Seit dem 17. April 2026 warnen BSI und BfV in einem gemeinsamen Handlungsleitfaden vor einer Signal-Phishing-Welle, die seit September 2025 läuft. Rund 300 Accounts deutscher Politikerinnen, Politiker und Journalisten sind nach Recherchen von correctiv.org bereits kompromittiert, darunter die von Bundestagspräsidentin Julia Klöckner, Bildungsministerin Karin Prien und Bauministerin Verena Hubertz. Das Brisante: Die Angreifer nutzen keine Schadsoftware und keine gefälschten Links. Sie missbrauchen ausschließlich Signals legitime Funktion „Mit anderem Gerät verknüpfen". Wer den präparierten QR-Code scannt, gibt einem fremden Gerät dauerhaft Lese-Zugang. Die Ende-zu-Ende-Verschlüsselung schützt dann nicht mehr, weil der Angreifer rechtmäßiger Empfänger jeder Nachricht wird. Hier erfährst du, wie du den Angriff erkennst, wie du in der App prüfst, ob dein Konto kompromittiert ist, und welche Schutzmaßnahmen BSI und BfV konkret empfehlen.
Was die BSI-Warnung vom April 2026 genau sagt
Den ersten Sicherheitshinweis veröffentlichten BSI und BfV am 6. Februar 2026, also fünf Monate nach Beginn der Welle. Am 17. April folgte der gemeinsame Handlungsleitfaden, am 27. April aktualisierten beide Behörden den Bericht um eine Schritt-für-Schritt-Anleitung für Sofortmaßnahmen. Hinter der Kampagne steht laut Bundesregierung „wahrscheinlich ein staatlich gesteuerter Cyberakteur". Niederländische Nachrichtendienste und das FBI ordnen sie der russischen Gruppe UNC5792 zu. Das FBI schätzt die Zahl der weltweit kompromittierten Accounts auf mehrere Tausend.
| Datum | Behörde | Inhalt |
|---|---|---|
| September 2025 | (unbekannt) | Kampagne startet, erste Opfer |
| 28. Januar 2026 | netzpolitik.org | Veröffentlicht Recherche zu Journalisten-Opfern |
| 6. Februar 2026 | BSI + BfV | Erster gemeinsamer Sicherheitshinweis |
| 9. März 2026 | MIVD/AIVD (NL) | Attribution Richtung Russland |
| 17. April 2026 | BSI + BfV | Handlungsleitfaden für Betroffene |
| 27. April 2026 | BfV | Aktualisierte Schritt-für-Schritt-Anleitung |
| 13. Mai 2026 | Signal | Rollout neuer In-App-Warnungen |
Was an dieser Welle ungewöhnlich ist: Es gibt keine Schadsoftware, keine bösartige App und keine ausgenutzte Sicherheitslücke. Signal selbst ist nicht gehackt. Die Angreifer arbeiten ausschließlich mit Social Engineering. Im Fokus stehen laut BfV „hochrangige Ziele aus Politik, Militär und Diplomatie sowie investigative Journalistinnen und Journalisten". In der Praxis trifft es aber auch deren Familienangehörige, die als Hebel dienen, um über Gruppen-Chats an interne Kommunikation zu kommen.
So funktioniert der QR-Code-Trick im Detail
Signal erlaubt bis zu fünf parallel verknüpfte Geräte pro Account. Diese Funktion ist legitim und notwendig, etwa um Signal auf dem Desktop mitzulesen. Beim Verknüpfen erzeugt das neue Gerät einen QR-Code. Wer diesen QR-Code mit der bereits authentifizierten Hauptinstallation scannt, autorisiert das fremde Gerät. Genau hier greift die Kampagne an.
Die Angreifer tarnen sich auf zwei Wegen. Variante eins: ein gefälschtes Profil mit Namen wie „Signal Support" oder „Signal Security ChatBot", begleitet von einem täuschend echten Logo. Eine angebliche Sicherheitswarnung erzeugt Zeitdruck und fordert dazu auf, einen QR-Code zu scannen, „um den Account abzusichern". Variante zwei: eine täuschend echte Einladung in eine Signal-Gruppe, scheinbar von einem bekannten Kontakt. Beim Annehmen wird der QR-Code geladen, der das Angreifer-Gerät verknüpft. Laut BSI-Hinweis nehmen die Täter dabei auch Bezug auf reale Ereignisse oder gemeinsame Bekannte, was die Glaubwürdigkeit der Nachricht erhöht.
Sobald das Gerät verknüpft ist, kann der Angreifer laut Bundesamt für Verfassungsschutz die Nachrichten der letzten 45 Tage sowie alle künftig eingehenden Nachrichten in Echtzeit mitlesen. Das Opfer behält den vollen Zugriff auf seinen Account und merkt davon nichts. Es gibt keinen Warnhinweis, keine doppelte Push-Mitteilung, kein verändertes Verhalten der App. Genau deshalb ist diese Variante so gefährlich. Eine zweite, älteren Stils ist die klassische Account-Übernahme: Das Opfer wird zur Weitergabe der SMS-Verifizierungs-Codes oder der Signal-PIN bewegt, der Angreifer meldet die Rufnummer auf seinem Gerät neu an und sperrt den rechtmäßigen Besitzer aus. Diese Variante hinterlässt eine Spur, weil das Opfer ausgeloggt wird.
Wie du dein Konto in 3 Minuten überprüfst
BSI und BfV empfehlen jedem Signal-Nutzer eine regelmäßige Selbstprüfung, unabhängig von der eigenen Risikogruppe. Die Schritte funktionieren auf iPhone und Android identisch.
| Schritt | Was tun | Wo finden |
|---|---|---|
| 1 | Verknüpfte Geräte prüfen | Einstellungen → Verknüpfte Geräte |
| 2 | Unbekannte Geräte sofort entfernen | Auf das Gerät tippen → „Geräteverknüpfung trennen" |
| 3 | Registration Lock aktivieren | Einstellungen → Konto → Registrierungssperre |
| 4 | Signal-PIN überprüfen oder neu setzen | Einstellungen → Konto → PIN ändern |
| 5 | Bildschirmsperre aktivieren | Einstellungen → Datenschutz → Bildschirmsperre |
| 6 | Lese-Benachrichtigung kritisch prüfen | Liste der „seit X Tagen aktiven" Geräte vergleichen |
Schritt drei ist der wichtigste. Die Registration Lock verhindert, dass jemand mit deiner Telefonnummer einen Account auf einem fremden Gerät neu anmelden kann, selbst wenn er deinen SMS-Code abgreift. Ohne deine sechsstellige PIN ist die Registrierung blockiert. Laut BSI verhindert dieser eine Schalter die meisten Account-Übernahmen, die in der zweiten Angriffsvariante laufen.
Im Menü „Verknüpfte Geräte" siehst du jeden aktiven Zweit-Client mit Verknüpfungsdatum und letztem Online-Zeitpunkt. Findest du dort einen Eintrag, den du nicht selbst angelegt hast, ist dein Account fast sicher kompromittiert. Trenne ihn sofort. Anschließend gehst du das BSI-Drei-Szenarien-Schema durch: Keine Codes oder QR-Codes weitergegeben, dann ist nichts zu tun. Codes weitergegeben, aber Account intakt, dann Registration Lock setzen und PIN ändern. Account übernommen oder ungewollt ausgeloggt, dann Account neu registrieren, Kontakte warnen und Anzeige bei der Polizei erstatten.
Warum E2E-Verschlüsselung hier nicht schützt
Signal gilt nicht ohne Grund als sicherster Standard-Messenger. Die Ende-zu-Ende-Verschlüsselung sorgt dafür, dass nur Sender und Empfänger den Klartext einer Nachricht lesen können. Genau diese Logik macht den Angriff so wirksam. Beim Verknüpfen eines neuen Geräts wird das neue Gerät kryptographisch zum legitimen Empfänger. Es bekommt seine eigenen Schlüssel und Signal liefert ihm jede neue Nachricht regulär aus. Die Verschlüsselung schützt also alle Kommunikation, einschließlich der zum Angreifer-Gerät. Aus Sicht des Protokolls passiert nichts Verbotenes. Aus Sicht des Opfers ist sein Geheimnis öffentlich.
Diese Logik bricht eine verbreitete Annahme: Viele Nutzer glauben, ein E2E-Messenger sei „immun" gegen Phishing, weil weder Server noch Provider mitlesen können. Tatsächlich verlagert die Verschlüsselung das Risiko vom Transport auf die Endgeräte. Wer ein Endgerät dazu bringt, einem fremden Gerät zu vertrauen, hat alle Vorteile der Verschlüsselung auf seiner Seite. Genau deshalb hat Signal am 13. Mai 2026 in einer iOS- und Android-Aktualisierung mehrere In-App-Warnungen ausgerollt: einen Hinweis, dass Profilnamen nicht verifiziert sind, eine zweite Bestätigung beim Annehmen unbekannter Nachrichtenanfragen sowie deutlichere Sicherheitstipps zum „Linked Devices"-Menü. Laut Recherche von heise.de räumt Signal damit ein, dass die App den Angriff bislang zu lautlos zugelassen hat.
Wer im Visier steht, und warum das auch dich betrifft
Die offizielle BSI-Zielgruppe ist klar: Politik, Militär, Diplomatie, Investigativjournalismus. Wer in einer dieser Gruppen arbeitet, sollte den Handlungsleitfaden umgehend abarbeiten. Aber das BfV-Update vom 27. April 2026 nennt einen zweiten Kreis, der bislang übersehen wurde: Familienangehörige und persönliche Kontakte der Hauptziele. Über sie versuchen Angreifer, in geschlossene Gruppen zu kommen, in denen sensible Themen besprochen werden. Wer einen Bundestagsabgeordneten in seinen Signal-Kontakten hat, ist damit selbst potenzielles Ziel, ohne es zu wissen.
Für die breite Öffentlichkeit ist das relevante Risiko nicht der staatliche Spionageakteur, sondern die Methode, die jetzt im Umlauf ist. Phishing-Kits, die das „Linked Devices"-Feature missbrauchen, lassen sich auf andere Zielgruppen anpassen. Für Privatpersonen heißt das: Wer jetzt einmal in seinen Signal-Einstellungen aufräumt, schützt sich auch gegen die nächste, breit gestreute Welle.
Was du jetzt konkret tun solltest: Öffne Signal, geh in die Einstellungen, prüfe das Menü „Verknüpfte Geräte" auf unbekannte Einträge und entferne sie sofort. Aktiviere danach die Registrierungssperre und merke dir deine sechsstellige PIN. Reagiere auf keine Chat-Anfragen von „Signal Support" oder unbekannten Gruppen, die dich zum Scannen eines QR-Codes auffordern. Signal selbst nimmt nie proaktiv Kontakt zu Nutzern auf. Wenn du Verdacht hast, dass dein Konto kompromittiert wurde, folge dem BSI-Handlungsleitfaden bei Phishing über den Signal Support. Wenn du dich generell zur aktuellen Phishing-Lage informieren willst, lies auch unsere Übersicht zur GEZ-Phishing-Welle mit gefälschten Mahnungen, die parallel läuft, aber per E-Mail statt per QR-Code arbeitet.
