Russische Phishing-Kampagne trifft deutsche Politik: Was Org
TL;DR: Seit September 2025 kompromittiert eine mutmaßlich russische Phishing-Kampagne Hunderte Signal-Konten von deutschen Politikern, Journalisten und Militärs – CDU-Sicherheitspolitiker Kiesewetter fordert nun harte Konsequenzen, während BSI und BfV gemeinsame Warnungen herausgaben.
Die Angriffswelle ist kein Angriff auf Signals Verschlüsselung – sie ist ein gezielter Angriff auf Menschen. Seit mindestens September 2025 läuft eine hochprofessionelle Phishing-Kampagne gegen Nutzer des Messengers, die nachweislich Bundestagsabgeordnete, Ministerinnen, Militärs und Journalisten trifft. Die Bundesregierung sieht Russland als wahrscheinlichen Urheber, der Generalbundesanwalt ermittelt wegen Spionageverdachts. CDU-Sicherheitspolitiker Roderich Kiesewetter forderte gegenüber dem Handelsblatt mit deutlichen Worten politische Konsequenzen – von Diplomatenausweisungen bis zur Lieferung von Taurus-Marschflugkörpern an die Ukraine. Auch Grünen-Fraktionsvize Konstantin von Notz schloss sich den Forderungen nach einer klaren politischen Antwort an.
Was ist neu?
Die Kampagne nutzt ausschließlich Social Engineering, keine technischen Schwachstellen in Signal selbst. Die Angreifer kontaktieren Opfer als gefälschter „Signal Support”, fordern Verifizierungscodes und PINs ab oder veranlassen die Kopplung fremder Geräte über manipulierte QR-Codes – beides ermöglicht die vollständige Übernahme eines Accounts inklusive Zugriff auf Chatverläufe, Dateien, Kontakte und Gruppenräume in Echtzeit. Die technische Infrastruktur der Kampagne zeigt laut investigativen Recherchen (CORRECTIV, Netzpolitik.org) Bezüge zu russischem Hosting (Aeza) und dem Phishing-Tool „Defisher” aus russischen Hackerforen; das niederländische Verteidigungsministerium und CERT-UA haben die Angreifer bereits früher im Zusammenhang mit Ukraine- und Moldau-Operationen identifiziert.
BSI und BfV veröffentlichten am 17. April 2026 eine aktualisierte gemeinsame Warnung. International koordinierten FBI, CISA und europäische Geheimdienste die Lageeinschätzung. Der Angriff hat sich mittlerweile auf WhatsApp ausgeweitet und könnte laut BSI durch Malware-Komponenten ergänzt werden.
Was bedeutet das für Teams und Tech Leads?
Für Teams und Tech Leads ist relevant, dass diese Kampagne exemplarisch zeigt, wie verwundbar auch technisch versierte Organisationen durch gezielte Social-Engineering-Angriffe auf Kommunikationskanäle sind. Signal selbst ist nicht gebrochen – das Problem liegt im menschlichen Faktor und in fehlenden organisationalen Schutzmaßnahmen: unregelmäßige Reviews verknüpfter Geräte, fehlende PIN-Absicherung und mangelnde Awareness für gefälschte Support-Kontakte. Die politische Debatte um Konsequenzen wird die Cybersecurity-Gesetzgebung und Compliance-Anforderungen für Organisationen weiter beeinflussen, insbesondere für Unternehmen, die in sicherheitskritischen Branchen oder mit behördlichen Stellen zusammenarbeiten.
