Es beginnt mit einer Nachricht, die aussieht wie eine Sicherheitswarnung. Der Absender scheint der Signal-Support zu sein. Der Text warnt vor ungewöhnlicher Aktivität auf dem Konto und fordert zur Bestätigung der Identität auf – per Verifizierungscode und Sicherheits-PIN. Wer beides eingibt, verliert in diesem Moment die Kontrolle über seinen verschlüsselten Messenger-Account. Chats, Kontakte, Gruppenmitgliedschaften, weitergeleitete Dokumente – alles liegt offen. Es ist keine Sicherheitslücke im technischen Sinne. Es ist Social Engineering auf staatlichem Niveau.

Was klingt wie ein hypothetisches Szenario, ist seit September 2025 bittere Realität für über hundert hochrangige Persönlichkeiten in Deutschland und Europa. Betroffen sind Bundestagsabgeordnete, Angehörige der Bundeswehr, Mitarbeiter von Nachrichtendiensten, Diplomaten und investigative Journalisten. Im Februar 2026 veröffentlichten das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen gemeinsamen Sicherheitshinweis – ein ungewöhnlicher Schritt, der die Ernsthaftigkeit der Bedrohung unterstreicht.

Wenn der Messenger zum Einfallstor wird: Ein Unternehmensszenario

Stellen Sie sich folgendes Szenario vor: Thomas Berger ist Geschäftsführer eines mittelständischen Maschinenbauunternehmens mit 280 Mitarbeitern in Baden-Württemberg. Die Firma liefert Präzisionskomponenten an Rüstungszulieferer und Automobilhersteller. Wie in vielen Unternehmen dieser Größe hat sich Signal als informeller Kommunikationskanal etabliert – für schnelle Absprachen zwischen Geschäftsleitung und Projektleitern, für den Austausch mit Kunden, manchmal auch für vertrauliche Vertragsverhandlungen.

An einem Dienstagmorgen erhält Berger eine Signal-Nachricht, scheinbar vom Signal-Support: Sein Konto sei möglicherweise kompromittiert worden, er solle umgehend seinen Verifizierungscode bestätigen. Die Nachricht ist professionell formuliert, enthält das Signal-Logo und klingt dringend. Berger, zwischen zwei Terminen, gibt den Code ein. Es dauert keine 30 Sekunden.

Was Berger nicht weiß: Ein Angreifer hat soeben vollen Zugriff auf seinen Signal-Account erhalten. Innerhalb von Minuten werden sämtliche Chatverläufe der letzten Monate gesichert – darunter Preisverhandlungen mit einem Rüstungskonzern, technische Spezifikationen einer Neuentwicklung, interne Diskussionen über einen geplanten Unternehmensverkauf und persönliche Nachrichten mit Familienmitgliedern. Der Angreifer registriert sich gleichzeitig auf einem zweiten Gerät mit Bergers Nummer und kann künftig mitlesen, ohne dass es sofort auffällt.

Dieses Szenario ist fiktiv – aber es bildet exakt die Angriffsmethodik ab, die aktuell gegen hunderte Ziele in Deutschland eingesetzt wird. Und es zeigt, warum die staatliche Messenger-Phishing-Kampagne nicht nur ein Problem für Regierung und Medien ist, sondern für jedes Unternehmen, das vertrauliche Informationen über Messenger austauscht.

Anatomie der Angriffskampagne

Die Kampagne, die seit September 2025 dokumentiert ist, folgt einem erstaunlich konsistenten Muster. Die Angreifer nutzen keine technischen Schwachstellen in Signal oder WhatsApp selbst – die Ende-zu-Ende-Verschlüsselung beider Dienste bleibt intakt. Stattdessen zielen sie auf die menschliche Komponente: das Vertrauen der Nutzer in scheinbar legitime Kommunikation.

Phase 1: Aufklärung und Zielauswahl

Die Angreifer identifizieren zunächst ihre Ziele – Personen mit Zugang zu sicherheitsrelevanten oder wirtschaftlich wertvollen Informationen. Im politischen Kontext sind das Abgeordnete mit Ausschussmitgliedschaft in Verteidigung oder Außenpolitik, Journalisten mit Kontakten in Sicherheitskreise und Diplomaten in sensiblen Positionen. In einem wirtschaftlichen Kontext wären es Geschäftsführer, Forschungsleiter oder Vertriebsleiter mit Zugang zu Geschäftsgeheimnissen.

Die Telefonnummern der Zielpersonen werden über öffentlich zugängliche Quellen, Social-Media-Profile, Konferenz-Teilnehmerlisten oder durch vorherige Kompromittierung anderer Accounts beschafft. In einigen dokumentierten Fällen kontaktierten die Angreifer ihre Ziele zunächst über eine vertrauenswürdige dritte Person, deren Account bereits übernommen worden war – eine besonders perfide Variante, weil die Nachricht von einem bekannten Kontakt zu kommen scheint.

Phase 2: Der Phishing-Angriff

Die eigentliche Phishing-Nachricht imitiert eine offizielle Sicherheitswarnung des jeweiligen Messenger-Dienstes. Sie enthält typischerweise eine Warnung vor verdächtiger Kontoaktivität, die Aufforderung zur Identitätsbestätigung per Verifizierungscode, in einem zweiten Schritt die Abfrage der Sicherheits-PIN und eine Dringlichkeitskomponente, die zum sofortigen Handeln auffordert.

Die sprachliche Qualität der Nachrichten variiert. Linguistische Analysen deuten auf Verfasser mit slawischem Sprachhintergrund hin – Fachleute identifizierten typische Merkmale wie fehlende Artikel, die auf Sprecher slawischer Sprachen hindeuten. Doch die Nachrichten werden kontinuierlich verbessert, und in neueren Varianten sind solche Fehler kaum noch zu finden.

Phase 3: Account-Übernahme und Datenexfiltration

Sobald ein Opfer sowohl den Verifizierungscode als auch die PIN preisgibt, können die Angreifer den Account auf einem neuen Gerät registrieren. Dies ermöglicht den Zugriff auf den vollständigen Chatverlauf (sofern Cloud-Backups aktiviert sind oder der Account auf ein neues Gerät übertragen wird), das Mitlesen aller zukünftigen Nachrichten, die Identifikation des gesamten Kontaktnetzwerks inklusive Gruppenmitgliedschaften und im schlimmsten Fall das Versenden von Nachrichten im Namen des Opfers – etwa um weitere Ziele in dessen Netzwerk anzugreifen.

Niederländische Geheimdienste haben bestätigt, dass Angreifer in mehreren Fällen erfolgreich Zugang zu sensiblen Informationen erlangt haben. Einzelne Zielpersonen wurden bis zu viermal angegriffen – ein Hinweis auf die Hartnäckigkeit und die Ressourcen der Angreifer.

Attribution: Wer steckt dahinter?

Die niederländischen Militär- und Zivilgeheimdienste (MIVD und AIVD) haben die Kampagne öffentlich russischen staatlichen Akteuren zugeschrieben. Auch das britische National Cyber Security Centre (NCSC) deutet in die gleiche Richtung. Das BSI und der Verfassungsschutz sprechen zurückhaltender von einem „wahrscheinlich staatlich gesteuerten Cyberakteur", ohne eine namentliche Zuschreibung vorzunehmen.

Die Indizienkette stützt sich auf mehrere Faktoren: Die geografische Streuung der Ziele – Belarus (Oktober 2025), Armenien (Januar 2026), Deutschland und Großbritannien (fortlaufend seit September 2025) – entspricht dem Operationsprofil russischer Nachrichtendienste. Die Priorisierung von Zielen aus Verteidigung, Diplomatie und investigativem Journalismus ist typisch für nachrichtendienstliche Aufklärung. Und die anhaltende Kampagne über viele Monate hinweg deutet auf institutionelle Ressourcen hin, die über die Möglichkeiten gewöhnlicher Cyberkrimineller hinausgehen.

Für Unternehmen ist die genaue Attribution allerdings zweitrangig. Entscheidend ist die Erkenntnis: Staatlich gesteuerte Angreifer setzen auf Social Engineering statt auf technische Exploits – und diese Methoden lassen sich trivial auf wirtschaftliche Ziele übertragen.

Warum Unternehmen betroffen sind, ohne es zu wissen

Die öffentliche Berichterstattung konzentriert sich verständlicherweise auf die prominenten Opfer: Politiker, Diplomaten, Journalisten. Doch die Angriffsmethodik ist vollständig branchenunabhängig. Jedes Unternehmen, das über Messenger-Dienste vertrauliche Informationen austauscht, ist ein potenzielles Ziel – und die meisten tun genau das.

Eine Studie des Bitkom aus dem Vorjahr zeigt, dass über 70 Prozent der deutschen Unternehmen Messenger-Dienste für die geschäftliche Kommunikation nutzen. In vielen Fällen geschieht dies informell und ohne zentrale Steuerung: Die Geschäftsleitung bespricht Vertragsentwürfe über Signal, das Projektteam koordiniert sich per WhatsApp, der Vertrieb tauscht Preislisten über Telegram aus. Die meisten Unternehmen haben keinerlei Richtlinien für den Umgang mit Messenger-Kommunikation – geschweige denn ein Bewusstsein dafür, dass diese Kanäle Ziel professioneller Angriffe sein können.

Die Attraktivität von Messenger-Accounts als Angriffsziel ergibt sich aus mehreren Faktoren: Sie enthalten oft monatelange Kommunikationsverläufe mit geschäftskritischen Inhalten. Sie offenbaren Beziehungsnetzwerke, die für Spear-Phishing-Folgeattacken auf andere Unternehmensmitglieder wertvoll sind. Sie werden selten von Sicherheitslösungen überwacht, weil sie auf privaten Endgeräten laufen. Und ein übernommener Account kann als vertrauenswürdiger Absender für weiterführende Angriffe missbraucht werden.

Die unterschätzte Dimension: Lieferketten-Spionage über Messenger

Besonders brisant wird die Bedrohung, wenn man die Lieferkettenproblematik einbezieht. Unternehmen, die mit Rüstungskonzernen, KRITIS-Betreibern oder Behörden zusammenarbeiten, werden zunehmend als weicher Einstiegspunkt in gehärtete Netzwerke betrachtet. Ein kompromittierter Messenger-Account eines mittelständischen Zulieferers kann der Schlüssel sein, um an Informationen über die Projekte des eigentlichen Zielunternehmens zu gelangen.

Die im März 2026 wirksam gewordenen Bestimmungen des KRITIS-Dachgesetzes und die NIS2-Richtlinie adressieren diese Problematik auf der Netzwerk- und Systemebene – doch die Messenger-Kommunikation fällt typischerweise durch das Raster der Compliance-Anforderungen. Sie ist zu informell, um in IT-Sicherheitskonzepte einzufließen, und zu allgegenwärtig, um sie einfach zu unterbinden.

Zurück zu Thomas Berger: Die Folgen eines kompromittierten Accounts

Kehren wir zu unserem fiktiven Szenario zurück. Als Thomas Berger drei Wochen nach dem Vorfall bemerkt, dass sein Signal-Account auf einem fremden Gerät aktiv ist, ist der Schaden bereits angerichtet. Eine forensische Analyse durch ein IT-Sicherheitsunternehmen ergibt, dass über den kompromittierten Account folgende Informationen abgeflossen sind:

Preiskalkulationen für eine laufende Ausschreibung im Wert von 4,2 Millionen Euro – der Wettbewerber erhält den Zuschlag mit einem exakt passenden Gegenangebot. Technische Zeichnungen einer patentgeschützten Neuentwicklung, die wenige Monate später als auffällig ähnliches Produkt eines asiatischen Herstellers auf einer Fachmesse auftaucht. Interne Diskussionen über einen geplanten Unternehmensverkauf, die den Verhandlungsspielraum der Kaufinteressenten erheblich erweitern. Und personenbezogene Daten von Mitarbeitern und Geschäftspartnern, die eine Meldepflicht nach DSGVO auslösen.

Der Gesamtschaden lässt sich kaum beziffern. Der unmittelbare finanzielle Verlust durch die verlorene Ausschreibung und die Schwächung der Verhandlungsposition beim Unternehmensverkauf beläuft sich auf einen niedrigen zweistelligen Millionenbetrag. Die langfristigen Folgen – Verlust geistigen Eigentums, Vertrauensschaden bei Geschäftspartnern, regulatorische Konsequenzen – potenzieren diesen Betrag noch einmal.

Schutzmaßnahmen: Was Unternehmen konkret tun sollten

Die gute Nachricht: Da die aktuelle Kampagne auf Social Engineering basiert und keine technischen Schwachstellen ausnutzt, lässt sich der Schutz mit organisatorischen und bewusstseinsbildenden Maßnahmen erheblich verbessern.

Sofortmaßnahmen (innerhalb von 48 Stunden umsetzbar)

Registrierungssperre aktivieren: Signal bietet die Möglichkeit, eine Registrierungssperre zu aktivieren (Einstellungen → Konto → Registrierungssperre). Diese verhindert, dass der Account ohne Kenntnis der PIN auf einem neuen Gerät registriert werden kann – selbst wenn ein Angreifer den Verifizierungscode abfängt. Diese Funktion sollte für alle Mitarbeiter mit Zugang zu vertraulichen Informationen verpflichtend sein.

Verknüpfte Geräte prüfen: Unter Einstellungen → Verknüpfte Geräte können Nutzer überprüfen, ob unbekannte Geräte Zugriff auf ihren Account haben. Diese Prüfung sollte regelmäßig erfolgen – idealerweise wöchentlich für Personen in Schlüsselpositionen.

Sofortige Sensibilisierung: Informieren Sie Ihre Führungskräfte und Schlüsselmitarbeiter über die aktuelle Kampagne. Die zentrale Botschaft ist einfach: Signal, WhatsApp und andere Messenger-Dienste werden niemals per Nachricht nach Verifizierungscodes oder PINs fragen. Jede solche Anfrage ist ein Angriff – ohne Ausnahme.

Mittelfristige Maßnahmen (innerhalb von 30 Tagen)

Messenger-Richtlinie erstellen: Definieren Sie verbindlich, welche Informationskategorien über Messenger-Dienste ausgetauscht werden dürfen und welche nicht. Als Faustregel: Alles, was Sie nicht an eine Postkarte schreiben würden, gehört nicht in einen Messenger-Chat – selbst wenn die Verschlüsselung technisch sicher ist, ist der Account-Schutz es möglicherweise nicht.

Separate Kommunikationskanäle für Vertrauliches: Für wirklich sensible geschäftliche Kommunikation sollten dedizierte, zentral verwaltete Plattformen genutzt werden, die eine mehrstufige Authentifizierung, zentrale Geräteverwaltung, Protokollierung und Audit-Fähigkeit bieten. Maßgeschneiderte Lösungen können dabei helfen, Sicherheit und Benutzerfreundlichkeit zu verbinden.

Incident-Response-Plan erweitern: Ergänzen Sie Ihren Incident-Response-Plan um das Szenario „Kompromittierter Messenger-Account". Klären Sie vorab: Wer ist zu benachrichtigen? Wie werden Kontakte gewarnt? Wie wird der betroffene Account gesichert? Welche Meldepflichten bestehen (DSGVO, NIS2, branchenspezifische Regulierung)?

Langfristige Maßnahmen (strategisch)

Security-Awareness-Programm mit Messenger-Fokus: Integrieren Sie Messenger-Phishing als festen Bestandteil Ihrer Security-Awareness-Schulungen. Simulierte Phishing-Übungen, die auch Messenger-Szenarien umfassen, erhöhen die Wachsamkeit erheblich. Die aktuelle staatliche Kampagne liefert dabei ideales Anschauungsmaterial.

Zero-Trust-Prinzip auf Kommunikation ausdehnen: Behandeln Sie jede eingehende Nachricht – auch von bekannten Kontakten – mit angemessener Skepsis, insbesondere wenn sie zu sicherheitsrelevanten Handlungen auffordert. In einer Welt, in der Accounts übernommen werden können, ist die Absenderidentität kein verlässlicher Vertrauensanker mehr. Etablieren Sie Out-of-Band-Verifikation für kritische Anfragen: Ein Rückruf über eine bekannte Telefonnummer klärt in 30 Sekunden, ob eine Anfrage echt ist.

Mobile-Device-Management für Geschäftsgeräte: Sofern Messenger-Dienste auf Firmengeräten genutzt werden, sollte ein Mobile-Device-Management (MDM) implementiert sein, das die zentrale Durchsetzung von Sicherheitsrichtlinien ermöglicht – einschließlich automatischer PIN-Aktivierung und Gerätesperre bei Verdacht auf Kompromittierung.

Breitere Einordnung: Die neue Normalität staatlicher Cyberoperationen

Die Messenger-Phishing-Kampagne ist Teil eines größeren Trends: Staatliche Akteure verlagern ihre Operationen zunehmend von der technischen Exploitation hin zu Social-Engineering-Angriffen, die auf menschliche Schwachstellen abzielen. Dieser Ansatz ist kostengünstiger, schwerer zu detektieren und skaliert besser als die Entwicklung von Zero-Day-Exploits.

Für Unternehmen bedeutet das eine unbequeme Wahrheit: Selbst die beste technische Sicherheitsinfrastruktur schützt nicht vor einem Mitarbeiter, der in einem unachtsamen Moment einen Verifizierungscode weitergibt. Die Angriffsfläche verschiebt sich vom Perimeter zum Menschen – und die Verteidigung muss folgen.

Die Parallelen zur Entwicklung bei KI-gestützten Angriffen sind dabei offensichtlich: Generative KI ermöglicht es, Social-Engineering-Nachrichten in beliebiger Qualität und Menge zu produzieren, sie sprachlich und kulturell perfekt an die Zielperson anzupassen und sogar Stimmen für telefonische Nachfassaktionen zu imitieren. Was heute eine koordinierte Kampagne eines Nachrichtendienstes ist, wird morgen ein automatisierter Angriffsvektor sein, den auch mittelgroße cyberkriminelle Gruppen einsetzen können.

Was die Behörden empfehlen – und was darüber hinausgeht

Das BSI und der Verfassungsschutz haben in ihrem gemeinsamen Sicherheitshinweis konkrete Empfehlungen ausgesprochen, die sich an die primären Zielgruppen der Kampagne richten – Personen aus Politik, Militär und Medien. Für Unternehmen müssen diese Empfehlungen ergänzt und in einen breiteren Informationssicherheitskontext eingebettet werden.

Die behördlichen Empfehlungen beschränken sich im Wesentlichen auf die individuelle Absicherung von Messenger-Accounts. Was fehlt, ist der organisatorische Rahmen: Wie stellt ein Unternehmen sicher, dass alle 280 Mitarbeiter die Registrierungssperre aktivieren? Wie erfährt das IT-Team, wenn ein Account kompromittiert wurde? Wie werden Geschäftsgeheimnisse geschützt, die bereits über Messenger geteilt wurden und in Chatverläufen schlummern?

Hier müssen Unternehmen selbst aktiv werden. Ein systematischer Ansatz umfasst die Klassifikation von Informationen nach Schutzbedarf, die Definition zugelassener Kommunikationskanäle pro Schutzklasse, die technische Durchsetzung dieser Vorgaben und die regelmäßige Überprüfung der Einhaltung. Unser Projektmanagement-Team unterstützt Sie gerne dabei, einen solchen Rahmen zu entwickeln und umzusetzen.

Ausblick: Messenger-Sicherheit wird zum Compliance-Thema

Es ist absehbar, dass die Regulierung in den kommenden Jahren auch die Messenger-Kommunikation stärker in den Blick nehmen wird. Die NIS2-Richtlinie fordert bereits ein umfassendes Risikomanagement, das grundsätzlich alle Kommunikationskanäle einschließt – auch wenn die konkrete Umsetzung bisher kaum auf Messenger-Dienste eingeht. Der Cyber Resilience Act und die DORA-Verordnung setzen ähnliche Maßstäbe für ihre jeweiligen Geltungsbereiche.

Unternehmen, die heute schon eine durchdachte Messenger-Strategie implementieren, sind nicht nur besser vor der aktuellen Angriffskampagne geschützt – sie schaffen auch die Voraussetzungen, um zukünftige regulatorische Anforderungen ohne Hektik umzusetzen.

Die Kampagne russischer Nachrichtendienste gegen Signal- und WhatsApp-Nutzer ist ein Weckruf. Nicht weil die Angriffsmethoden besonders raffiniert wären – im Gegenteil, sie sind erschreckend simpel. Sondern weil sie zeigt, wie verwundbar eine Kommunikationsinfrastruktur ist, die von Millionen Menschen und Unternehmen täglich genutzt wird, ohne dass ihre Absicherung jemals systematisch adressiert wurde.

Es ist an der Zeit, das zu ändern. Beginnend mit einer einfachen Frage an Ihre IT-Abteilung: Wissen Sie, welche Geschäftsgeheimnisse gerade in den Messenger-Chatverläufen Ihrer Führungskräfte liegen?

Für eine individuelle Beratung zur Absicherung Ihrer Unternehmenskommunikation und zur Entwicklung einer ganzheitlichen Sicherheitsstrategie stehen wir Ihnen gerne zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular.