudem gebe es derzeit keine Hinweise darauf, dass die Datensätze tatsächlich verkauft wurden.

Auch die UK Biobank selbst kündigt an, die Sicherheitsmaßnahmen zu erhöhen. Außerdem hofft sie, die Patientinnen und Patienten durch die bereits eingeleiteten Maßnahmen zu beruhigen: „Ihre personenbezogenen Daten bei der UK Biobank sind sicher und geschützt“, heißt es in einer Nachricht des Chefs der Biobank, Professor Sir Rory Collins, an die Patienten. Je nach Art der Gesundheitsdaten ist das nach Sicht von Experten jedoch nicht ganz einfach.

In Deutschland ist der Zugang zu solchen Daten bislang deutlich restriktiver geregelt. Forschungsdaten werden typischerweise in kontrollierten Umgebungen wie sogenannten Datenintegrationszentren bereitgestellt, häufig ohne die Möglichkeit, Rohdaten einfach herunterzuladen.

Gleichzeitig gibt es jedoch vor allem aus der Industrie, etwa von Bayer, zunehmende Kritik an der Komplexität und Strenge dieser Verfahren. Nutzer aus der Industrie bemängeln beispielsweise beim Forschungsdatenportal Gesundheit, dass der Zugang zu Daten teils schwer nachvollziehbar, fragmentiert und wenig nutzerfreundlich sei.

Beim Forschungsdatenzentrum Gesundheit – gegen das aktuell eine Klage der Gesellschaft für Freiheitsrechte läuft – sind bereits zahlreiche Anträge auf Datenzugang, mehrheitlich aus der Industrie, eingegangen. Gleichzeitig wird noch an dem sicheren Zugang bestimmter Daten gefeilt. Immer wieder wird auch hier kritisiert, dass es an Transparenz gegenüber den Versicherten fehlt. Für Herbst 2026 ist die Ausleitung von Daten aus der elektronischen Patientenakte geplant.

(mack)