WhatsApp-Hack australisches Parlament: Zero-Click-Exploits übernehmen Konten

Die Attacke auf WhatsApp-Konten eines prominenten Abgeordneten und mehrerer Mitarbeiter zeigt, wie verwundbar selbst geschützte Kommunikationswege geworden sind.

Der aktuelle Hackerangriff auf Regierungsmitglieder unterstreicht, wie leicht mobile Messenger zum Ziel werden können. Mit welchen fünf einfachen Schritten Sie Ihr eigenes Android-Smartphone sofort gegen unbefugte Zugriffe und Datenmissbrauch absichern, erfahren Sie in diesem kostenlosen Ratgeber. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Angriff im März traf unabhängige Abgeordnete

Am 6. März 2026 gelang es einem ausländischen Geheimdienst, die WhatsApp-Konten der unabhängigen Abgeordneten Zali Steggall und dreier ihrer Mitarbeiter zu übernehmen. Die Täter setzten eine hochgezielte Phishing-Methode ein, um an die Verifikationscodes der Opfer zu gelangen. Mit diesen Einmalpasswörtern übernahmen sie die Konten vollständig.

Die Parlamentsverwaltung reagierte prompt: Bereits drei Tage später, am 9. März, sperrte sie die Web-Version von WhatsApp auf allen Desktop-Geräten im Parlament. Die Sperre blieb mehrere Wochen bestehen, während Sicherheitsexperten gemeinsam mit dem australischen Geheimdienst das Ausmaß des Angriffs untersuchten. Erst am 24. Mai wurde der Zugang wieder freigegeben – nachdem die Behörden verschärfte Sicherheitsmaßnahmen implementiert hatten.

Laut Aussage des IT-Direktors der Parlamentsverwaltung, Mike Webb, vor einem Senatsausschuss am 25. Mai bestand das Hauptziel der Angreifer darin, die Konten zu übernehmen und an vertrauliche Nachrichten sowie Kontaktlisten zu gelangen. Offiziell nannte die Regierung den verantwortlichen Staat nicht. Sicherheitsexperten sehen jedoch Parallelen zu russischen Spionagekampagnen, die zuletzt Politiker in den USA, Deutschland und den Niederlanden ins Visier nahmen.

Bedrohungslage eskaliert dramatisch

Die Enthüllung kommt zu einem Zeitpunkt massiv gestiegener Cyber-Aktivitäten gegen Regierungsnetzwerke. Die Parlamentsverwaltung legte im Senat erschreckende Zahlen offen: Vom 1. Juli 2025 bis zum 31. März 2026 registrierten die Systeme über 20.000 Phishing-Versuche und 46 konkrete Malware-Fälle. Insgesamt lösten die Sicherheitssysteme 1.458 Cyber-Warnungen aus.

Die Sicherheitsexpertin Nicola Hinder von der Parlamentsverwaltung beobachtet dabei klare Muster: Die Angriffswellen folgen politischen Ereignissen und geopolitischen Spannungen. Zwar blockieren automatisierte Filter die meisten Versuche, doch die schiere Menge und Vielfalt der Attacken bleibt eine permanente Herausforderung.

In die Kritik geraten ist auch die Nutzung von Drittanbieter-Apps für dienstliche Kommunikation. Sicherheitsforscher der Firma Mysk haben nachgewiesen, dass WhatsApp zwar Ende-zu-Ende-Verschlüsselung für Nachrichten während der Übertragung nutzt, die Chatverläufe auf dem Gerät jedoch unverschlüsselt in einer SQLite-Datenbank speichert. Diese Datenbank liegt in einem Bereich, den auch andere Meta-Apps wie Facebook und Instagram auslesen könnten – ein Risiko, falls das Gerät selbst oder andere Programme kompromittiert werden.

Phishing wird zum Dienstleistungsgeschäft

Doch nicht nur staatliche Akteure sind gefährlich. Die Kommerzialisierung von Hacking-Werkzeugen verändert die Bedrohungslage grundlegend. Die Google Threat Intelligence Group analysierte chinesischsprachige Phishing-as-a-Service-Angebote, die längst über den einfachen Passwortdiebstahl hinausgehen.

Ein Dienst namens YY Lai Yu ist seit November 2025 aktiv und zielt auf Nutzer in 119 Ländern ab. Die Plattform bietet über 400 Phishing-Vorlagen und konzentriert sich stark auf den japanischen Markt, wo sie große Marken wie Amazon und Apple imitiert. Die Angreifer nutzen moderne Kommunikationsdienste wie RCS und iMessage, um ihre Links zu versenden – und umgehen damit traditionelle SMS-Filter. Durch den Echtzeit-Diebstahl von Einmalpasswörtern können selbst Angreifer mit geringen Kenntnissen die Zwei-Faktor-Authentifizierung aushebeln.

Noch perfider sind sogenannte Zero-Click-Exploits. Sicherheitsforscher entdeckten eine Sicherheitslücke, die iPhones mit iOS-Versionen unter 16.7.12 betrifft. Die als CVE-2025-43300 und CVE-2025-55177 bekannten Schwachstellen erlauben die Übernahme von WhatsApp-Konten, ohne dass das Opfer irgendetwas tun muss – nicht einmal das Öffnen einer Nachricht ist erforderlich.

Angesichts von Millionen gehackter Konten pro Quartal wird deutlich, dass klassische Passwörter oft nicht mehr ausreichen, um Dienste wie WhatsApp sicher zu nutzen. Dieser kostenlose Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Konten effektiv vor Phishing schützen und sich künftig ohne Passwort-Stress anmelden. Kostenlosen Report zu Passkeys jetzt anfordern

Forensiker der italienischen Firma Forenser fanden in den Logs der betroffenen Geräte Hinweise auf permanente „Resync"-Ereignisse. Die Angreifer extrahierten demnach kryptografisches Material, um eine Sitzungshandschrift durchzuführen. Die gekaperten Konten nutzten sie anschließend, um betrügerische Geldforderungen an die Kontaktlisten der Opfer zu senden.

KI-gestützte Angriffe als neue Bedrohung

Mit dem Aufkommen von KI-gestützten Exploits wie PROMPTSPY – entwickelt von Hackergruppen mit Verbindungen zu Nordkorea, Russland und China – zeichnet sich eine weitere Eskalationsstufe ab. Diese Werkzeuge automatisieren die Ausnutzung von Sicherheitslücken und machen die Umgehung moderner Authentifizierungssysteme zum Massenphänomen.

Das FBI warnte bereits vor der PhaaS-Plattform Kali365, die Microsoft-365- und Microsoft-Entra-Konten kapert. Die Angreifer missbrauchen dabei den OAuth-Gerätecode-Fluss: Die Opfer glauben, sich auf legitimen Microsoft-Seiten anzumelden, während die Angreifer in Wirklichkeit aktive Sitzungstoken stehlen und damit die Zwei-Faktor-Authentifizierung umgehen.

Lehren für die Sicherheitspolitik

Der Vorfall im australischen Parlament ist ein Weckruf für Regierungen und Unternehmen weltweit. Die vorübergehende Sperrung von WhatsApp zeigt den grundlegenden Konflikt zwischen modernen Kommunikationsbedürfnissen und den Sicherheitsrisiken, die solche Werkzeuge in sensiblen Umgebungen mit sich bringen.

Für die australische Parlamentsverwaltung steht nun die Schulung der Nutzer und die Verbesserung technischer Schutzmaßnahmen im Vordergrund. Sicherheitsexperten betonen: Software-Updates – etwa der Umstieg auf aktuelle iOS-Versionen, um die ImageIO- und WhatsApp-Sicherheitslücken zu schließen – sind notwendig, aber nur ein Teil einer mehrschichtigen Verteidigung. Die Entwicklung hin zu Echtzeit-Tokenisierung und KI-gesteuerter Seitengenerierung bei Phishing-Diensten erfordert eine proaktive Überwachung des Sitzungsverhaltens und ein grundlegendes Umdenken im Umgang mit Verifikationscodes auf privaten und beruflichen Geräten.

de | wissenschaft | 69419302 |