Wenn russische Dienste die Telefone deutscher Bundesministerinnen mitlesen, ist das nicht der Plot eines Kalten-Krieg-Romans, sondern Stand der Bedrohungslage Ende April 2026. Nach Recherchen des Spiegel sind die Signal-Konten von Bundesbildungsministerin Karin Prien (CDU) und Bundesbauministerin Verena Hubertz (SPD) kompromittiert worden. Bereits zuvor war bekannt geworden, dass Bundestagspräsidentin Julia Klöckner zu den Betroffenen zählt. Insgesamt sollen rund 300 Konten von Politikern, Beamten, Diplomaten, Militärangehörigen und Journalisten in einer großangelegten Kampagne übernommen worden sein. Der Generalbundesanwalt ermittelt wegen Spionageverdachts, die Bundesregierung nennt Russland als mutmaßlichen Auftraggeber.
Was technisch dahintersteckt, ist weder eine bislang unbekannte Kryptografielücke noch ein Zero-Day im Signal-Code. Die Angreifer brechen die Verschlüsselung des Messengers nicht – sie umgehen sie. Und der Trick ist alt genug, dass er längst auch im deutschen Mittelstand ankommt.
Linked Devices: Eine Komfortfunktion wird zur Hintertür
Signal erlaubt es, dasselbe Konto auf mehreren Geräten parallel zu nutzen. Wer den Messenger neben dem Smartphone auch auf dem Desktop verwenden will, scannt mit der Mobile-App einen QR-Code, der auf dem Zweitgerät angezeigt wird. Anschließend werden alle Nachrichten an beide Endpunkte gespiegelt – Ende-zu-Ende-verschlüsselt, aber eben an zwei Empfänger gleichzeitig.
Genau diese Funktion missbrauchen die Akteure. Statt eines Desktop-Clients der Zielperson empfängt ein Server der Angreifer die Spiegelung. Das Opfer scannt einen QR-Code, der ihm als Gruppen-Einladung, Sicherheitswarnung oder vermeintliche Geräte-Pairing-Anleitung präsentiert wird. Im Hintergrund enthält der Code keine harmlose Gruppen-URL, sondern einen sgnl://linkdevice?uuid=…-URI, der das eigene Konto an ein vom Angreifer kontrolliertes Gerät bindet. Ab diesem Moment erhält der Angreifer alle eingehenden und ausgehenden Nachrichten in Echtzeit – ohne das Zielgerät zu kompromittieren, ohne Schadsoftware zu installieren, ohne klassische Spuren auf dem Endpunkt zu hinterlassen.
Microsoft, Google Threat Intelligence und mehrere westliche Dienste schreiben die Kampagne mehreren Russland-nahen Clustern zu. Genannt werden Star Blizzard, UNC5792 (auch bekannt als UAC-0195) und UNC4221 (UAC-0185). UNC5792 hat zuletzt manipulierte Signal-Gruppen-Einladungsseiten verbreitet, UNC4221 betrieb einen Phishing-Kit, der die ukrainische Artillerie-App "Kropyva" imitierte. Star Blizzard ergänzte das Repertoire um WhatsApp-Übernahmen über denselben Mechanismus. FBI und CISA hatten bereits im März 2026 eine entsprechende Warnung veröffentlicht – die deutsche Bundesregierung war zu diesem Zeitpunkt offenbar bereits Ziel.
Warum gerade Signal und WhatsApp?
Die Antwort hat weniger mit Technik als mit Vertrauen zu tun. Ende-zu-Ende-verschlüsselte Messenger gelten in Politik, Justiz und Bundeswehr als sichere Alternative zu E-Mail und SMS. Genau diese Reputation macht sie zum lohnenden Ziel: Wer Signal lesen kann, sieht nicht den geglätteten Akteninhalt, sondern die ungeschönten Diskussionen vor dem Kabinett, die internen Lageberichte aus der Truppe oder die Off-the-record-Quellen im Investigativjournalismus.
Gleichzeitig hat sich die Linked-Devices-Funktion als universelles Einfallstor etabliert, weil sie zwei Eigenschaften verbindet, die Angreifer lieben: Sie ist einerseits intransparent – das Opfer sieht nicht, wer auf der anderen Seite des QR-Codes steht – und andererseits dauerhaft: Das verknüpfte Gerät bleibt bestehen, bis es manuell entfernt wird. Eine MFA-Abfrage gibt es für die Pairing-Operation nicht, eine zweite Bestätigung über einen out-of-band-Kanal ebenfalls nicht. Wer einmal scannt, hat Zugang gewährt.
Drei Phasen einer Account-Übernahme
Die bislang bekannten Angriffsmuster lassen sich in drei Phasen gliedern. In der ersten Phase identifizieren die Akteure ihre Ziele über öffentliche Quellen, geleakte Adressbücher oder bereits kompromittierte Konten Dritter. Anschließend wird ein passender Köder gebaut: eine Einladung zu einer angeblichen Pressekonferenz, eine "Sicherheitswarnung" aus dem vermeintlichen Signal-Support, ein gefälschter Lagebericht eines befreundeten Dienstes. Die Köder werden über E-Mail, soziale Netzwerke oder bereits übernommene Signal-Konten Dritter zugestellt.
In der zweiten Phase scannt das Opfer den eingebetteten QR-Code – häufig in der Annahme, einer Gruppe beizutreten oder eine Sicherheitsmaßnahme zu bestätigen. Innerhalb weniger Sekunden ist das eigene Konto an das Angreifergerät gekoppelt. Die Signal-App zeigt zwar einen Eintrag unter "Verknüpfte Geräte", aber wer prüft das schon im Tagesgeschäft?
In der dritten Phase agieren die Angreifer überwiegend passiv: Sie lesen mit, exfiltrieren Anhänge, profilieren Kontakte. Erst wenn die Spionageoperation in eine aktive Phase übergeht, werden auch Nachrichten verschickt – etwa um weitere Personen aus dem Umfeld des Opfers zu phishen. Genau dieses Verhalten erklärt, warum die Kampagne in Deutschland erst jetzt sichtbar wird, obwohl die ersten technischen Indikatoren bereits seit Anfang 2025 dokumentiert sind.
Was im Mittelstand jetzt zählt
Der Reflex, einen Vorfall auf Bundesministerebene als Politikum abzutun, geht an der Sache vorbei. Die gleiche Kampagne, derselbe Angriffsweg, dieselben Tools richten sich seit Monaten auch gegen Geschäftsführer, Aufsichtsräte, Anwälte und Wirtschaftsprüfer im deutschen Mittelstand. Wer sensible M&A-Verhandlungen, Compliance-Untersuchungen oder Zulieferer-Korrespondenz über Signal oder WhatsApp führt, steht im selben Beuteschema – nur mit weniger Personenschutz im Hintergrund. Konkret sollten Unternehmen jetzt drei Schichten von Maßnahmen ziehen.
1. Sofortmaßnahmen für jedes Konto (innerhalb 24 Stunden)
Jeder Mitarbeiter, der Signal oder WhatsApp dienstlich nutzt, sollte unmittelbar prüfen, welche Geräte mit dem eigenen Konto verknüpft sind. In Signal: Einstellungen → Verknüpfte Geräte. Unbekannte Sitzungen sofort entfernen. In WhatsApp analog: Einstellungen → Verknüpfte Geräte. Wer hier eine fremde Sitzung findet, sollte zusätzlich alle aktiven Sitzungen abmelden, das Konto neu registrieren und bei Verdacht auf nachgelagerte Kompromittierung die letzten 30 Tage Chatverlauf auf untypische Inhalte oder Kontaktanfragen durchsuchen.
2. Strukturelle Härtung (innerhalb 2 Wochen)
QR-Codes aus E-Mails, Chatnachrichten oder Webseiten sollten grundsätzlich nicht mit der Hauptidentität gescannt werden. In besonders exponierten Rollen empfiehlt sich ein dediziertes Zweitgerät, auf dem solche Codes geprüft werden. Für die gesamte Mitarbeiterschaft braucht es eine kurze, klare Regel: Linked-Devices niemals auf Aufforderung Dritter aktivieren. Wer eine angebliche Sicherheitswarnung mit der Bitte um Geräte-Pairing erhält, soll diese ignorieren und über einen out-of-band-Kanal verifizieren.
Auf der Plattformseite sollten Sicherheitsverantwortliche prüfen, ob der Einsatz von Consumer-Messengern für vertrauliche Geschäftskommunikation überhaupt noch tragbar ist. Wer regulatorisch unter NIS2, das frische KRITIS-Dachgesetz oder branchenspezifische Aufsicht fällt, wird die Antwort in vielen Fällen mit "nein" beantworten müssen – und auf abgesicherte Plattformen mit Mobile Device Management, Endpoint Detection und zentral steuerbaren Linked-Device-Policies umsteigen.
3. Detektion und Übung (innerhalb 8 Wochen)
Phishing-Awareness in Form jährlicher Klick-Schulungen reicht für diese Bedrohungsklasse nicht aus. Was zählt, ist die regelmäßige praktische Übung: simulierte QR-Phishing-Angriffe, klare Eskalationspfade, ein abrufbarer Incident-Response-Spielplan. Wer eine SOC-Anbindung nutzt, sollte diese um Use Cases für Messenger-Account-Übernahmen erweitern – etwa durch Auswertung von Login-Anomalien aus Mobile-Device-Management-Systemen oder durch Monitoring auf neue Linked-Device-Aktivierungen, sofern Plattform und Lizenzmodell das ermöglichen.
Drei harte Indikatoren, die heute kontrolliert gehören
Wer ohne großes Programm starten will, prüft drei einfache Dinge bis Feierabend:
Erstens die Liste der verknüpften Geräte auf jedem Smartphone, das geschäftlich Signal oder WhatsApp nutzt. Jeder unbekannte Eintrag ist potenziell ein offener Spionagekanal. Zweitens die letzten 90 Tage E-Mail-Eingang nach QR-Code-Anhängen oder eingebetteten Bildern, die zum Scannen aufgefordert haben – ein typischer Distributionsweg in der aktuellen Welle. Drittens die Frage, ob für die Geschäftsführung und besonders exponierte Rollen Geräte-Pairing per Policy überhaupt erlaubt ist; wenn ja, sollte die Erlaubnis temporär ausgesetzt werden, bis ein klarer Prozess steht.
Die strategische Lehre: Verschlüsselung schützt nicht vor sozialer Manipulation
Der bemerkenswerte Punkt der aktuellen Welle ist nicht, dass Signal "geknackt" wurde – das wurde es nicht. Bemerkenswert ist, dass eine sicherheitsbewusste Zielgruppe – Bundesministerinnen, Bundeswehrangehörige, investigative Journalisten – durch eine soziale Manipulation kompromittiert werden konnte, deren technischer Kern eine offiziell dokumentierte Komfortfunktion ist. Die Lektion ist alt und doch wieder aktuell: Verschlüsselung ist eine notwendige, aber keine hinreichende Bedingung für vertrauliche Kommunikation. Sicher ist erst, was prozessual eingebettet, technisch gehärtet und organisatorisch geübt ist.
Für IT-Verantwortliche heißt das: Die Bedrohungslage hat sich auf der Angreiferseite verschoben. Wer die Geschichte nur als Politikum verfolgt, übersieht, dass dieselben Werkzeuge mit minimalen Anpassungen gegen jeden Geschäftsführer, jeden Compliance-Officer, jeden Vorstandsassistenten einsetzbar sind. Die Informationssicherheitsstrategie 2026 muss diesen Vektor adressieren – nicht in der nächsten Roadmap, sondern jetzt.
Wer für sein Unternehmen klären möchte, wie der eigene Reifegrad in Sachen Messenger-Sicherheit, Linked-Device-Hygiene und Awareness aussieht, findet in einer kompakten Erstanalyse meist die größten Hebel. Das pleXtec-Team unterstützt bei der Bestandsaufnahme und beim Aufbau geübter Reaktionspfade – Kontakt aufnehmen und in 30 Minuten den nächsten Schritt definieren.
