Messenger-Konten im Fadenkreuz

Ende April 2026 wurde bekannt, was Sicherheitsbehörden seit Monaten befürchtet hatten: Bundestagspräsidentin Julia Klöckner ist Opfer eines gezielten Phishing-Angriffs auf ihr Signal-Konto geworden. Das Konto wurde – so berichtet der Spiegel unter Berufung auf mehrere Quellen – „erfolgreich kompromittiert”. Besonders brisant: Klöckner ist Mitglied einer Signal-Gruppe des CDU-Präsidiums, der auch Bundeskanzler Friedrich Merz angehört. Merz wurde vom Verfassungsschutz persönlich aufgesucht; sein Gerät zeigte nach bisherigen Erkenntnissen keine Auffälligkeiten.

Der Vorfall ist kein Einzelfall. BSI und Bundesamt für Verfassungsschutz (BfV) warnten bereits am 6. Februar 2026 gemeinsam vor einer aktiven Phishing-Kampagne über Messengerdienste wie Signal, die sich gegen hochrangige Personen aus Politik, Militär, Diplomatie und Investigativjournalismus richtet. Eine aktualisierte Warnung vom 17. April 2026 stellt klar: „Die Kampagne ist weiterhin aktiv und gewinnt an Dynamik.” Hinter den Angriffen werden mit hoher Wahrscheinlichkeit staatlich gesteuerte Cyberakteure – insbesondere russlandnahe Gruppen – vermutet.

Wie die Angriffe technisch funktionieren

Zentral für das Verständnis dieser Angriffe ist: Signal selbst wurde nicht gehackt. Die Ende-zu-Ende-Verschlüsselung der App blieb intakt. Das eigentliche Einfallstor sind die Nutzerinnen und Nutzer selbst – und zwei legitime Funktionen des Messengers werden dabei als Waffe eingesetzt.

Angriffsmethode 1: Gefälschter „Signal Support” und PIN-Diebstahl

In der ersten Variante kontaktieren die Angreifer ihre Zielpersonen direkt über den Signal-Messenger. Der Absender gibt sich als „Signal Support” oder „Signal Security ChatBot” aus. In dramatischem Ton wird vor einem angeblichen Sicherheitsvorfall gewarnt und zu sofortigem Handeln gedrängt. Ziel ist es, das Opfer dazu zu bringen, seinen persönlichen Sicherheits-PIN oder einen per SMS zugestellten Verifizierungscode preiszugeben.

Gibt das Opfer diese Daten heraus, registrieren die Angreifer das Konto auf einem eigenen Gerät um. Das Opfer verliert damit sofort den Zugriff auf sein eigenes Konto, während der Angreifer nun als diese Person auftritt, alle Kontakte einsehen und Nachrichten senden kann. Signal selbst stellt dazu klar: Der Signal-Support nimmt niemals über In-App-Nachrichten, SMS oder soziale Medien Kontakt mit Nutzern auf, um deren Codes oder PIN zu erfragen.

Angriffsmethode 2: Missbrauch der „Linked Devices”-Funktion per QR-Code

Die zweite und technisch ausgeklügeltere Methode wurde vom Google Threat Intelligence Group (GTIG) als „die am weitesten verbreitete und neuartigste Technik” russlandnaher Akteure zur Kompromittierung von Signal-Konten bezeichnet. Besonders gefährlich ist diese Angriff, da dieser über längere Zeit unerkannt bleiben kann, während man in 1. Variante den Zugriff auf sein Konto verliert und dann die Kontakte warnen kann.

Signal erlaubt es, dasselbe Konto auf mehreren Geräten gleichzeitig zu nutzen (z. B. Smartphone + Laptop). Die Verknüpfung erfolgt über das Scannen eines QR-Codes. Angreifer erstellen nun gefälschte, bösartige QR-Codes, die sie in Phishing-Seiten einbetten – zum Beispiel getarnt als offizielle Signal-Gruppeneinladungen, Sicherheitswarnungen oder Gerätepaarungs-Anleitungen von der Signal-Website.

Scannt das Opfer diesen QR-Code, verbindet es unwissentlich sein eigenes Signal-Konto mit einem Gerät, das der Angreifer kontrolliert. Ab diesem Moment werden alle künftigen Nachrichten in Echtzeit parallel sowohl an das Opfer als auch an den Angreifer zugestellt – ein unsichtbares, dauerhaftes Abhörverhältnis. Das Opfer bemerkt zunächst nichts, da es weiterhin Zugang zu seinem Konto hat.

Ablauf eines Signal-QR-Code-Angriffs (Abbild KI-generiert Google Gemini Nano Banana 2 – 28.04.2026)

Der psychologische Bauplan: Social Engineering

Beiden Methoden liegt ein gemeinsamer psychologischer Mechanismus zugrunde, der als Social Engineering bezeichnet wird. Die Angreifer nutzen gezielt:

• Autoritätsanspruch: Sie treten als vermeintlicher „Signal Support” auf, um Vertrauen zu erzeugen
• Dringlichkeit und Bedrohung: Eine angebliche Sicherheitslücke oder drohende Kontosperrung soll zu Schnellhandeln zwingen
• Plausibilität: Phishing-Seiten und gefälschte QR-Codes sind täuschend echt gestaltet
• Vertrauensbasis: Gekaperte Konten werden genutzt und das bestehende Vertrauen in diese Kontakte ausgenutzt, um Informationen zu entlocken oder auch Schadcode in Umlauf zu bringen

Warum das nicht nur ein Problem für Politiker ist

Der Fall Klöckner dominiert die Schlagzeilen – doch die eigentliche Bedrohung ist weit breiter. Unternehmen und ihre Mitarbeitenden sind zunehmend in gleichem Maße betroffen.

Die Unternehmensebene: Wenn der „Chef” im Messenger Anweisungen gibt

Für Unternehmen entstehen durch gekaperte Messenger-Konten besonders gefährliche Szenarien. Angreifer, die das Signal-, WhatsApp- oder Teams-Konto einer Führungskraft kontrollieren, können:

• Zahlungsanweisungen an Finanzabteilungen senden (moderner CEO-Fraud via Messenger)
• Zugangsdaten zu internen Systemen anfordern
• Mitarbeitende dazu bringen, infizierte Dateien zu öffnen oder Malware zu installieren – in Form scheinbar interner Dokumente
• Sensible Geschäftsinformationen aus Gruppen-Chats abschöpfen (Strategiepläne, M&A-Vorgänge, Kundendaten)

Es sind bereits gezielte Spear-Phishing-Kampagnen gegen Unternehmensvertreter registriert, bei denen gekaperte Konten genutzt wurden, um Angreifern zu ermöglichen, sich nahtlos als Geschäftsführer auszugeben – ein existenzielles Risiko für Datengeheimnis und Compliance.

Die DSGVO-Dimension

Sobald ein gekapiertes Messenger-Konto personenbezogene Daten Dritter enthält – Kundenkontakte, interne Mitarbeiterdaten, Korrespondenz – entsteht automatisch eine Datenschutzverletzung nach Art. 33 DSGVO. Das Unternehmen ist verpflichtet, diese innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Unterlässt es dies, drohen erhebliche Bußgelder. Cyberversicherungen decken typischerweise die Kosten für Benachrichtigungen, behördliche Verfahren und Krisenmanagement.

Reputationsschäden und Vertrauensverlust

Wenn ein gekapertes Konto unter dem Namen des Unternehmens oder einer Führungsperson Nachrichten verbreitet, kann das Image dauerhaft Schaden nehmen.

Relevanz für die Risikobewertung in der Cyberversicherung

Für Vertriebspartner im Bereich Cyberversicherung ergibt sich aus diesen Entwicklungen unmittelbarer Handlungsbedarf in der Beratung und Risikobeurteilung.

Was deckt die Cyberversicherung ab?

Messenger-basierte Account-Takeover-Angriffe berühren typischerweise mehrere Deckungsmodule einer gewerblichen Cyberversicherung:

Wichtiger Hinweis für Vertriebspartner: Nicht jede Cyberversicherung deckt Social-Engineering-Schäden automatisch ab. Gerade CEO-Fraud und Überweisungsbetrug über Messenger-Kanäle sind häufig nur mit explizit vereinbartem Zusatzbaustein gedeckt.

Neue Risikofaktoren für den Underwriting-Prozess

Der Signal-Vorfall und die damit verbundene Angriffswelle sollten im Rahmen der Risikobeurteilung folgende Fragen aufwerfen:

Zu Kommunikationsstrukturen:

• Nutzt das Unternehmen Messenger-Dienste für die interne Kommunikation – inklusive Führungsebene?
• Werden über Messenger sensible Informationen oder Zahlungsanweisungen übermittelt?
• Existiert eine klare Richtlinie, welche Kommunikationskanäle für welche Informationsklassen zulässig sind?

Zu technischen Schutzmaßnahmen:

• Ist die Registrierungssperre (Registration Lock) für Signal und ähnliche Dienste aktiviert?
• Werden Mitarbeitende regelmäßig auf verknüpfte Geräte in ihren Konten hingewiesen?
• Gibt es ein Multi-Faktor-Konzept auch für private Kommunikationskanäle, die für dienstliche Zwecke genutzt werden?

Zu Security Awareness:

• Wurden Mitarbeitende im Umgang mit QR-Codes und Phishing via Messenger geschult?
• Gibt es klare Eskalationsprozesse, wenn jemand verdächtige Kontaktversuche erhält?

Die Grauzone: Privater Messenger, dienstlicher Inhalt

Ein für Versicherer und Makler besonders heikler Aspekt: Viele Unternehmen tolerieren oder fördern die Nutzung privater Messenger-Apps für dienstliche Zwecke (Bring Your Own Device / BYOD). Wird dabei das private Signal-Konto einer Führungskraft kompromittiert, das auch dienstliche Inhalte enthält, kann die Abgrenzung zwischen privatem und betrieblichem Schaden im Schadensfall erhebliche Probleme bereiten. Versicherungsnehmer sollten darauf sensibilisiert werden, dass der Versicherungsschutz einer Unternehmens-Cyberpolice typischerweise am Unternehmensgerät oder -konto anknüpft.

Schutzmaßnahmen – und was Makler konkret empfehlen können

Folgende technische und organisatorische Maßnahmen reduzieren das Risiko einer Messenger-Kontoübernahme signifikant und können auch im Rahmen der Underwriting-Prüfung positiv bewertet werden:

Technische Maßnahmen für Messenger-Nutzer

• Registrierungssperre aktivieren (sofern verfügbar): Verhindert, dass ein Angreifer das Konto mit SMS-Code allein auf ein neues Gerät übertragen kann
• Verknüpfte Geräte regelmäßig prüfen (Settings → Linked Devices): Unbekannte Geräte sofort entfernen
• Sicherheits-PIN niemals teilen: Sicherheitscodes werden in der Regel nie von Support-Mitarbeitern abgefragt
• Support anfragen verifizieren: Signal beispielsweise nimmt niemals Kontakt über In-App-Nachrichten auf
• QR-Codes kritisch behandeln: Nur Codes aus gesicherten, vertrauenswürdigen Quellen scannen
• App aktuell halten: Apps erhalten regelmäßig Sicherheitsupdates

Organisatorische Maßnahmen für Unternehmen

• Klare Kommunikationsrichtlinien: Welche Informationsklassen dürfen über welche Kanäle? Keine Zahlungsanweisungen über Messenger ohne zweiten Bestätigungskanal
• Security-Awareness-Schulungen mit explizitem Fokus auf Messenger-Phishing und QR-Code-Angriffe
• Eskalationsprozesse für verdächtige Kontaktaufnahmen – auch über Messenger
• Krisenplan für den Fall einer Kontoübernahme: Kontakte informieren, Konto sperren lassen, Support kontaktieren

Fazit: Ein neuer Angriffsvektor, der in der Cyberberatung ankommen muss

Der Fall Julia Klöckner hat auf drastische Weise gezeigt, was Sicherheitsexperten seit Monaten warnten: Messenger-Apps sind zu einem primären Angriffspunkt staatlich gesteuerter und krimineller Akteure geworden – nicht weil ihre Verschlüsselung gebrochen wurde, sondern weil der Mensch als schwächstes Glied in der Kette gezielt manipuliert wird.

Für die Cyberversicherung ergibt sich daraus eine klare Implikation: Account-Takeover-Risiken über Messenger müssen in der Cyberversicherung berücksichtigt werden, um Deckungslücken zu vermeiden.