BSI warnt vor Angriffswelle auf Signal und WhatsApp

Das Bundesamt für Sicherheit in der Informationstechnik schlägt Alarm: Eine Welle von Angriffen auf Messenger-Dienste rollt über Deutschland hinweg. Betroffen sind vor allem Signal und WhatsApp. Was Sie jetzt wissen müssen, um Ihre Kommunikation zu schützen.

Es klingt wie ein Albtraum für alle, die ihre Kommunikation über Messenger-Dienste abwickeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine offizielle Warnung herausgegeben: Aktuell gibt es eine erhöhte Bedrohungslage für Signal und WhatsApp in Deutschland. Betroffen sind insbesondere Nutzerinnen und Nutzer in politiknahen, militärischen und journalistischen Kreisen. Das ist keine Panikmache – es ist eine realistische Einschätzung einer ernsten Bedrohungslage, die wir bei digital-magazin.de für wichtig genug halten, um sie ausführlich zu beleuchten.

Was ist passiert?

Die Warnung des BSI bezieht sich auf eine gezielte Angriffskampagne, bei der Angreifende versuchen, Zugang zu Messenger-Konten zu erlangen. Die Methoden variieren: Phishing-E-Mails, gefälschte Login-Seiten, manipulierte QR-Codes und Social-Engineering-Angriffe über alternative Kanäle. Das klingt nach altbekannten Tricksen – und das ist es auch. Aber die Umsetzung ist raffinierter als bei früheren Kampagnen, und die Erfolgsquote scheint höher zu sein als je zuvor.

Was die aktuelle Kampagne von früheren Angriffen unterscheidet, ist die Zielgenauigkeit. Die Angreifenden wählen ihre Opfer sorgfältig aus und passen ihre Methoden individuell an – perfide, aber effektiv. Das deutet auf einen staatlich unterstützten Akteur hin – wahrscheinlich aus dem Baltikum oder Osteuropa, wo solche Kampagnen seit Jahren zur Cyber-Spionage gehören. Für betroffene Personen ist das keine gute Nachricht, und es zeigt, dass die Bedrohungslage ernst ist.

Ein konkreter Fall, der uns zugetragen wurde: Eine Journalistin erhielt eine E-Mail, die vorgab, von Signal selbst zu stammen. Darin wurde sie aufgefordert, ihren Account zu verifizieren, da angeblich ein verdächtiger Login aus dem Ausland erfolgt war. Der Link führte zu einer gefälschten Seite, die der echten Signal-Login-Seite täuschend ähnlich sah. Sie hat die Falle erkannt und die E-Mail gelöscht – aber nicht jeder ist so aufmerksam, und nicht jeder hat das Glück, den Betrug zu bemerken, bevor es zu spät ist.

Wer ist betroffen?

Das BSI spricht von einer erhöhten Bedrohungslage, betont aber, dass die breite Bevölkerung nicht primär betroffen ist. Die Angriffe richten sich gezielt gegen Personen in sicherheitsrelevanten Bereichen: Mitarbeitende von Ministerien und Behörden, Politikerinnen und Politiker, Journalistinnen und Journalisten, militärisches Personal, Unternehmensvertreterinnen und -vertreter in sicherheitsrelevanten Branchen. Wenn Sie zu einer dieser Gruppen gehören, ist erhöhte Vorsicht geboten – aber auch wenn nicht, sollten Sie wachsam sein.

Auch reguläre Nutzerinnen und Nutzer sollten wachsam sein – die Methoden werden mit der Zeit auch für andere Ziele eingesetzt. Denn was heute nur Hochrisikozielgruppen betrifft, kann morgen schon ein breites Publikum betreffen. Die Geschichte der Cyberangriffe zeigt, dass Tools und Techniken, die ursprünglich nur gegen ausgewählte Ziele eingesetzt wurden, schnell in die Breite diffundieren – und dass man sich nie sicher genug fühlen sollte.

Was Signal und WhatsApp verbindet: Beide nutzen eine ähnliche Architektur für die Verifizierung und Account-Wiederherstellung. Ein Angriff auf die eine Plattform kann daher Techniken beinhalten, die auch auf der anderen funktionieren. Das BSI hat deswegen eine kombinierte Warnung für beide Dienste herausgegeben – und das ist ein ungewöhnlicher, aber wichtiger Schritt, der zeigt, wie ernst die Lage ist.

Wie erkennen Sie einen Angriff?

Die gefälschten Seiten werden immer professioneller. Aber es gibt Hinweise, die Sie beachten sollten: Dringlichkeit ist ein Warnsignal – echte Dienste fordern Sie nicht zu sofortigem Handeln auf. Wenn Sie eine E-Mail erhalten, die schnelle Aktion verlangt, seien Sie misstrauisch. Prüfen Sie die E-Mail-Adresse genau – oft unterscheidet sich der Domainname minimal von der echten, etwa signal-support.com statt signal.org. Diese kleinen Unterschiede sind der Schlüssel zum Erkennen von Betrug.

Fahren Sie mit der Maus über Links, bevor Sie klicken. Die angezeigte URL und die tatsächliche URL sollten übereinstimmen – wenn nicht, klicken Sie nicht. Signal und WhatsApp fordern niemals Ihre PIN oder Ihren Schlüssel in einer E-Mail – wenn jemand das tut, ist es mit hoher Wahrscheinlichkeit ein Betrugsversuch. Kennen Sie diese Zeichen, können Sie die meisten Angriffe erkennen – und das ist besser, als hinterher den Schaden zu reparieren.

Das BSI empfiehlt außerdem, die Zwei-Faktor-Authentifizierung zu aktivieren und regelmäßig die aktiven Sitzungen in Ihren Messenger-Apps zu überprüfen. Wenn Ihnen eine unbekannte Sitzung auffällt, trennen Sie diese sofort. Das ist keine paranoider Luxus – in der aktuellen Bedrohungslage ist es eine realistische Notwendigkeit. Und mal ehrlich: Es kostet Sie zwei Minuten, und es kann Ihnen eine Menge Ärger ersparen – und im schlimmsten Fall eine Menge Geld.

Was Sie jetzt tun sollten

Signal Sicherheit. Passwortsicherheit. Messenger-Vergleich. BSI. Europol.

Das BSI hat konkrete Handlungsempfehlungen veröffentlicht. Hier die wichtigsten Punkte, die Sie nicht ignorieren sollten: Aktivieren Sie Zwei-Faktor-Authentifizierung – das ist der effektivste Schutz, den Sie aktivieren können. Bei Signal geht das über Einstellungen → Privatsphäre → Verschlsselung. Bei WhatsApp über Einstellungen → Konto → Zweistufige Verifizierung. Wenn Sie das heute noch nicht aktiviert haben, tun Sie es jetzt sofort.

Melden Sie verdächtige Nachrichten – wenn Sie eine verdächtige E-Mail oder Nachricht erhalten, leiten Sie sie nicht weiter. Stattdessen können Sie sie bei der Polizei oder dem BSI melden. Scannen Sie keine unbekannten QR-Codes – das gilt insbesondere für QR-Codes, die Ihnen in E-Mails oder von unbekannten Kontakten zugeschickt werden. Aktivieren Sie Login-Benachrichtigungen – bei Signal erhalten Sie eine Benachrichtigung, wenn sich ein neues Gerät mit Ihrem Konto verbindet. Diese Benachrichtigungen sollten Sie nicht ignorieren.

Prüfen Sie regelmäßig Ihre Sessions – kontrollieren Sie in den App-Einstellungen, welche Geräte aktuell mit Ihrem Konto verbunden sind. Wenn Sie bereits Opfer eines Angriffs geworden sind, sollten Sie sofort Ihre Passwörter ändern und die betroffenen Dienste kontaktieren. Bei Signal können Sie Ihr Konto deaktivierSemantisch passt dazu unser Hintergrund Weihnachtsgrüße für WhatsApp, Telegram und Signal: 60+ kreative Ideen für herzliche Festtagsgrüße 2026.en und neu einrichten. Das ist unbequem, aber der sicherste Weg, um sicherzustellen, dass Ihre Daten nicht kompromittiert wurden – und Prävention ist immer besser als Nachsorge.Semantisch passt dazu unser Hintergrund Weihnachtsgrüße für WhatsApp, Telegram und Signal: 60+ kreative Ideen für herzliche Festtagsgrüße 2026.

Die Rolle von Verschlüsselung

Es ist wichtig zu verstehen, was Verschlüsselung leistet – und was nicht. Eine Ende-zu-Ende-Verschlüsselung wie die von Signal stellt sicher, dass Ihre Nachrichten während der Übertragung nicht gelesen werden können – nicht von Kriminellen, nicht von Hackern, nicht von Telecom-Unternehmen, nicht von Regierungen. Das ist ein hohes Maß an Schutz, das seinesgleichen sucht und das Signal zu einem der sichersten Messenger macht, die es gibt.

Aber dieser Schutz gilt nur für die Nachrichten selbst, nicht für den Zugang zu Ihrem Konto. Wenn ein Angreifer Ihre Telefonnummer und Ihre Verification PIN hat – etwa durch Phishing oder durch eine Datenpanne bei einem anderen Dienst – dann kann er sich als Sie bei Signal anmelden und Nachrichten in Ihrem Namen lesen und senden. Die Verschlüsselung schützt Sie in diesem Fall nicht, weil der Angreifer den Schlüssel – Ihre PIN – hat. Deshalb ist die Zwei-Faktor-Authentifizierung so wichtig: Sie schützt den Zugang zu Ihrem Konto, nicht den Inhalt Ihrer Nachrichten.

Ein weiterer Punkt, der selten erwähnt wird: Selbst wenn Ihre Nachrichten verschlüsselt sind, sind Ihre Metadaten es oft nicht. Das heißt: Wer mit wem wann kommuniziert hat, ist für Dritte oft sichtbar – selbst wenn der Inhalt der Nachrichten verborgen bleibt. Das ist ein Datenschutzproblem, das nicht einfach zu lösen ist, weil es in der Architektur des Mobilfunksystems selbst verankert ist. Für die meisten Menschen ist das kein Problem – aber für Menschen in sicherheitsrelevanten Berufen kann es relevant sein.

Ein häufiges Missverständnis betrifft die Rolle der Ende-zu-Ende-Verschlüsselung. Diese schützt Ihre Nachrichten vor Dritten – aber nicht vor Angriffen auf Ihr Konto. Wenn jemand Ihre Zugangsdaten hat, kann er Ihre verschlüsselten Nachrichten lesen, weil er den Schlüssel über Ihren Account entschlüsselt. Das ist ein wichtiger Punkt, der oft übersehen wird – und der zeigt, dass Verschlüsselung allein nicht ausreicht.

Verschlüsselung ist notwendig, aber nicht hinreichend für Sicherheit. Sie müssen auch die Zugangskontrollen schützen – und das beginnt mit starken, einzigartigen Passwörtern und Zwei-Faktor-Authentifizierung. Das klingt vielleicht nach viel Aufwand, aber es ist der Preis für Sicherheit in einer zunehmend unsicheren digitalen Welt. Ohne diesen Preis werden Sie irgendwann einen höheren Preis zahlen – in Zeit, Geld oder Vertrauen.

Signal hat in einer Stellungnahme erklärt, dass die Angriffe nicht auf eine Sicherheitslücke in der Software zurückzuführen sind, sondern auf Social Engineering und Phishing. Das Unternehmen arbeitet mit dem BSI zusammen, um die Kampagne zu analysieren und Gegenmaßnahmen zu entwickeln. Das ist ein gutes Zeichen – es zeigt, dass die Verantwortlichen die Lage ernst nehmen und nicht in Panik verfallen, sondern konstruktiv an Lösungen arbeiten.

Verknüpfte Geräte als Einfallstor – die unterschätzte Angriffsfläche

Es gibt eine Funktion in Signal und WhatsApp, die viele Nutzerinnen und Nutzer gar nicht wirklich verstehen: die Geräteverknüpfung. Beide Messenger erlauben es, ein Konto auf mehreren Endgeräten gleichzeitig zu betreiben – Smartphone, Tablet, Desktop-Client, Browser-Erweiterung. Das ist praktisch. Es ist auch ein Geschenk für Angreifende, das bisher viel zu wenig Aufmerksamkeit bekommt.

Der Angriff läuft so ab: Das Opfer wird – per gefälschter Systembenachrichtigung, manipuliertem Support-Link oder schlicht über einen QR-Code, der in einem vermeintlich harmlosen Dokument steckt – dazu gebracht, ein fremdes Gerät als vertrauenswürdig zu registrieren. Ab diesem Moment liest der Angreifer still mit. Keine Passwörter geknackt, kein Account gehackt im klassischen Sinne. Die Verschlüsselung läuft weiter, einwandfrei. Trotzdem landet jede Nachricht in feindlichen Händen.

Was macht das so gefährlich? Der Angriff hinterlässt kaum Spuren. Wer täglich durch Signal scrollt, denkt nicht daran, regelmäßig die Liste verknüpfter Geräte zu prüfen. Signal zeigt diese Liste unter Einstellungen – verknüpfte Geräte – an. WhatsApp macht es ähnlich über den Punkt „Verknüpfte Geräte“. Dort stehen dann Einträge wie „Chrome unter Windows“ oder „Desktop-App“ – und wer merkt schon, dass dieser Eintrag nicht von ihm selbst stammt?

Die britische NCSC hat im Frühjahr 2024 explizit auf diese Methode hingewiesen, nachdem mehrere Regierungsmitarbeiter auf diesem Weg kompromittiert wurden. Das BSI hat dasselbe Muster offenbar auch in der aktuellen Kampagne beobachtet. Die Empfehlung ist simpel und dauert dreißig Sekunden: Verknüpfte Geräte aufrufen, alle unbekannten Einträge sofort entfernen, danach die Zwei-Faktor-Authentifizierung aktivieren, falls noch nicht geschehen. Wer das heute Abend nicht tut, hat morgen möglicherweise einen stillen Mitlesenden in seinem Postfach.

Ein weiterer Punkt, der in diesen Diskussionen oft untergeht: Desktop-Clients speichern Nachrichtenverläufe lokal. Wird ein Rechner kompromittiert – etwa durch Schadsoftware, die über eine ganz andere Route eingeschleust wurde – liegen diese Verläufe im Klartext auf der Festplatte. Die Ende-zu-Ende-Verschlüsselung schützt den Transportweg. Sie schützt nicht das Endgerät selbst.

Warum Signal und WhatsApp gleichzeitig? Die Logik hinter der Doppelstrategie

Es fällt auf, dass das BSI beide Dienste in einer gemeinsamen Warnung nennt. Das ist kein Zufall und kein redaktioneller Pauschalismus – es ist ein Hinweis auf die Strategie der Angreifenden, der sich lohnt zu durchleuchten.

Signal und WhatsApp richten sich an unterschiedliche Nutzergruppen mit unterschiedlichen Schutzerwartungen. Signal gilt als der härtere Brocken: bewusst gewählt, technisch versiertes Publikum, weniger Metadaten, kein Cloud-Backup standardmäßig aktiviert. WhatsApp dagegen hat schiere Masse – über zwei Milliarden Nutzerinnen und Nutzer weltweit, davon allein in Deutschland rund 60 Millionen. Wer eine Zielperson unter Druck setzen will, versucht es über den Kanal, auf dem sie erreichbar ist. Und das ist meistens WhatsApp, auch wenn die Person parallel Signal nutzt.

Die Doppelstrategie macht daher taktisch Sinn: Über WhatsApp läuft der breit angelegte Social-Engineering-Angriff – eine manipulierte Nachricht von einem scheinbar bekannten Kontakt, ein Link, ein angeblicher Hilferuf. Über Signal versucht man es mit zielgenaueren Methoden, zum Beispiel der beschriebenen QR-Code-Geräteverknüpfung. Wer auf einem Kanal vorsichtiger ist, wird auf dem anderen möglicherweise nachlässig.

Hinzu kommt ein struktureller Unterschied in der Angriffsfläche. WhatsApp sichert Nachrichtenverläufe standardmäßig in Google Drive oder iCloud – mit Ende-zu-Ende-Verschlüsselung, die Meta erst 2021 eingeführt hat. Wer diese Funktion vorher aktiviert hatte und nie aktualisiert hat, sitzt unter Umständen auf einem unverschlüsselten Backup. Das ist eine Altlast, die viele nicht auf dem Schirm haben. Signal dagegen sichert ohne ausdrücklichen Benutzereingriff nichts in die Cloud – was es sicherer macht, aber auch bedeutet: Geräteverlust ist Datenverlust.

Das erklärt auch, warum besonders exponierte Personen – Parlamentsmitarbeiter, Investigativjournalistinnen, NGO-Mitarbeitende im Menschenrechtsbereich – oft beide Dienste parallel benutzen und damit auf beiden Fronten angreifbar sind. Die Angreifenden wissen das. Sie kalkulieren mit der Gewohnheit, mit Müdigkeit, mit dem einen Moment, in dem jemand zwischen zwei Meetings auf einen Link klickt ohne nachzudenken.

Was staatlich unterstützte Angreifer von gewöhnlichen Cyberkriminellen unterscheidet

Wenn das BSI von staatlich unterstützten Akteuren spricht, klingt das abstrakt. Es lohnt sich, das konkreter zu machen – weil es den Unterschied erklärt zwischen einer Phishing-Mail aus Nigeria und dem, womit politiknahe Personen in Deutschland gerade konfrontiert sind.

Gewöhnliche Cyberkriminelle operieren mit Masse. Sie verschicken Millionen Nachrichten, in der Hoffnung, dass ein kleiner Prozentsatz darauf hereinfällt. Die Qualität ist oft erkennbar schlecht: Rechtschreibfehler, generische Ansprache, billig geklonte Webseiten. Das Ziel ist schnelles Geld – Kreditkartendaten, Zugangsdaten zu Banking-Portalen, Erpressungssoftware.

Staatlich unterstützte Gruppen funktionieren anders. Sie haben Zeit, Budget und eine klare Aufgabe. Sie recherchieren ihre Zielpersonen im Vorfeld – welche Konferenzen jemand besucht, welche Kolleginnen und Kollegen vertraut sind, welche Projekte laufen. Die Phishing-Mail, die dann ankommt, ist individuell formuliert. Sie nennt echte Namen, echte Projekte, echte Ereignisse. Das ist der Grund, warum selbst erfahrene Sicherheitsexpertinnen und -experten manchmal hereinfallen.

In der aktuellen Kampagne wurden laut BSI Methoden eingesetzt, die auf detaillierter Vorkenntnis beruhen. Angreifende wussten, über welchen Messenger ihre Zielperson primär kommuniziert. Sie wussten, in welchen Gruppen jemand aktiv ist. Das deutet auf einen vorangegangenen Zugriff hin – möglicherweise über ein kompromittiertes Gerät in einem gemeinsamen Netzwerk oder über einen Kontakt, der bereits infiltriert wurde.

Das verändert die Risikoberechnung grundlegend. Es reicht nicht, selbst vorsichtig zu sein. Wenn die Person, mit der man kommuniziert, kompromittiert wurde, kann man noch so sorgfältig agieren – der Schaden entsteht auf der anderen Seite der Leitung. Für besonders sensible Kommunikation empfiehlt das BSI deshalb nicht nur technische Maßnahmen, sondern auch organisatorische: geregelte Kommunikationswege, Überprüfung des Kommunikationspartners auf außergewöhnliche Anfragen, klare Protokolle für den Verdachtsfall. Wer das für übertrieben hält, unterschätzt, was auf dem Spiel steht – und wie weit ein gut ausgestatteter Angreifer bereit ist zu gehen.

Was bleibt

Ein weiterer Aspekt, der bei der Absicherung Ihrer Messenger-Konten oft vergessen wird: die Wiederherstellungsoptionen. Wenn Sie Ihr Smartphone verlieren oder die App deinstallieren müssen, brauchen Sie einen Weg, um wieder auf Ihr Konto zuzugreifen. Signal und WhatsApp bieten beide Wiederherstellungsmechanismen an – aber diese können auch von Angreifern missbraucht werden, wenn sie die entsprechenden Daten haben. Deshalb ist es wichtig, dass Ihre Wiederherstellungsoptionen genauso gut abgesichert sind wie Ihre primären Login-Daten. Das bedeutet: Verwenden Sie eine sichere E-Mail-Adresse für die Wiederherstellung, die nicht mit Ihrem Signal-Konto verknüpft ist. Und ändern Sie regelmäßig Ihre Wiederherstellungs-PIN. Denn Sicherheit ist immer nur so stark wie ihr schwächstes Glied. Semantisch passt dazu unser Hintergrund Signal Messenger: Der sichere WhatsApp-Ersatz im Test.

Die Warnung des BSI ist kein Grund zur Panik, aber zur Wachsamkeit. Die Angriffskampagne zeigt, dass selbst etablierte Messenger-Dienste mit gezielten Angriffen konfrontiert sind. Die beste Verteidigung ist eine Kombination aus technischen Maßnahmen und gesundem Misstrauen. Das klingt vielleicht altmodisch, aber es funktioniert – und darauf kommt es an, wenn es um Ihre Sicherheit geht.

Prüfen Sie noch heute Ihre Sicherheitseinstellungen in Signal und WhatsApp. Aktivieren Sie Zwei-Faktor-Authentifizierung, wenn Sie das noch nicht getan haben. Und seien Sie skeptisch gegenüber unerwarteten Nachrichten, die schnelle Aktion erfordern. Das sind keine großen Opfer – aber sie können einen großen Unterschied machen, wenn es darauf ankommt. Und dieser Unterschied kann zwischen Sicherheit und Kompromittierung liegen.

Bei digital-magazin.de werden wir die Entwicklung weiter verfolgen. Wenn es neue Informationen gibt, werden wir sie hier veröffentlichen. Bleiben Sie sicher – im Netz und darüber hinaus. Denn Ihre Daten sind nur so sicher wie Ihre paranoidsten Erwartungen – und es ist besser, übervorsichtig zu sein als nachlässig.

Für diejenigen, die noch einen Schritt weiter gehen wollen: Es gibt zusätzliche Sicherheitsmaßnahmen, die über das Standard hinausgehen. Eine davon ist die Verwendung eines dedizierten Geräts für besonders sensible Kommunikation – ein Smartphone, das nur für Signal oder WhatsApp genutzt wird und das sonst keine anderen Apps installiert hat. Das reduziert die Angriffsfläche erheblich, weil viele Angriffe über kompromittierte Apps oder Websites auf das Gerät gelangen. Eine andere Maßnahme ist die Verwendung eines VPN, das den Datenverkehr verschlüsselt und die Metadaten-Analyse erschwert. Diese Maßnahmen sind nicht für jeden notwendig – aber für Menschen in Hochrisikogruppen können sie den Unterschied zwischen Sicherheit und Kompromittierung ausmachen. Semantisch passt dazu unser Hintergrund Signal vs. Telegram: Datenschutz-Vergleich.