Signal hat in Deutschland einen massiven Nutzerzuwachs erfahren — und wurde gleichzeitig Ziel eines großangelegten Spionageangriffs. Die Bundesanwaltschaft ermittelt wegen Social-Engineering-Angriffen auf Dutzende Abgeordnete, Beamte und Journalisten. Der Artikel zeigt: Signal ist trotz Hack besser als der Ruf, aber nur wenn Nutzer aktiv bleiben.
Im April diesen Jahres wurde Signal, der Messenger, der sich seit Jahren als Inbegriff der Privatsphäre positioniert, zum Ziel einer gezielten Spionagekampagne in Deutschland. Die Bundesanwaltschaft hat die Ermittlungen übernommen — ein deutliches Signal dafür, dass hier keine normale Cyberkriminalität vorliegt, sondern ein Angriff auf geschützte Kommunikation nach Artikel 10 des Grundgesetzes. Signal hat in den vergangenen Monaten einen ausführlichen Test durchlaufen, der die Stärken und Schwächen des Messengers im Alltag beleuchtet hat. Hinter dem Angriff steht eine Gruppe, die sich als offizieller Signal-Support ausgegeben hat — eine perfekt inszenierte Fälschung, die selbst erfahrene Nutzer täuschte.
Die Methode war Social Engineering in seiner raffiniertesten Form. Die Angreifer erstellten gefälschte Support-Kanäle, die optisch kaum von den echten Signal-Hilfeseiten zu unterscheiden waren. Über diese Kanäle wurden gezielt Abgeordnete des Bundestages, Mitarbeiter von Bundesbehörden und Journalisten namhafter Medienhäuser kontaktiert. Die Opfer wurden aufgefordert, ihre Telefonnummern zu verifizieren — ein Schritt, der normalerweise harmlos wirkt, in diesem Kontext aber den Zugang zu ihren Signal-Konten öffnete.
Rund 300 Personen in Deutschland sind nach aktuellem Stand der Ermittlungen betroffen. Die Dunkelziffer könnte deutlich höher liegen, da viele Opfer bis heute nicht wissen, dass ihre Kommunikation kompromittiert wurde. Das Bundeskriminalamt und das Bundesamt für Verfassungsschutz arbeiten gemeinsam daran, das Ausmaß der Kampagne vollständig aufzuklären.
Der Angriff nutzte eine Schwachstelle aus, die weniger in der Signal-Software selbst lag, sondern in der Vertrauensstellung des Messengers. Signal-Nutzer vertrauen dem Dienst explizit, weil er keine Metadaten sammelt — keine Information darüber, wer mit wem kommuniziert, zu welcher Uhrzeit, von welchem Standort. Diese Architektur macht Signal für viele Menschen unverzichtbar, die in sensiblen Bereichen arbeiten.
Die Angreifer haben diesen Vertrauensvorschuss missbraucht. Sie nutzten gefälschte Support-Identitäten, um an Verifizierungscodes zu kommen, die dann für die Übernahme der jeweiligen Konten verwendet wurden. Einmal im Besitz dieser Codes, konnten die Angreifer die gesamte Kommunikation der betroffenen Nutzer mitlesen — sowohl aktuelle Gespräche als auch ältere Nachrichten, sofern diese nicht lokal auf dem Gerät gelöscht worden waren.
Besonders brisant: Die Angreifer hatten es nicht auf die breite Masse abgesehen, sondern auf einzelne Personen mit hohem Sicherheitsrisiko. Das Bundesamt für Verfassungsschutz stuft solche gezielten Angriffe auf Führungspersonen aus Politik und Medien als besonders schwerwiegend ein, weil sie die Grundlage für nachgelagerte Erpressung oder gezielte Desinformation bilden können.
Fast zeitgleich mit dem Bekanntwerden der Spionagekampagne wurde eine separate Sicherheitslücke in der Signal-iOS-Version publik. Forscher entdeckten, dass gelöschte Nachrichten unter bestimmten Bedingungen wiederhergestellt werden konnten — ein Verhalten, das dem eigentlichen Versprechen des Messengers diametral widerspricht. Nutzer gingen davon aus, dass eine gelöschte Nachricht verschwunden ist. Tatsächlich waren die Daten in bestimmten Szenarien noch über die iOS-Zwischenablage zugänglich.
Signal reagierte schnell und veröffentlichte ein Notfall-Update für iOS, das die Lücke schloss. Das Unternehmen betonte in einem Blogbeitrag, dass die Lücke nur unter sehr spezifischen Bedingungen ausnutzbar gewesen sei und keine generelle Schwäche der Signal-Verschlüsselung dargestellt habe. Dennoch: Für einen Messenger, der seine gesamte Marke auf dem Versprechen aufbaut, Nachrichten wirklich verschwinden zu lassen, war dieser Vorfall ein erheblicher Image-Schaden.
Die Electronic Frontier Foundation, eine gemeinnützige Organisation, die sich für digitale Bürgerrechte einsetzt, wies darauf hin, dass kein Messenger absolut sicher sein kann — und dass die Wahl eines sicheren Messengers nur ein Baustein in einer umfassenden Sicherheitsstrategie sein sollte. Der Fall Signal zeigt, dass selbst Open-Source-Software mit intensiver Community-Prüfung nicht vor jedem Fehler gefeit ist.
Das Bundesamt für Sicherheit in der Informationstechnik und das Bundesamt für Verfassungsschutz haben in einer gemeinsamen Mitteilung vor einer Welle von Phishing-Angriffen gewarnt, die gezielt auf Signal-Nutzer abzielen. Die Warnung richtete sich besonders an Personen in politischen Institutionen, Sicherheitsbehörden und Medien, also all jene, die überdurchschnittlich häufig Ziel von Social-Engineering-Angriffen werden.
Die Behörden empfahlen unter anderem, niemals Verifizierungscodes von Signal mit Dritten zu teilen — eine Selbstverständlichkeit, die im Alltag aber immer wieder vergessen wird. Echte Signal-Mitarbeiter werden Sie niemals nach Ihrem Code fragen. Diese einfache Regel hätte den Angriff in den meisten Fällen verhindern können.
Darüber hinaus empfahlen beide Behörden, die Zwei-Faktor-Authentifizierung zu aktivieren, sofern noch nicht geschehen. Die Mindestempfehlungen des BSI für sichere digitale Kommunikation sehen diesen Schutz als absolute Grundlage vor, nicht als optionale Zusatzfunktion. Wer diesen Schritt bisher aufgeschoben hat, sollte ihn jetzt sofort gehen.
Nach allem, was passiert ist, stellt sich die berechtigte Frage: Ist Signal überhaupt noch vertrauenswürdig? Die Antwort ist differenzierter, als es die Überschriften vermuten lassen. Ja, Signal bleibt trotz der Vorfälle der Messenger mit dem stärksten Datenschutzversprechen auf dem Markt. Und nein, das bedeutet nicht, dass Sie sich zurücklehnen und darauf vertrauen können, dass die App Sie automatisch schützt.
Was Signal von allen anderen großen Messengern unterscheidet, ist die konsequente Weigerung, Metadaten zu sammeln. Während WhatsApp und Telegram umfangreiche Nutzerdaten speichern — wer mit wem chattet, wann, wie lange, von welchem Standort — erhebt Signal keine dieser Daten. Wenn die Server von Signal morgen kompromittiert würden, gäbe es dort kaum etwas zu holen. Diese Architekturentscheidung ist kein Zufall, sondern das Ergebnis einer bewussten Designphilosophie.
Das Unternehmen hinter Signal, die Signal Foundation, finanziert sich durch Spenden und Förderungen, nicht durch Werbung oder den Verkauf von Nutzerdaten. Das ist in der Welt der digitalen Kommunikation eine seltene Ausnahme. Der aktuelle Vorfall hat die Architektur nicht kompromittiert — es war ein gezielter Angriff auf die Nutzer selbst, nicht auf die Infrastruktur des Messengers.
Um einordnen zu können, was Signal trotz des Vorfalls leistet, lohnt sich ein direkter Vergleich mit dem Marktführer. WhatsApp hat in den letzten Jahren einige Datenschutzfunktionen nachgerüstet — usernames statt Telefonnummern, selbstlöschende Nachrichten, Ende-zu-Ende-Verschlüsselung. Das sind Schritte in die richtige Richtung, aber sie verändern nichts an der grundlegenden Geschäftslogik hinter WhatsApp.
Meta sammelt weiterhin umfangreiche Metadaten über Ihre WhatsApp-Nutzung. Selbst wenn Ihre einzelnen Nachrichten verschlüsselt sind, weiß Meta, mit wem Sie Kontakt haben, wie häufig Sie kommunizieren, zu welchen Uhrzeiten Sie aktiv sind und über welche Geräte Sie verbunden sind. Für die meisten Nutzer ist das kein Problem. Für Menschen, die in sicherheitsrelevanten Bereichen arbeiten, ist dieser Unterschied zwischen Signal und WhatsApp aber existenziell.
Die neuen WhatsApp-Features — usernames und selbstlöschende Nachrichten — sind im Kern eine Reaktion auf Signal. Meta hat erkannt, dass die Nachfrage nach Datenschutz steigt, und versucht, Marktanteile in diesem Segment zu sichern. Die Features sind gut gemeint, aber die Umsetzung folgt der gewohnten Meta-Logik: Privacy als Ergänzung, nicht als Grundlage. Wer die beiden Dienste systematisch vergleicht, wird in einem älteren Artikel über neue WhatsApp-Features bereits sehen können, wie unterschiedlich die Ansätze trotz ähnlicher Funktionen ausfallen.
Messenger-Dienste sind zum digitalen Nervensystem unserer Gesellschaft geworden. Nicht umsonst stehen sie im Fokus von Geheimdiensten weltweit. Die Kommunikation über Signal, WhatsApp oder Telegram verrät oft mehr über politische Entscheidungen, wirtschaftliche Strategien und persönliche Beziehungen als jeder einzelne Datenpunkt einzeln es könnte. In einer Welt, in der Informationen Macht bedeuten, ist der Zugang zu privaten Nachrichten ein strategisches Ziel.
Die Angriffe auf Signal-Nutzer sind kein Einzelfall. Ähnliche Kampagnen haben in den vergangenen Jahren auch Telegram, WhatsApp und andere Dienste getroffen. Der entscheidende Unterschied liegt nicht darin, ob ein Messenger angegriffen wird — er wird angegriffen werden, früher oder später — sondern darin, wie viel ein Angriff einem Angreifer bringt. Bei Signal ist die Beute begrenzt, weil Signal keine Metadaten sammelt. Bei anderen Messengern ist sie um ein Vielfaches wertvoller.
Das Recht auf informationelle Selbstbestimmung nach Artikel 1 des Grundgesetzes in Verbindung mit Artikel 2 ist ein Grundrecht, aber es erfordert aktive Mitwirkung. Ein Messenger, der von sich aus keine Daten sammelt, reduziert das Risiko erheblich. Den Rest müssen Sie selbst beitragen.
Der Signal-Vorfall zeigt deutlich: Die größte Gefahr geht nicht von einer technischen Schwachstelle in der Verschlüsselung aus, sondern von Social Engineering. Phishing, gefälschte Support-Kanäle, manipulierte Nachrichten — die Angriffsmethoden werden raffinierter, und kein technisches System der Welt kann Sie davor vollständig schützen, wenn Sie im falschen Moment die falsche Entscheidung treffen.
Das bedeutet nicht, dass Sie paranoid werden sollen. Es bedeutet, dass Sie Ihre Sicherheitspraktiken regelmäßig überprüfen. Die wichtigsten Schritte sind einfach umzusetzen: Aktivieren Sie die Zwei-Faktor-Authentifizierung in Signal — das ist ein zusätzlicher Schutzwall, der über die normale Verifizierung hinausgeht. Teilen Sie niemals Verifizierungscodes mit Dritten, egal wer Sie danach fragt. Aktualisieren Sie die App regelmäßig — die iOS-Lücke wurde in einem Update geschlossen, aber nur, wenn Sie es installiert haben.
Gehen Sie außerdem sparsam mit Ihrer Telefonnummer um. Die Telefonnummer ist bei Signal der primäre Identifikator — wer Ihre Nummer kennt, kann Ihnen Nachrichten schicken und versuchen, Sie in einen gefälschten Support-Chat zu locken. Überlegen Sie, wo Sie Ihre Nummer teilen, und seien Sie misstrauisch bei unerwarteten Nachrichten, selbst wenn sie angeblich von Signal kommen. Wer sein Konto darüber hinaus mit einer Zwei-Faktor-Authentifizierung absichert, macht es Angreifern deutlich schwerer, die Kontrolle über das eigene Konto zu übernehmen.
So wichtig es ist, die Stärken von Signal zu erkennen, so wichtig ist es auch, seine Grenzen zu kennen. Signal kann Ihre Kommunikation nicht schützen, wenn Ihr Gerät selbst kompromittiert ist. Wenn jemand physischen Zugang zu Ihrem Smartphone hat und den Entsperrcode kennt, nützt die beste Verschlüsselung der Welt nichts. Wenn Ihr Computer mit einem Trojaner infiziert ist, der Tastatureingaben aufzeichnet, wird auch Signal Sie nicht retten.
Signal verschlüsselt Nachrichten auf dem Weg zwischen Absender und Empfänger. Was auf Ihrem Gerät passiert — Screenshots, Backups in die Cloud, Weitergabe von Gesprächsinhalten durch eine der beteiligten Personen — liegt außerhalb der Kontrolle des Messengers. Das sind keine Schwächen von Signal, sondern Grenzen jeder technischen Lösung. Datenschutz ist immer eine Kombination aus Technik, Praxis und Vertrauen.
Für Menschen in Hochrisikosituationen — Investigativjournalisten, Menschenrechtsaktivisten in autoritären Staten, Mitarbeiter von Geheimdiensten — reichen Standard-Messenger nicht aus. Dort braucht es weitergehende Maßnahmen: sichere Betriebssysteme, dedizierte Geräte, verschlüsselte Festplatten und detaillierte Netzwerkanalyse. Für die überwältigende Mehrheit der Nutzer in Deutschland ist Signal aber mehr als ausreichend, wenn es mit gesundem Menschenverstand genutzt wird.
Der Angriff auf Signal-Nutzer in Deutschland war ein schwerer Schlag — aber er war kein Schlag gegen die Signal-Technologie. Die Verschlüsselung, die Open-Source-Architektur, die Weigerung, Metadaten zu sammeln — all das steht. Was angegriffen wurde, war das Vertrauen der Nutzer, und das lässt sich nur durch Transparenz und konkrete Verbesserungen wiederherstellen.
Signal hat in den Wochen nach dem Vorfall mehrere Schritte unternommen: eine transparente Post-Mortem-Analyse, ein schnelles iOS-Update, verstärkte Warnhinweise im Support-Bereich. Das ist mehr, als die meisten Tech-Unternehmen in einer vergleichbaren Situation leisten. Die Frage ist, ob diese Schritte ausreichen, um das Vertrauen in einem Markt zurückzugewinnen, der von Unsicherheit geprägt ist.
Für Sie als Nutzer gilt: Signal bleibt eine der sichersten Optionen, die Sie haben. Aber die Verantwortung für Ihre Sicherheit liegt nicht allein bei der App. Sie liegt auch bei Ihnen — und das ist gut so. Denn wer sich aktiv mit seinem Messenger auseinandersetzt, hat bereits einen großen Schritt in Richtung Sicherheit gemacht. Der aktuelle Vorfall ist ein Grund, wachsamer zu sein, nicht, den Messenger abzuschreiben.
Das Wichtigste zum Schluss: Lassen Sie sich von dem Vorfall nicht dazu verleiten, zu einem weniger sicheren Messenger zu wechseln. Das wäre exakt die falsche Reaktion. Die Alternative zu Signal ist nicht ein sichererer Dienst — es ist ein unsichererer. Und in einer Welt, in der die Angriffe auf Ihre digitale Kommunikation zunehmen werden, nicht abnehmen, ist das keine kluge Entscheidung.
