Seit mindestens Februar 2026 läuft eine koordinierte Phishing-Kampagne gegen Signal-Nutzer in Deutschland, den Niederlanden und Großbritannien. Im Fokus stehen Politiker, Militärangehörige, Diplomaten und Investigativjournalisten. Die Angreifer geben sich als offizieller Signal-Support aus: Sie legen normale Signal-Konten an, ändern Profilbild und Profilname auf „Signal Support“ und schicken dann manipulative Nachrichten, in denen sie Zugangsdaten, PINs oder Registrierungscodes verlangen.

Signal selbst wurde dabei nicht gehackt. Die Ende-zu-Ende-Verschlüsselung funktioniert nach wie vor. Die Angreifer umgehen sie, indem sie den Menschen täuschen statt die Technik.

Wer seine PIN preisgibt oder einen zugesandten Registrierungscode eingibt, öffnet den Angreifern die Vordertür. Diese können das Konto dann auf ein eigenes Gerät übertragen, die ursprüngliche Telefonnummer des Kontos ändern und den echten Besitzer aussperren. Das übernommene Konto bleibt für Kontakte und Gruppen zunächst unsichtbar verändert. Die Angreifer lesen mit, kommunizieren im Namen des Opfers und können sich durch bestehende Vertrauensbeziehungen in weitere Konten vortasten.

Wer ist betroffen?

Das Ausmaß ist erheblich. Betroffen sind laut Medienberichten unter anderem Bundestagspräsidentin Julia Klöckner (CDU), Familienministerin Karin Prien (CDU) und Bauministerin Verena Hubertz (SPD). Abgeordnete aus praktisch allen Bundestagsfraktionen meldeten Vorfälle. Auch Angehörige der NATO sollen Ziel der Kampagne gewesen sein. In Deutschland ist nach aktuellem Stand von mindestens 300 Betroffenen bekannt.

Das Bundesamt für Verfassungsschutz geht davon aus, dass zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden. Sensible Informationen könnten in großem Umfang abgeflossen sein.

BSI und Bundesamt für Verfassungsschutz (BfV) sprechen von einem „wahrscheinlich staatlich gesteuerten Cyberakteur“. Die Bundesregierung bestätigte gegenüber dem Spiegel, dass der Angriff „mutmaßlich aus Russland“ kommt. Die niederländische Regierung und das US-amerikanische FBI hatten bereits im März öffentlich russische Nachrichtendienste als Verantwortliche benannt. Die Generalbundesanwaltschaft ermittelt wegen Spionageverdachts und hat die Ermittlungen nach eigenen Angaben bereits im Februar übernommen. Ein Ende der Angriffswelle ist nicht in Sicht. Aktuelle Erkenntnisse zeigen, dass die Kampagne weiterhin aktiv ist und an Dynamik gewinnt.

Die Signal Foundation hat auf Mastodon klargestellt, dass Signal selbst nicht kompromittiert wurde. Für die kommenden Wochen kündigte die Stiftung Änderungen am Dienst an, die diese Art von Angriffen erschweren sollen. Details wurden noch nicht genannt.

Was tut die Politik?

BSI und BfV haben gemeinsam einen Handlungsleitfaden veröffentlicht. Bundestagsvizepräsidentin Andrea Lindholz (CSU) fordert inzwischen ein Signal-Verbot auf Dienstgeräten von Abgeordneten und Bundestagsmitarbeitern und einen vollständigen Umstieg auf den europäischen Messenger-Dienst Wire. Als Vorteile nennt sie: keine Offenlegung der Telefonnummer, nicht sichtbare E-Mail-Adresse, europäische Datenschutzstandards und erreichbare Ansprechpartner im Angriffsfall. Das Bundestag-Präsidium hat das Thema Wire für den 5. Mai auf die Tagesordnung der Kommission für Informationstechnologien und Digitalisierung gesetzt.

Was bedeutet das für Unternehmen und Privatpersonen?

Signal ist kein Dienst nur für Politiker. Viele Unternehmen, Anwälte, Ärzte und Privatpersonen kommunizieren darüber sensibel. Die hier verwendete Angriffsmethode, Social Engineering über einen gefälschten Support-Kontakt, lässt sich genauso gegen Geschäftsführer, Sicherheitsverantwortliche oder Mitarbeiter mit Zugangsdaten zu kritischen Systemen einsetzen. Die niedrige technische Hürde macht Nachahmungen durch andere Angreifer wahrscheinlich.