Die Warnung des BSI ist eindeutig: Den Behörden „liegen aktuelle Erkenntnisse vor, denen zufolge ein wahrscheinlich staatlich gesteuerter Cyberakteur Phishing-Angriffe über Messengerdienste wie Signal durchführt“, heißt es in dem Papier. „Im Fokus stehen hochrangige Ziele aus Politik, Militär und Diplomatie sowie Investigativjournalistinnen und -journalisten in Deutschland und Europa.“ Doch die Warnung kommt nicht in Folge des Hacks von Julia Klöckner – sondern stammt bereits aus dem Februar diesen Jahres.
Angesichts des erfolgreichen Angriffs auf die Bundestagspräsidentin – unter anderem wurden ihre Chats mit Kanzler Friedrich Merz abgegriffen – erneuert die Sicherheitsbehörde ihre Warnung aktuell. Die Spur führt nach Russland, bis zu 300 Deutsche sollen nach Erkenntnissen der Behörde betroffen sein. Dabei ist die Angriffsmasche eigentlich schockierend banal.
Angriff auf die größte Schwachstelle
Gehackt wurde nämlich nicht der Messenger Signal selbst – der ist weiterhin als sehr sicher zu bewerten. Statt mit komplexen Methoden eine Sicherheitslücke in der Software zu suchen, die sich ausnutzen lässt, setzen die Angreifer auf die größte Schwachstelle jeder digitalen Kommunikation: auf die Unbedarftheit des Opfers.
Dem BSI zufolge nehmen die Hacker gezielt Kontakt mit ihren Opfern auf, geben sich etwa als Support des Messengers aus. Dann bitten Sie um die Zugangsdaten zu dem Messenger. Nun haben sie die volle Kontrolle. Sie können im Namen des Opfers Nachrichten an Dritte schreiben, Chats mitlesen und die Angegriffenen bei Bedarf auch ganz aus dem Chat ausschließen.
So schützen Sie sich vor der Signal-Masche
Das BSI hat konkrete Handlungsanweisungen, wie man bei einem versuchten Angriff vorgehen sollte, in einem Leitfaden zusammengefasst. Die wichtigste Empfehlung: Werden Sie von einem vermeintlichen Signal-Support kontaktiert, interagieren Sie nicht mit dem Gegenüber. Blockieren und melden Sie stattdessen die Nummer. Sollten Sie es noch nicht getan haben, aktivieren Sie außerdem die Zwei-Faktor-Authentifizierung.
Bei den beiden anderen Szenarien sieht es schlechter aus. Wenn Sie sich von dem vermeintlichen Support in ein Gespräch verwickeln lassen, fragen diese irgendwann nach einem Code, der Ihnen zugeschickt wird. Geben Sie diesen auf keinen Fall weiter! Mit dem Code können sich die Hacker in Ihren Account einloggen. Selbst wenn Sie den Account dann noch normal nutzen können, ist es eigentlich zu spät: Die Angreifer können bereits mitlesen, in Ihrem Namen Nachrichten schreiben und Sie zu einem beliebigen Zeitpunkt aus dem Account aussperren.
Das BSI hat dann klare Empfehlungen: Sie sollten sofort die PIN in den Signal-Einstellungen ändern. Danach sollten Sie Ihren Account des Messengers löschen, nicht aber die App. Anschließend sollten Sie einen neuen Account mit einer neuen PIN öffnen, so die Experten. Gegebenenfalls sollte man sogar die Telefonnummer wechseln, das betrifft allerdings vor allem hochrangige Ziele.
Haben die Hacker den Account bereits übernommen, sollten Sie dringend Ihre Kontakte warnen, dass diese auf Signal nicht mit Ihnen, sondern mit Dritten sprechen. Die Kontakte sollten Ihre Nummer sofort aus allen Gruppen entfernen, um den weiteren Zugriff zu unterbinden. Zudem sollte man den echten Signal-Support kontaktieren, um den gehackten Account löschen zu lassen. Und ebenfalls bei Bedarf die Telefonnummer wechseln.
Ist Signal überhaupt sicher?
An der Sicherheit des Messengers gibt es grundsätzlich keinen Zweifel. Das Verschlüsselungsprotokoll gilt als branchenführend, auch Whatsapp setzt auf Signals Verschlüsselung. Auch in der App selbst sind keine Lücken bekannt. Weil der Quellcode öffentlich ist (Open Source), haben Experten die App bereits auf Herz und Nieren prüfen können. „Von den zur Verfügung stehenden Messengern ist Signal die App, die am meisten darauf achtet, dass sie sicher ist. Die Sicherheit ist das eigentliche Ziel der App, nicht nur Marketing“, erklärt Verschlüsselungsexperte Dr. Paul Rösler im Gespräch mit dem stern.
Das bedeutet aber nicht, dass die App auch für Regierungen eine gute Wahl ist, so Rösler. „Signal ist nicht dazu da, Staatsgeheimnisse in unübersichtlichen Strukturen zu verteilen. Dafür gibt es sicherere Methoden, auch in Bezug darauf, wer in den Chats ist“, erläutert Rösler. „Es gibt keine Möglichkeit, die Nutzer bestimmten Organisationen zuzuweisen und so zu verifizieren.“ Genau das macht sich die Support-Masche letztlich zum Vorteil.
Quelle: BSI
- Julia Klöckner
- BSI
- Militär
- Software
Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke
