Russische Geheimdienste haben Accounts deutscher Spitzenpolitiker kompromittiert – nicht durch einen Angriff auf Signal selbst, sondern durch gezieltes Phishing. Der Vorfall zeigt, warum technische Sicherheit allein nicht ausreicht.
Was wirklich passiert ist
In den vergangenen Wochen kursierten Meldungen, der Messenger-Dienst Signal sei „gehackt“ worden. Das ist falsch. Signal selbst wurde nicht kompromittiert – und auch die betroffenen Nutzer wurden nicht im technischen Sinne gehackt. Was stattdessen geschah, war klassisches Social Engineering: Angreifer brachten Nutzer durch Phishing dazu, ihnen freiwillig Zugang zu ihren Accounts zu gewähren.
Nach aktuellem Kenntnisstand hat ein russischer Geheimdienst erfolgreich auf die Signal-Konten zahlreicher Bundestagsabgeordneter, Minister und Journalisten zugegriffen – darunter die Ministerinnen Verena Hubertz und Karin Prien sowie Bundestagspräsidentin Julia Klöckner. Laut Spiegel waren praktisch alle Bundestagsfraktionen betroffen, ebenso Sicherheitsbehörden.
Phishing: Das Opfer muss mitspielen
Der entscheidende Unterschied zu einem echten Hack: Die Opfer mussten aktiv mitwirken. Beim Phishing wartet der Angreifer darauf, dass jemand anbeißt – in diesem Fall auf eine täuschend echte Nachricht eines angeblichen „Signal Support Teams“. Wer glaubte, einen legitimen Verifikationsprozess zu durchlaufen, gewährte den Angreifern in Wirklichkeit vollen Zugriff auf Nachrichten, Kontakte und Gruppen.
Im nächsten Schritt verschickten die Angreifer dieselbe Nachricht an neu gewonnene Kontakte – eine sich selbst verstärkende Angriffskette. In manchen Fällen war sogar das Live-Mitlesen von Chats und die vollständige Übernahme von Konten möglich. Eine detaillierte technische Analyse gibt es bei Golem.
Schnell meldeten sich Stimmen, die allein den Nutzern die Schuld gaben – der spöttische Verweis auf den „Fehler vor dem Bildschirm, nicht in der Software“. Das greift zu kurz: Wer überzeugend als legitimer Support auftritt, kann auch aufmerksame Menschen täuschen. Und schlechtes Interface-Design, das solche Angriffe zu leicht macht, trägt ebenfalls Mitverantwortung.
Die Messenger-Debatte: Signal, Wire und was dazwischen liegt
Der Vorfall hat die Debatte über den richtigen Messenger für sensible Kommunikation neu entfacht. Aus der Open-Source-Welt kamen Rufe nach Matrix oder dem BundesMessenger. Bundestagspräsidentin Klöckner brachte Wire ins Spiel – das Berliner Unternehmen ist für die Geheimhaltungsstufe VS-NfD zertifiziert und wird vom Bund über das Informationstechnikzentrum Bund (ITZBund) bereitgestellt.
Wire unterliegt der freien Lizenz GPL 3 (Clients) bzw. AGPL (Server) und ist damit Open-Source-Software. Anders als Signal hat das Unternehmen seinen Sitz in Deutschland und der Schweiz.
Wire hat eine grundlegende Designentscheidung getroffen: Es ist für geschlossene Gruppen konzipiert. Externe kommen nicht ohne Weiteres hinein, ein Admin verwaltet die Nutzerbasis. Das erhöht die Sicherheit erheblich – erschwert aber die schnelle Einbindung externer Projektpartner. Stand Mai 2026 ist das bei Wire nicht möglich, soll aber künftig kommen. Signal, Matrix und der Bundesmessenger hingegen sind explizit auf die Kommunikation mit Fremden ausgelegt – und genau dort beginnt das eigentliche Risiko.
Drei Faktoren, die wirklich schützen
Der Vorfall zeigt: Kein Messenger ist hundert Prozent sicher, wenn die Menschen, die ihn nutzen, nicht auf Angriffe vorbereitet sind. Technische Sicherheit ist notwendig – aber nicht hinreichend. Was es zusätzlich braucht:
1. Schulung und Funkdisziplin. Mitarbeiter müssen verstehen, woran legitime Support-Anfragen erkennbar sind – und wann erhöhte Vorsicht geboten ist. Das ist keine Frage der Technik, sondern der Organisationskultur.
2. Smarte Architektur. Sensible Kommunikation gehört nicht in offene, fremdgehostete Systeme. Wer Kontrolle über die eigene Infrastruktur hat – durch selbstbetriebene Dienste, On-Premise-Lösungen oder vertrauenswürdige Partner – reduziert die Angriffsfläche erheblich.
3. Open Source und Transparenz.Software, deren Quellcode öffentlich ist, lässt sich unabhängig prüfen. Das ist kein Allheilmittel, aber eine wichtige Grundlage für begründetes Vertrauen.
Die Bundestagsmitarbeiter waren nur angreifbar, weil sie auf ein überzeugendes Angebot Fremder eingingen. Das lässt sich nicht allein durch bessere Software verhindern – sondern nur durch eine Kombination aus Technik, Architektur und gut ausgebildeten Menschen.
Aus der Praxis: So sieht sichere Kommunikation aus
CoreBiz Teams verwendet Matrix und Element als sichere Chat-Lösung, ohne den Zugriff externer User zu ermöglichen. Es verbindet damit die Vorteile eines etablierten, standardisierten und offenen Protokolls (Matrix) mit Open-Source-Software und einer On-Premises-Installation, die nur einer geschlossenen Gruppe Zugriff gewährt (in der CoreBiz Management Console legen die Admins fest, welche User Zugriff erhalten). Die Chats sind dabei Ende-zu-Ende-verschlüsselt, selbst der Admin kann nicht mitlesen. Für Videokonferenzen gehört zusätzlich Jitsi zu CoreBiz Teams; hier können dann auch Externe teilnehmen.
Weitere Informationen: Signal | BundesMessenger | Wire