Das niederländische Verteidigungsministerium sagt, dass Russland hinter der seit September 2025 laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. In Deutschland hatte netzpolitik.org zuerst darüber berichtet, dass zahlreiche, vor allem investigative Journalist:innen von dem Angriff betroffen sind.

In der Folge warnten BSI und Verfassungsschutz vor den Attacken und nannten diese „wahrscheinlich staatlich gesteuert“. In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl die militärischen als auch der zivilen Geheimdienste MIVD und AIVD nun von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. In dem Text werden allerdings keine Belege für diese Behauptung geliefert. Netzpolitik.org hat Hinweise, die die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Mehrere Indizien sprechen für Russland

Nach Recherchen von netzpolitik.org gibt es mehrere Indizien, die auf eine russische Urheberschaft deuten könnten. Ein Linguist, mit dem netzpolitik.org gesprochen hat, erklärte, dass der erste Phishing-Text, über den wir damals berichtet haben, auf eine Urheberschaft aus dem slawischen Sprachraum hinweisen könnte. So wurden im Text mehrere für Sprecher:innen dieser Sprachen typische Fehler beim Artikelgebrauch gemacht.

In eckigen Klammern haben wir markiert, wo die jeweiligen Artikel fehlten:

Dear User, this is [the] Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to [a] data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass [a] verification procedure, entering the verification code to [the] Signal Security Support Chatbot.“

Diese Fehler können ein Hinweis auf eine slawische Sprache wie das Russische sein. Das Zuschreiben von Urheberschaft ist jedoch schwierig, da der Angreifer auch mit absichtlich eingebauten Fehlern eine falsche Fährte legen könnte, damit zum Beispiel Russland verdächtigt wird.

Ähnliche Angriffe in Armenien, Belarus und Großbritannien

Ein weiteres Indiz für die Russland-These sind ähnliche Angriffe in anderen Ländern. So berichtete das Resident NGO Threat Lab im Oktober vergangenen Jahres von einem Angriff auf belarussische Oppositionelle und Journalist:innen im Ausland. Die Masche war hier textlich abgewandelt, der Angreifer trat aber auch unter dem Namen „Signal Support“ auf und schürte ebenso Angst, dass es einen Angriff auf den Account gegeben habe. Die Sicherheitsforscher vermuteten damals allerdings belarussische Angreifer hinter der Attacke.

Einen weiteren Angriff nach ähnlichem Muster gab es laut Cyberhub.am im Januar 2026 in Armenien, wo mindestens ein armenischer Journalist attackiert worden sein soll. Hier agierte wieder der angebliche „Signal Security Support Chatbot“ und warnte vor einem Angriff auf das Telefon des Opfers. Auch hier gingen die Sicherheitsexperten davon aus, dass der Angegriffene gezielt ausgewählt worden sei.

Im Dezember hatte auch der Guardian über Phishing-Attacken auf Mitglieder des britischen Parlaments berichtet. Unter Berufung auf das National Cyber Security Centre (NCSC) des britischen Geheimdienstes GCHQ hatte die dortige Parlamentsbehörde in einem Warnschreiben an die Parlamentarier:innen auf eine russische Urheberschaft verwiesen.

Die eindeutige Attribution ist bei Hackerangriffen in der Regel sehr schwierig, da es viele Faktoren gibt, um die Herkunft eines Angriffs zu verschleiern oder falsche Fährten zu legen. Dazu kommen politische Interessen bei der Zuweisung der Urheberschaft und der Drahtzieher, die sich in einer kriegerischen Auseinandersetzung wie dem Angriffskrieg gegen die Ukraine noch verschärfen. Es bleiben statt tatsächlicher Beweise oft nur Anhaltspunkte und Indizien und Überlegungen dahingehend, wem ein erfolgreicher Angriff nutzen würde.

Als Redaktion haben wir uns deswegen bis heute mit Thesen zur Attribution des Angriffs zurückgehalten und werden dies auch weiter tun, da es sich hier nur um Indizien handelt.

Zahlreiche Journalist:innen im Visier bei Attacke über Signal-Messenger

So geht der Phishing-Angriff

Bei dem Phishing-Versuch, der seit September 2025 im Umlauf ist, verschicken die Angreifer eine Nachricht über den Messenger Signal, bei der sie sich als „Signal Support“ ausgeben und behaupten, dass es verdächtige Aktivitäten auf dem Handy sowie den Versuch gegeben habe, auf private Daten zuzugreifen. Deswegen müssten die Betroffenen den Verifikationsprozess von Signal erneut durchlaufen und den Verifikationscode dem vermeintlichen „Signal Security Support ChatBot“ übermitteln. In der Folge versuchen sie, auch die Signal-PIN zu ergattern. Gibt der Angegriffene beide Codes weiter, können die Angreifer den Account übernehmen und dann zukünftige Chats sowie Kontakte, Chatgruppen und Netzwerke auslesen.

Die Textnachrichten der Angreifer beim Vorgehen können sich dabei ändern. Mittlerweile sind Nachrichten des falschen „Signal Support“ im Umlauf, die behaupten, dass man den Verifikationscode und die PIN wegen einer Zwei-Faktor-Authentifizierung herausgeben solle. Die Sicherheit und Vertraulichkeit des Messengers Signal ist bei den Attacken nicht selbst betroffen, wenn die Angegriffenen den Versuch einfach „Blockieren und Melden“.

Hochrangige Ziele betroffen

Zusammen mit Netzwerk Recherche hat netzpolitik.org Informationen gesammelt, wer wann die Phishing-Attacke erhalten hat. Demnach sind in Deutschland deutlich mehr als 100 Journalist:innen aller Mediengattungen und zahlreicher Medienhäuser betroffen. Unter den Angegriffenen sind viele aus dem investigativen Bereich sowie mehrere sehr prominente Vertreter:innen der Medienbranche.

Zudem sind netzpolitik.org Attacken auf Bundestagsabgeordnete und deren Büro-Mitarbeitende sowie auf prominente Vertreter:innen der Zivilgesellschaft bekannt. Laut Bundesamt für Verfassungsschutz sind zudem „hochrangige Ziele aus Politik, Militär und Diplomatie“ betroffen. Eine ähnliche Zielgruppe ist auch in den Niederlanden betroffen.

Die Angriffe laufen nach Informationen von netzpolitik.org seit September 2025. Dabei wurden manche Personen auch schon mehrfach von den Angreifern angeschrieben, manche bis zu vier Mal.

Die Niederlande geht davon aus, dass die russischen Hacker mit diesen Angriffen „wahrscheinlich Zugang zu sensiblen Informationen erhalten“ haben. Davon ist nach Informationen von netzpolitik.org auszugehen: In mindestens einem Fall hat der Angriff nach unseren Informationen in Deutschland geklappt, in mindestens einem weiteren Fall auch in einem anderen europäischen Land. Es ist davon auszugehen, dass die Dunkelziffer höher ist, da sich Betroffene dafür schämen könnten, Opfer des Angriffs geworden zu sein.

Wenn du Ziel dieses Angriffs geworden bist, Zugriff auf deinen Signal-Account auf diese Weise verloren hast oder weitergehende Informationen und Hinweise zu diesem Angriff hast, wende dich vertrauensvoll an uns für weitere Nachforschungen und Recherchen.

Vom viel zu früh verstorbenen Science-Fiction-Autor Douglas Adams stammt das Zitat: „Ich liebe Deadlines. Ich mag dieses Rauschen, das sie im Vorbeiflug erzeugen.“ Tausende deutsche Unternehmen hatten wohl eher die Rauschunterdrückung aktiviert, als am 6. März 2026 die Registrierungsfrist für NIS2-Einrichtungen verstrichen ist: Bis zu diesem Datum, drei Monate nach Inkrafttreten des zugrundeliegenden Gesetzes, sollten sich alle „wichtigen“ und „besonders wichtigen“ Einrichtungen beim gemeinsamen Portal der Bundesämter für Sicherheit in der Informationstechnik (BSI) und für Bevölkerungsschutz und Katastrophenhilfe (BBK) angemeldet haben. Etwa 11.500 Behörden, Unternehmen und andere kritische Einrichtungen sind jetzt registriert – von der Feststellung einer lückenlosen Pflichterfüllung der ungefähr 30.000 zu registrierenden Unternehmen ist man also weit entfernt.

Ist das Verfahren zu kompliziert?

Woran mag es liegen, dass so wenige bisher die Registrierung geschafft haben? Ist das Verfahren zur Registrierung vielleicht zu kompliziert? Das zumindest hört man gelegentlich von denen, die es schon versucht haben, im Ablauf aber stecken geblieben sind. Bei der Einrichtung des für die Teilnahme an der BSI-Plattform erforderlichen Unternehmenskontos wird schon zu Beginn der Nachweis einer Vertretungsberechtigung verlangt – logisch, aber dazu muss zunächst ein ELSTER-Organisationszertifikat beantragt werden, das per Post ans Unternehmen versandt wird. Kein Problem, aber sicher zeitaufwändiger, als viele es sich vorgestellt haben. Dabei hat die Behörde sich sogar besonders viel Mühe gegeben, den Weg in die Registrierung zu ebnen: Eine Schritt-für-Schritt-Anleitung, die das BSI am Portaleingang bereitstellt, lässt kaum Fragen offen.

Wenn dann der Zugang zum Portal erfolgreich eingerichtet ist, verlangt die Registrierung allerdings auch Angaben, die vielleicht nicht sofort zur Hand sind – der öffentliche IP-Adressraum zum Beispiel, der zu den obligatorischen Basisinformationen für jedes registrierte Unternehmen gehört. Sinn der Sache ist es, dem BSI ein Monitoring von ungewöhnlichem Datenverkehr und auch Portscans zu ermöglichen, um unabhängig von der firmeninternen Überwachung des Netzwerks von der Behörde Warnhinweise über potenzielle Vorfälle zu erhalten. Für Anbieter digitaler Dienste sind diese Angaben auch auf die IP-Adressen in ihrem Kundensegment auszudehnen, nicht nur auf den Adressraum der eigenen Einrichtung.

Auch wenn die Registrierung selbst also nicht ganz trivial ist, sind es bei vielen Unternehmen gar nicht die formalen Voraussetzungen, die sie an einer termingerechten Anmeldung hindern. Woran es offensichtlich mangelt, ist eher die Erkenntnis – oder Anerkennung – der eigenen Betroffenheit. Aus zahllosen Gesprächen mit Geschäftsführungen, IT-Leitungen und anderen Entscheidungsträgern ist bekannt, dass viele immer noch verunsichert sind, welche Kriterien bezüglich der NIS2-Relevanz ihrer spezifischen Geschäftstätigkeit gelten. Und nicht nur das: Selbst größere Unternehmensgruppen unterschätzen, dass beispielsweise eine separate Konzerngesellschaft mit den ausgelagerten IT-Diensten für die übrigen Gruppenunternehmen auch für sich allein betrachtet unter die Regulierung fallen kann. Hierbei handelt es sich nämlich um einen sogenannten Managed Services Provider, sofern die Schwellen der Mitarbeiteranzahl oder Umsätze überschritten sind.

Tatsächlich gibt es Grenzfälle, bei denen es ohne Rechtsgutachten kaum gelingt, die wichtigste Frage zu beantworten: Sind wir als Unternehmen im Anwendungsbereich des Gesetzes oder nicht? Wenn im verarbeitenden Gewerbe etwa unklar bleibt, ob die in der NIS2-Richtlinie der EU aufgeführten – und im deutschen BSI-Gesetz Wort für Wort identischen – Produkt- und Dienstleistungskategorien den eigenen Betrieb zutreffend beschreiben, ist eine gewisse Ratlosigkeit verständlich. Unter diesen Bedingungen aber auf die Registrierung zu verzichten oder erst einmal abzuwarten, ist nicht zu empfehlen.

Umgekehrt gibt es auch Unternehmen, die sich freiwillig und vorsorglich registriert haben – trotz begründeter Zweifel, ob sie überhaupt dazu verpflichtet wären. Auf diese Weise entgehen sie jedenfalls eventuellen Bußgeldern, die schon bei unterlassener Registrierung bis zu einer halben Million Euro betragen können. Unwahrscheinlich, dass die Behörde gleich zu Beginn der neuen Regulierung massenhaft Ordnungswidrigkeiten ahnden wird, aber die Einhaltung geltender Gesetze einfach solange zu verweigern, bis dann wirklich Sanktionen drohen, wäre doch mehr als heikel.

Immer höhere Investitionen

Grundsätzlich ist die Bereitschaft zur Umsetzung von Maßnahmen zur Stärkung der Informationssicherheit aber vorhanden, auch wenn sie Geld kosten. Seit dem Beginn des russischen Angriffskriegs auf die Ukraine sind auch in Deutschland die Investitionen in die Cybersicherheit rasant gestiegen. Folgt man Umfrageergebnissen, wie sie zum Beispiel der Bitkom-Verband oder Schwarz Digit Research zusammengetragen haben, ist der Anteil der IT-Sicherheitsausgaben mittlerweile doppelt so hoch wie damals. Prozentual zum Gesamtbetrag der IT-Budgets in den befragten Unternehmen lagen sie 2022 im Schnitt noch bei neun, heute 18 Prozent. 41 Prozent der Unternehmen liegen sogar über der magischen „Cyber-Quote“, die der ehemalige BSI-Präsident Arne Schönbohm vor Jahren als Richtschnur für – O-Ton – „jedes Digitalisierungsprojekt“ verkündete: Zwanzig Prozent der Ausgaben sollten demnach mindestens für die Cybersicherheit bereitgestellt werden.

Wenn trotz dieser auskömmlichen Investitionsbereitschaft immer noch viele Unternehmen angeben, sie seien noch nicht so weit, ist die Zurückhaltung nicht leicht zu rechtfertigen. Vom Zeitpunkt der Verabschiedung der europäischen Cybersicherheitsrichtlinie im Dezember 2022 bis zum Inkrafttreten des deutschen Umsetzungsgesetzes im Dezember 2025 hätte es genügend Gelegenheit gegeben, sich mit den Auswirkungen auf das eigene Unternehmen zu beschäftigen. Welche Sektoren und Unternehmenskennzahlen Grundlage für die Zuerkennung des Status als NIS2-Verpflichteten sind, worin diese Pflichten im Einzelnen bestehen und welche konkreten Maßnahmen als Mindestsicherheitsanforderungen im Raum stehen, das alles ist seit mehr als drei Jahren bekannt.

Im Bereich der gleichzeitig mit der NIS2 und der Partnerrichtlinie CER in Kraft getretenen EU-Verordnung für den Finanzsektor, genannt DORA, zeigte sich schon Anfang 2025, dass die Umsetzung sehr viel schneller vonstatten geht, wenn regulierte Institutionen von ihrer Aufsichtsbehörde hart in die Pflicht genommen werden. Seit über einem Jahr sind alle relevanten IT-Dienstleister der Banken und anderer Finanzinstitute gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) benannt und mit Angaben über die Umsetzung von Cyber-Risikomaßnahmen versehen. Zur mittlerweile flächendeckenden Compliance im Sinne dieser Regulierung hat sicher beigetragen, dass die BaFin ihre Aufsichtsfunktionen im Bedarfsfall oder bei begründetem Verdacht der Nicht-Umsetzung wichtiger Maßnahmen auf die Zulieferer ausdehnen kann. Ein Besuch der Aufseher kann also auch beim ausgelagerten, unabhängigen IT-Betrieb erfolgen, nicht nur bei der Bank, für die er tätig ist.

Wenn wenigstens die Registrierung dann endlich erfolgt ist, wird es für viele der 30.000 direkt regulierten, aber auch die schätzungsweise 70.000 nur mittelbar von den Vorschriften aus der NIS2 betroffenen Einrichtungen höchste Zeit, sich mit der Implementierung der technischen und organisatorischen Compliance zu beschäftigen. Der berühmte Katalog der zehn Mindestsicherheitsanforderungen aus § 30 (2) BSI-Gesetz enthält keine radikalen Neuerungen oder unzumutbare Auflagen für die Informationssicherheit der Unternehmen – das meiste davon ist seit Jahren als geübte Praxis in vielen IT-Abteilungen und den übrigen Organisationseinheiten längst der Normalfall. Von ein paar expliziten Zusätzen wie Multi-Faktor-Authentisierung oder Notfallkommunikation abgesehen, basiert die Zehn-Punkte-Liste der vorgeschriebenen Risikomanagementmaßnahmen ganz überwiegend auf internationalen Standards. Das steht zwar nicht explizit in Richtlinie oder Gesetz, weil kommerzielle Normen nicht unmittelbar Gegenstand der Gesetzgebung sein dürfen. De facto sind aber drei Viertel der in den zehn Punkten zusammengefassten Vorgaben identisch mit dem Informationssicherheitsmanagementsystem aus ISO 27001 – auch als Basis des BSI IT-Grundschutz-Kompendiums, das dieselbe Norm anders umsetzt.

Allen, die noch zögern, die Vorgaben zur Registrierungs- und Meldepflicht und zur Umsetzung der Cybersicherheitsmaßnahmen zu erfüllen, kann man nur daran erinnern, dass die Einhaltung von Gesetzen zum Wesenskern jeder unternehmerischen Tätigkeit gehört. Wer die NIS2 ignoriert oder ihre Umsetzung im eigenen Unternehmen verschleppt, kann rechtlich und materiell in größte Probleme geraten.

(fo)

Bei der Baden-Württemberg-Wahl am Sonntag nahmen sich Grüne und CDU nicht viel. Um die 30 Prozent erreichten beide, die Grünen einen Hauch mehr. Eine stabile Mehrheit, um das Land weiter grün-schwarz zu regieren, andere reale Optionen fehlen. Sicherheitspolitisch heißt das: Jetzt wird vollzogen, was sich bereits ankündigte.

Denn in Sicherheitsfragen liegen Grüne und CDU wie beim Wahlergebnis eng beieinander. Beide Spitzenkandidaten, Cem Özdemir von den Grünen und Manuel Hagel von der CDU, wollen Palantir-artige Datenanalysen. Nur will Özdemir aufgrund ethischer Bedenken nicht die Original-Software aus den USA nutzen, sondern lieber mit Partnern aus Europa eine Alternative entwickeln. Am besten sogar eine regionale. Özdemir sagte, er sei mit verschiedenen Unternehmern aus Baden-Württemberg im Gespräch, „die alle sagen: Wir können das.“

Beim Thema Videoüberwachung herrscht noch deutlichere Einigkeit. Beide wollen die Videoüberwachung massiv ausweiten, dahinter soll ein System laufen, das prüft, ob die Abgebildeten sich auffällig benehmen. Bislang gibt es in Baden-Württemberg ein Gesetz, das die Videoüberwachung des öffentlichen Raums einschränkt. Sie ist nur erlaubt, wenn an diesem Ort besonders viel Kriminalität stattfindet. Dieses Gesetz ist beiden Kandidaten ein Dorn im Auge.

Schon lange gibt es Bestrebungen, dieses Gesetz aufzuweichen. Die Idee ist, Videoüberwachung – und damit auch KI-gestützte Videoüberwachung – nicht nur an tatsächlichen Kriminalitätsschwerpunkten zuzulassen, sondern auch an „strukturellen“. Was ein struktureller Kriminalitätsschwerpunkt ist, entscheidet dann die Polizei.

Entgrenzung der Videoüberwachung

Es sieht so aus, als stamme die Idee der Entgrenzung der Videoüberwachung aus Mannheim. Dort wird seit 2018 KI-gestützte Verhaltenserkennung getestet und trainiert. Allerdings gab es dazu nie genug Kriminalität, so dass die Polizei mit Schaukämpfen nachhelfen musste – und die Versuche, weitere Areale in die Überwachung einzubeziehen, scheiterten an der Gesetzesgrundlage.

Vermutlich arbeiten der heutige Mannheimer Oberbürgermeister Christian Specht und Baden-Württembergs Innenminister Thomas Strobl deshalb seit 2019 daran, das Gesetz aufzuweichen. 2023 stellte ein Referent der Stadt Mannheim ihr Konzept auf dem Städtetag vor. Demnach sollen auch Orte videoüberwacht werden können, an denen die Kriminalität sinkt.

Vor wenigen Tagen hat sich der Grünen-Spitzenkandidat Cem Özdemir in der Wahlarena des Mannheimer Morgens dieser Vision angeschlossen: „Da gibt’s in Mannheim ja mit der intelligenten Kamera, finde ich, ein gutes Modell. Allerdings hat mir Ihre Polizeipräsidentin auch gesagt, das darf dann nicht dazu führen, wenn die Kriminalitätsbelastung dank der Kamera zurückgeht, dass man sie dann abbauen muss. Das ist natürlich ein Treppenwitz, das würde ich gerne ändern.“

„Wo sie es für notwendig halten“

Wenn jetzt also auch der Grüne für eine Entgrenzung der Videoüberwachung ist, steht der Koalition diesbezüglich nichts mehr im Weg. Manuel Hagel von der CDU will schon länger, dass Kommunen „überall dort, wo sie es für notwendig halten, KI-gestützte Videoüberwachung einsetzen können“.

Die Videoüberwachung rund um Areale im städtischen Besitz haben die bisherigen und wohl auch künftigen Koalitionäre dieses Jahr ebenfalls entgrenzt – mit Hilfe des neuen Datenschutzgesetzes. Özdemir-Kumpel Boris Palmer, Tübingens Oberbürgermeister, beruft sich bei der Videoüberwachung seiner Stadt bereits darauf.

Es wird in Baden-Württemberg eine Wende geben, die jahrelang vorbereitet wurde. Eine Wende von der verdachtsabhängigen Überwachung zur anlasslosen. Die Videoüberwachung muss dann nicht mehr mit Zahlen untermauert werden. Es geht dann fast wie in Hessen bei der Legitimierung von Videoüberwachung nicht mehr um tatsächliche Straftaten, sondern eher um ein Gefühl.