Signal-Hack erschüttert deutsche Spitzenpolitik

Eine ausgeklügelte Phishing-Kampagne gegen Signal-Konten hochrangiger Regierungsmitglieder hat eine breite Sicherheitsdebatte ausgelöst. Hunderte Politiker, darunter Bundestagspräsidentin Julia Klöckner, wurden Opfer gezielter Social-Engineering-Angriffe.

Angriffswelle trifft politische Elite

Die Attacke betrifft mindestens 300 Personen aus dem deutschen Politikbetrieb. Neben Klöckner sind Bauministerin Verena Hubertz und Familienministerin Karin Prien betroffen. Die Täter nutzten eine sogenannte „Linked-Device-Falle": Sie täuschten die Opfer, indem sie diese dazu brachten, ein fremdes Gerät mit ihrem Signal-Konto zu verknüpfen. Die Ende-zu-Ende-Verschlüsselung blieb dabei intakt – die Sicherheitslücke lag im menschlichen Verhalten, nicht in der Technik.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Der Generalbundesanwalt hat Ermittlungen wegen des Verdachts auf Spionage eingeleitet. Sicherheitsexperten verweisen auf die russische Hackergruppe APT28 als wahrscheinlichen Drahtzieher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) hatten bereits im Februar gewarnt – die Kampagne gewann aber erst im April 2026 richtig an Fahrt.

Signal reagiert – Bundestag denkt über Wechsel nach

Am 30. April kündigte Signal zusätzliche Schutzmaßnahmen an. Das Unternehmen betont, dass die Verschlüsselung sicher sei – die Angriffe beruhten auf kompromittierten Anmeldedaten durch Täuschung. Dennoch erwägt der Bundestag offenbar einen Wechsel zu Alternativen wie Wire, um künftige Risiken für die parlamentarische Kommunikation zu minimieren.

KI treibt Phishing-Industrie an

Der Politiker-Hack ist kein Einzelfall, sondern Teil eines globalen Trends. Branchenberichte zeigen: Phishing verursacht mittlerweile 85 Prozent aller Sicherheitsvorfälle. Eine Studie von KnowBe4 belegt, dass 86 Prozent aller Phishing-Angriffe von Künstlicher Intelligenz gesteuert werden. Die Maschinen analysieren Ziele in Sekundenschnelle und generieren personalisierte Köder, die weit effektiver sind als menschengemachte.

Die schiere Menge ist erschreckend: Microsoft registrierte allein im ersten Quartal 2026 rund 8,3 Milliarden Phishing-Mails. Besonders rasant wächst die QR-Code-Variante – hier stiegen die Angriffe zwischen Januar und März um 146 Prozent. Auch CAPTCHA-geschützte Phishing-Versuche verdoppelten sich auf 11,9 Millionen Fälle im März.

Wenn der Kollege plötzlich fremd ist

Die Angreifer imitieren zunehmend interne Kommunikation. Rund 30 Prozent der Phishing-Versuche im Frühjahr 2026 gaben sich als Nachrichten von Teammitgliedern oder Kollaborationsplattformen aus. Besonders Microsoft-Teams-Attacken legten um 41 Prozent zu – die Täter zielen gezielt auf die Werkzeuge, denen Mitarbeiter vertrauen.

MFA ist kein Schutz mehr

Ein alarmierender Trend: Device-Code-Phishing umgeht selbst Mehrfaktor-Authentifizierung. Sicherheitsforscher von Barracuda zählten 7 Millionen solcher Angriffe innerhalb von 28 Tagen im April. Die Methode nutzt legitime Authentifizierungs-URLs, um Nutzer zur Eingabe eines Codes zu verleiten – der Angreifer erhält dann ein Zugriffstoken.

4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch klassische Passwörter nutzt, geht ein unnötiges Risiko ein, da Phishing-Angriffe herkömmliche Hürden oft umgehen. Sicher, bequem und passwortlos: Jetzt Passkey-Report gratis laden

Tools wie EvilTokens automatisieren den Diebstahl dieser Tokens und gewähren dauerhaften Zugriff auf Microsoft 365 oder Entra ID. Einmal kompromittiert, überlebt dieser Zugriff oft sogar einen Passwortwechsel. Die Industrialisierung als „Phishing-as-a-Service" (PaaS) ermöglicht selbst Anfängern professionelle Angriffe.

SMS-Phishing auf dem Vormarsch

Auch Mobilgeräte bleiben im Visier. Ermittlungen zu SMS-Phishing-Kampagnen im April deckten über 79.000 betrügerische Nachrichten in Australien und Neuseeland auf. Die Täter gaben sich als Behörden oder Mautdienste aus und nutzten über 30.000 verschiedene Schad-URLs. Die schiere Zahl zeigt: Angreifer steuern tausende Kampagnen-Varianten parallel und automatisiert.

Wer haftet, wenn der Betrug gelingt?

Die aktuelle Welle offenbart eine grundlegende Schwachstelle: das Management digitaler Identitäten. Während viele Organisationen auf MFA setzen, hebeln „Adversary-in-the-Middle"-Techniken und Token-Diebstahl diesen Schutz aus. Banken und Behörden erkennen: Herkömmliche Maßnahmen reichen gegen KI-gesteuerte Kampagnen nicht mehr.

Die Regulierungsbehörden reagieren. Die indische Zentralbank erwägt Pflichtverzögerungen für Großzahlungen und zusätzliche Authentifizierung über Dritte. Nigerias Notenbank will Banking-Apps auf ein Gerät beschränken und Transaktionslimits für neue Hardware einführen.

In Europa zeichnet sich eine ähnliche Entwicklung ab. Ein Gericht in Koblenz entschied im April, dass eine Bank für Phishing-Verluste haften muss – weil ihr Betrugserkennungssystem bei ungewöhnlichen Transaktionen nicht ausgelöst hatte. Die Botschaft: Dienstleister müssen Verhaltensanalysen und robuste Überwachungssysteme implementieren, die automatisierte Angriffsmuster in Echtzeit erkennen.

Ausblick: Zero Trust als neuer Standard

Für das zweite Quartal 2026 zeichnet sich eine Neuausrichtung der Cybersicherheit ab. Zero-Trust-Architekturen und phishing-resistente Authentifizierung wie Passkeys oder Hardware-Token werden zum Standard. Signal wird voraussichtlich strengere Protokolle für die Geräteverknüpfung einführen – möglicherweise mit biometrischer Bestätigung.

Auch die Abwehr setzt zunehmend auf KI. Da maschinell generierte Köder um ein Vielfaches effektiver sind als traditionelle Phishing-Mails, müssen Unternehmen automatisierte Erkennungstools installieren, die synthetische Texte und Deepfakes identifizieren. Die kommenden Monate werden zeigen, ob Zertifizierungen für KI-spezifische Bedrohungen den nötigen Rahmen schaffen – und ob Politik und Wirtschaft ihre sensibelsten Kommunikationswege gegen die automatisierte Angriffsflut wappnen können.

de | wissenschaft | 69266626 |