Der Bundestags-Hack hat Signal-Nutzer in Deutschland aufgeschreckt — und eine Debatte über die Sicherheit des Messengers entfacht. Die Bundesanwaltschaft ermittelt wegen gezielter Spionageangriffe auf Abgeordnete, Beamte und Journalisten. Signal hat reagiert, Patches veröffentlicht und seine Nutzer gewarnt. Doch wie gravierend ist der Vorfall wirklich? Und welche Alternativen gibt es für alle, die nicht auf denMessenger verzichten wollen?
Im Frühjahr dieses Jahres wurde Signal zum Ziel einer koordinierten Spionagekampagne in Deutschland. Die Bundesanwaltschaft hat die Ermittlungen übernommen — ein unmissverständliches Zeichen dafür, dass hier keine gewöhnliche Cyberkriminalität vorliegt, sondern ein Eingriff in das Grundrecht auf Vertraulichkeit der Kommunikation nach Artikel 10 des Grundgesetzes. Die Angreifer gaben sich als offizieller Signal-Support aus — eine perfekt inszenierte Fälschung, die selbst erfahrene Nutzer täuschte. Ihnen ging es nicht um die Signal-Infrastruktur. Sie nutzten das Vertrauen, das Menschen dem Messenger explizit entgegenbringen, um gezielt an Verifizierungscodes zu kommen.
Die Methode war Social Engineering in seiner raffiniertesten Form. Die Angreifer erstellten gefälschte Support-Kanäle, die optisch kaum von den echten Signal-Hilfeseiten zu unterscheiden waren. Über diese Kanäle kontaktierten sie gezielt Abgeordnete des Bundestages, Mitarbeiter von Bundesbehörden und Journalisten namhafter Medienhäuser. Die Opfer wurden aufgefordert, ihre Telefonnummern zu verifizieren — ein Schritt, der normalerweise harmlos wirkt, in diesem Kontext aber den Zugang zu ihren Signal-Konten öffnete. Rund 300 Personen in Deutschland sind nach aktuellem Stand der Ermittlungen betroffen. Die Dunkelziffer könnte deutlich höher liegen, da viele Opfer bis heute nicht wissen, dass ihre Kommunikation kompromittiert wurde.
Der Angriff nutzte weniger eine technische Schwachstelle in der Signal-Software selbst, sondern eine Vertrauenslücke in der Nutzerkultur. Signal-Nutzer vertrauen dem Dienst explizit, weil er keine Metadaten sammelt — keine Information darüber, wer mit wem kommuniziert, zu welcher Uhrzeit, von welchem Standort. Diese Architektur macht Signal für viele Menschen unverzichtbar, die in sensiblen Bereichen arbeiten. Die Angreifer haben diesen Vertrauensvorschuss systematisch missbraucht.
Mit den ergatterten Verifizierungscodes übernahmen sie die Kontrolle über die betroffenen Konten. Einmal im Besitz dieser Zugänge, konnten sie die gesamte Kommunikation der Opfer mitlesen — sowohl aktuelle Gespräche als auch ältere Nachrichten, sofern diese nicht lokal auf dem Gerät gelöscht worden waren. Besonders brisant: Die Angreifer hatten es nicht auf die breite Masse abgesehen, sondern auf einzelne Personen mit hohem Sicherheitsrisiko. Das Bundesamt für Verfassungsschutz stuft solche gezielten Angriffe auf Führungspersonen aus Politik und Medien als besonders schwerwiegend ein, weil sie die Grundlage für nachgelagerte Erpressung oder gezielte Desinformation bilden können.
Für die betroffenen Nutzer bedeutete das einen massiven Eingriff in ihre private und berufliche Kommunikation. Gespräche mit Informanten, interne Abstimmungen in Redaktionen, politische Korrespondenz — all das konnte von den Angreifern eingesehen werden. Die Ermittlungsbehörden arbeiten weiter daran, das vollständige Ausmaß der Kampagne aufzuklären. Fest steht: Es war kein Angriff auf Signal als Plattform. Es war ein Angriff auf Menschen, die Signal nutzen.
Fast zeitgleich mit dem Bekanntwerden der Spionagekampagne wurde eine separate Sicherheitslücke in der Signal-iOS-Version publik. Forscher entdeckten, dass gelöschte Nachrichten unter bestimmten Bedingungen wiederhergestellt werden konnten — ein Verhalten, das dem eigentlichen Versprechen des Messengers diametral widerspricht. Nutzer gingen davon aus, dass eine gelöschte Nachricht verschwunden ist. Tatsächlich waren die Daten in bestimmten Szenarien noch über die iOS-Zwischenablage zugänglich.
Signal reagierte schnell und veröffentlichte ein Notfall-Update für iOS, das die Lücke schloss. Das Unternehmen betonte in einem Blogbeitrag, dass die Lücke nur unter sehr spezifischen Bedingungen ausnutzbar gewesen sei und keine generelle Schwäche der Signal-Verschlüsselung dargestellt habe. Dennoch: Für einen Messenger, der seine gesamte Marke auf dem Versprechen aufbaut, Nachrichten wirklich verschwinden zu lassen, war dieser Vorfall ein erheblicher Image-Schaden. Die Electronic Frontier Foundation wies in diesem Zusammenhang darauf hin, dass kein Messenger absolut sicher sein kann — und dass die Wahl eines sicheren Messengers nur ein Baustein in einer umfassenden Sicherheitsstrategie sein sollte.
Das Bundesamt für Sicherheit in der Informationstechnik und das Bundesamt für Verfassungsschutz haben in einer gemeinsamen Mitteilung vor einer Welle von Phishing-Angriffen gewarnt, die gezielt auf Signal-Nutzer abzielen. Die Warnung richtete sich besonders an Personen in politischen Institutionen, Sicherheitsbehörden und Medien — also all jene, die überdurchschnittlich häufig Ziel von Social-Engineering-Angriffen werden.
Die Behörden empfahlen unter anderem, niemals Verifizierungscodes von Signal mit Dritten zu teilen. Echte Signal-Mitarbeiter werden Sie niemals nach Ihrem Code fragen. Das ist keine graue Theorie — diese einfache Regel hätte den Angriff in den meisten Fällen verhindern können. Darüber hinaus empfahlen beide Behörden, die Zwei-Faktor-Authentifizierung zu aktivieren, sofern noch nicht geschehen. Die Mindestempfehlungen des BSI für sichere digitale Kommunikation sehen diesen Schutz als absolute Grundlage vor, nicht als optionale Zusatzfunktion.
Wer diesen Schritt bisher aufgeschoben hat, sollte ihn jetzt sofort gehen. Die Aktivierung der Zwei-Faktor-Authentifizierung in Signal ist in wenigen Minuten erledigt und macht einen erheblichen Unterschied. Selbst wenn ein Angreifer im Besitz Ihres Verifizierungscodes ist, reicht dieser allein nicht mehr aus, um Ihr Konto zu übernehmen. Ein zweiter Faktor — in diesem Fall eine persönliche PIN — blockiert den Zugang auch dann, wenn alles andere stimmt. Richten Sie diese PIN ein und bewahren Sie sie an einem sicheren Ort auf, getrennt von Ihrem Gerät.
Nach allem, was passiert ist, stellt sich die berechtigte Frage: Ist Signal überhaupt noch vertrauenswürdig? Die Antwort ist differenzierter, als es die Medienberichte vermuten lassen. Ja, Signal bleibt trotz der Vorfälle der Messenger mit dem stärksten Datenschutzversprechen auf dem Markt. Und nein, das bedeutet nicht, dass Sie sich zurücklehnen und darauf vertrauen können, dass die App Sie automatisch schützt.
Was Signal von allen anderen großen Messengern unterscheidet, ist die konsequente Weigerung, Metadaten zu sammeln. Während WhatsApp und Telegram umfangreiche Nutzerdaten speichern — wer mit wem chattet, wann, wie lange, von welchem Standort — erhebt Signal keine dieser Daten. Wenn die Server von Signal morgen kompromittiert würden, gäbe es dort kaum etwas zu holen. Diese Architekturentscheidung ist kein Zufall, sondern das Ergebnis einer bewussten Designphilosophie, die das Unternehmen in einem ausführlichen Blogbeitrag zum Datenschutztag 2024 nochmals erläutert hat.
Das Unternehmen hinter Signal, die Signal Foundation, finanziert sich durch Spenden und Förderungen, nicht durch Werbung oder den Verkauf von Nutzerdaten. Das ist in der Welt der digitalen Kommunikation eine seltene Ausnahme. Der aktuelle Vorfall hat die Architektur nicht kompromittiert — es war ein gezielter Angriff auf die Nutzer selbst, nicht auf die Infrastruktur des Messengers. Wer versteht, was Signal leistet und was es nicht leisten kann, wird den Messenger deutlich differenzierter beurteilen als jemand, der nur die Schlagzeilen kennt.
Um einordnen zu können, was Signal trotz des Vorfalls leistet, lohnt sich ein direkter Vergleich mit den Alternativen, die derzeit am häufigsten genannt werden. Threema, der Schweizer Messenger, hat in den Wochen nach dem Bundestags-Hack einen spürbaren Nutzerzuwachs verzeichnet. Threema arbeitet ebenfalls mit Ende-zu-Ende-Verschlüsselung und verzichtet auf die Erhebung von Telefonnummern als Pflichtfeld — ein entscheidender Vorteil gegenüber Signal. Die App ist kostenpflichtig, was die Nutzerbasis verkleinert, aber auch das Geschäftsmodell stabiler macht. Threema speichert nach eigenen Angaben keine Nachrichten auf seinen Servern und bietet eine Auswahl an Datenschutzfunktionen, die mit denen von Signal vergleichbar sind.
Ein weiterer Messenger, der regelmäßig als Alternative genannt wird, ist Wire. Das deutsche Unternehmen mit Sitz in Berlin hat sich auf sichere Unternehmenskommunikation spezialisiert und bietet eine Open-Source-Verschlüsselung, die von Experten als technisch sehr robust eingestuft wird. Wire hat den Vorteil, dass es keine Telefonnummer als Identifikator benötigt und sich besonders für berufliche Nutzung eignet. Allerdings ist die private Nutzerbasis deutlich kleiner als bei Signal, was den Netzwerkeffekt einschränkt.
Briar, ein weiterer Messenger aus dem Open-Source-Umfeld, geht einen technisch anderen Weg: Er verzichtet vollständig auf zentrale Server und baut stattdessen direkte Verbindungen zwischen Nutzern auf — entweder über das Internet oder über Bluetooth, wenn beide Nutzer sich in der Nähe befinden. Das macht Briar besonders interessant für Menschen in Regionen mit eingeschränktem Internetzugang oder in Situationen, in denen zensierte Kommunikation droht. Für die allermeisten Nutzer in Deutschland ist Briar aufgrund seiner technischen Anforderungen und der geringen Verbreitung aber keine praktische Alternative im Alltag.
Eine weitere Messenger-Option, die regelmäßig in der Diskussion auftaucht, ist Session. Der auf der Loki-Infrastruktur basierende Messenger legt besonderen Wert auf Anonymität und verzichtet auf Telefonnummern als Identifikatoren. SessionRouting-Protokoll leitet Nachrichten über mehrere Knotenpunkte, sodass selbst der Betreiber der Server nicht nachvollziehen kann, wer mit wem kommuniziert. Die Community hinter Session ist klein, aber aktiv, und die Entwicklung geht kontinuierlich weiter. Ein Nachteil ist die im Vergleich zu Signal deutlich geringere Nutzerbasis, die einen Wechsel für die meisten Nutzer unpraktisch macht.
Messenger-Dienste sind zum digitalen Nervensystem unserer Gesellschaft geworden. Die Kommunikation über Signal, WhatsApp oder Telegram verrät oft mehr über politische Entscheidungen, wirtschaftliche Strategien und persönliche Beziehungen als jeder einzelne Datenpunkt einzeln es könnte. In einer Welt, in der Informationen Macht bedeuten, ist der Zugang zu privaten Nachrichten ein strategisches Ziel — für Kriminelle ebenso wie für staatliche Akteure.
Die Angriffe auf Signal-Nutzer sind kein Einzelfall. Ähnliche Kampagnen haben in den vergangenen Jahren auch Telegram, WhatsApp und andere Dienste getroffen. Der entscheidende Unterschied liegt nicht darin, ob ein Messenger angegriffen wird — er wird angegriffen werden, früher oder später — sondern darin, wie viel ein Angriff einem Angreifer bringt. Bei Signal ist die Beute begrenzt, weil Signal keine Metadaten sammelt. Bei anderen Messengern ist sie um ein Vielfaches wertvoller. Das Recht auf informationelle Selbstbestimmung nach Artikel 1 des Grundgesetzes in Verbindung mit Artikel 2 ist ein Grundrecht, aber es erfordert aktive Mitwirkung. Ein Messenger, der von sich aus keine Daten sammelt, reduziert das Risiko erheblich. Den Rest müssen Sie selbst beitragen.
Die zunehmende Professionalisierung von Social-Engineering-Angriffen macht auch vor technisch versierten Nutzern nicht halt. Gefälschte Support-Kanäle, manipulierte Apps in App-Stores, Spear-Phishing auf individuellem Niveau — die Angriffsmethoden werden raffinierter, und kein technisches System der Welt kann Sie davor vollständig schützen, wenn Sie im falschen Moment die falsche Entscheidung treffen. Das ist keine Schwäche von Signal. Es ist eine Realität der digitalen Kommunikation, die alle betrifft.
Dazu kommt ein Phänomen, das in der Sicherheitsszene als Harvesting bezeichnet wird: Angreifer sammeln über Jahre Daten aus verschiedenen Quellen, um потом ein umso präziseres Profil ihrer Ziele zu erstellen. Ein einzelner gehackter Messenger mag überschaubar erscheinen — in Kombination mit Daten aus anderen Quellen ergibt sich aber ein detailliertes Bild, das für Erpressung, Einflussnahme oder gezielte Desinformation genutzt werden kann. Das Bundesamt für Verfassungsschutz warnt seit Jahren vor dieser Art der schleichenden Datenerfassung durch ausländische Geheimdienste.
Der Signal-Vorfall zeigt deutlich: Die größte Gefahr geht nicht von einer technischen Schwachstelle in der Verschlüsselung aus, sondern von Social Engineering. Phishing, gefälschte Support-Kanäle, manipulierte Nachrichten — all das sind Angriffe auf den Menschen, nicht auf die Technik. Wer seine Sicherheit allein der Software überlässt, wird früher oder später Probleme bekommen. Die wichtigsten Schutzmaßnahmen sind einfach umzusetzen und erfordern keinen technischen Hintergrund.
Aktivieren Sie als erstes die Zwei-Faktor-Authentifizierung in Signal — das ist ein zusätzlicher Schutzwall, der über die normale Verifizierung hinausgeht. Wer sein Konto mit einer Zwei-Faktor-Authentifizierung absichert, macht es Angreifern deutlich schwerer, die Kontrolle über das eigene Konto zu übernehmen. Teilen Sie niemals Verifizierungscodes mit Dritten, egal wer Sie danach fragt. Aktualisieren Sie die App regelmäßig — die iOS-Lücke wurde in einem Update geschlossen, aber nur, wenn Sie es installiert haben. Gehen Sie sparsam mit Ihrer Telefonnummer um, denn die Telefonnummer ist bei Signal der primäre Identifikator.
Seien Sie misstrauisch bei unerwarteten Nachrichten, selbst wenn sie angeblich von Signal kommen. Prüfen Sie immer die URL, über die Sie eine Support-Anfrage starten — die echte Signal-Website ist signal.org, alles andere ist eine Fälschung. Wenn Sie unsicher sind, warten Sie lieber und verifizieren Sie den Kontakt über einen alternativen Kanal, bevor Sie irgendwelche Codes eingeben. Diese Gewohnheiten kosten nur wenige Sekunden im Alltag, können aber den entscheidenden Unterschied machen, wenn ein Angriff kommt.
So wichtig es ist, die Stärken von Signal zu erkennen, so wichtig ist es auch, seine Grenzen zu kennen. Signal kann Ihre Kommunikation nicht schützen, wenn Ihr Gerät selbst kompromittiert ist. Wenn jemand physischen Zugang zu Ihrem Smartphone hat und den Entsperrcode kennt, nützt die beste Verschlüsselung der Welt nichts. Wenn Ihr Computer mit einem Trojaner infiziert ist, der Tastatureingaben aufzeichnet, wird auch Signal Sie nicht retten. In unserem ausführlichen Test des Signal Messengers haben wir diese Grenzen bereits thematisiert und zeigen, wo die Stärken und Schwächen des Messengers im Alltag liegen.
Signal verschlüsselt Nachrichten auf dem Weg zwischen Absender und Empfänger. Was auf Ihrem Gerät passiert — Screenshots, Backups in die Cloud, Weitergabe von Gesprächsinhalten durch eine der beteiligten Personen — liegt außerhalb der Kontrolle des Messengers.
Das sind keine Schwächen von Signal, sondern Grenzen jeder technischen Lösung. Datenschutz ist immer eine Kombination aus Technik, Praxis und Vertrauen. Die Electronic Frontier Foundation betont seit Jahren, dass Sicherheit nie nur eine Frage der richtigen App ist, sondern immer auch eine Frage der eigenen Gewohnheiten.
Für Menschen in Hochrisikosituationen — Investigativjournalisten, Menschenrechtsaktivisten in autoritären Staaten, Mitarbeiter von Geheimdiensten — reichen Standard-Messenger nicht aus. Dort braucht es weitergehende Maßnahmen: sichere Betriebssysteme, dedizierte Geräte, verschlüsselte Festplatten und detaillierte Netzwerkanalyse. Für die überwältigende Mehrheit der Nutzer in Deutschland ist Signal aber mehr als ausreichend, wenn es mit gesundem Menschenverstand genutzt wird.
Der Angriff auf Signal-Nutzer in Deutschland war ein schwerer Schlag — aber er war kein Schlag gegen die Signal-Technologie. Die Verschlüsselung, die Open-Source-Architektur, die Weigerung, Metadaten zu sammeln — all das steht. Was angegriffen wurde, war das Vertrauen der Nutzer, und das lässt sich nur durch Transparenz und konkrete Verbesserungen wiederherstellen. Signal hat in den Wochen nach dem Vorfall mehrere Schritte unternommen: eine transparente Post-Mortem-Analyse, ein schnelles iOS-Update, verstärkte Warnhinweise im Support-Bereich. Das ist mehr, als die meisten Tech-Unternehmen in einer vergleichbaren Situation leisten.
Die Frage ist, ob diese Schritte ausreichen, um das Vertrauen in einem Markt zurückzugewinnen, der von Unsicherheit geprägt ist. Die Nutzerzahlen von Signal sind nach dem Vorfall stabil geblieben — ein Zeichen dafür, dass die Mehrheit der Nutzer den Vorfall nicht als Versagen der Technologie wertet, sondern als das, was er war: einen gezielten Angriff auf Menschen, die den falschen Moment erwischt haben.
Für Sie als Nutzer gilt: Signal bleibt eine der sichersten Optionen, die Sie haben. Aber die Verantwortung für Ihre Sicherheit liegt nicht allein bei der App. Sie liegt auch bei Ihnen — und das ist gut so. Denn wer sich aktiv mit seinem Messenger auseinandersetzt, hat bereits einen großen Schritt in Richtung Sicherheit gemacht. Der aktuelle Vorfall ist ein Grund, wachsamer zu sein, nicht, den Messenger abzuschreiben.
Das Wichtigste zum Schluss: Lassen Sie sich von dem Vorfall nicht dazu verleiten, zu einem weniger sicheren Messenger zu wechseln. Das wäre exakt die falsche Reaktion. Die Alternative zu Signal ist nicht ein sichererer Dienst — es ist ein unsichererer. Und in einer Welt, in der die Angriffe auf Ihre digitale Kommunikation zunehmen werden, nicht abnehmen, ist das keine kluge Entscheidung.
