Stell dir vor, du hast die sicherste Tür der Welt eingebaut. Stahlverstärkt, biometrisch gesichert, von den besten Schlossern Europas zertifiziert. Und dann öffnest du sie freiwillig, weil jemand höflich klingelt und sagt: „Sicherheitsüberprüfung, dürfen wir mal kurz rein?“
So ungefähr läuft gerade eine der größten Spionage-Kampagnen, die Deutschland in den letzten Jahren erlebt hat.
Signal unsicher? Was passiert ist
Bundesamt für Verfassungsschutz (BfV) und Bundesamt für Sicherheit in der Informationstechnik (BSI) haben Anfang Februar 2026 gemeinsam eine ungewöhnlich deutliche Warnung herausgegeben – und vor wenigen Tagen aktualisiert. Eine „wahrscheinlich staatlich gesteuerte“ Phishing-Kampagne läuft seit September 2025 über Messenger wie Signal und WhatsApp. Die niederländischen Geheimdienste sprechen mittlerweile offen von russischen Staatshackern, die deutschen Behörden bleiben (noch) bei der vorsichtigeren Formulierung.
Die Liste der Betroffenen ist lang und prominent: Bundestagsabgeordnete und ihre Mitarbeiter, Angehörige der Bundeswehr, Diplomaten. Mehr als 100 Journalistinnen und Journalisten, darunter Investigativ-Redaktionen von Zeit, Correctiv, netzpolitik.org und Euractiv.
Im Intranet des Bundestages erschien bereits eine interne Warnmeldung. Und Bundestagspräsidentin Julia Klöckner kündigt parallel an, das Reichstagsgebäude wegen der zunehmenden Cyber-Bedrohungslage technisch grundlegend umzubauen – „ein großer Kraftakt“, wie sie sagt.
Das ist die offizielle Seite der Geschichte. Die interessantere ist die andere.
Signal ist nicht das Problem
Eigentlich gilt Signal als der sicherste Messenger der Welt. Open Source, Ende-zu-Ende-verschlüsselt, von Kryptografen weltweit auseinandergenommen und für gut befunden. Edward Snowden empfiehlt ihn, Sicherheitsbehörden empfehlen ihn, selbst Teile der EU-Kommission nutzen ihn intern.
Und genau das ist hier nicht geknackt worden. Niemand hat den Verschlüsselungs-Algorithmus gebrochen. Die Mathematik hält, der Code hält. Wer Signal richtig benutzt, kommuniziert nach wie vor so sicher wie kaum sonst irgendwo im Netz.
Die Angreifer interessieren sich auch gar nicht für die Verschlüsselung. Sie gehen den bequemeren Weg: den Menschen davor.
Das Drehbuch ist schlicht. Eine Nachricht trifft ein, vermeintlich vom „Signal Security Support ChatBot“. Verdächtige Aktivität auf deinem Konto, heißt es da, du musst dich neu verifizieren, sonst drohen Datenverlust und Sperrung. Bitte den SMS-Code weitergeben. Oder: Bitte diesen QR-Code scannen.
Wer den Code weitergibt, übergibt sein Konto. Wer den QR-Code scannt, koppelt das Gerät der Angreifer als zweites Endgerät an sein eigenes Konto. Ab diesem Moment lesen sie alles mit. Live. Verschlüsselt. Korrekt zugestellt. Komplett unsichtbar. Inklusive aller Gruppenchats, in denen das Opfer Mitglied ist – und damit potenziell ganzer Netzwerke aus Kollegen, Quellen, Vertrauten.
Keine KI, keine Magie – Arglosigkeit
Hier wird viel über KI als neue Bedrohung geschrieben. Über Deepfakes, über automatisierte Angriffe, über die nächste Stufe der Cyberkriminalität. Alles berechtigt. Aber dieser Fall hier ist genau das Gegenteil. Keine KI. Keine Magie. Keine Zero-Day-Lücke, für die ein Geheimdienst Millionen auf dem Schwarzmarkt bezahlt hat.
Was hier funktioniert hat, ist die ganz altmodische Masche: Menschen unter Druck setzen, eine Autorität vortäuschen, Dringlichkeit erzeugen. Und darauf hoffen, dass der Reflex schneller ist als der Gedanke.
Dass diese Masche bei Investigativjournalisten funktioniert, die täglich mit Quellenschutz arbeiten – das ist die eigentliche Schlagzeile. Bei Bundestagsabgeordneten, die in Sicherheitsbriefings sitzen. Bei Bundeswehrangehörigen, die Schulungen zu Operational Security durchlaufen haben.
Ich nenne das nicht Dummheit. Dummheit wäre zu billig. Es ist Arglosigkeit. Die stille Annahme, dass „sicherer Messenger“ auch bedeutet, ich muss nicht mehr mitdenken. Dass die Technik schon aufpassen wird. Dass eine Nachricht, die offiziell aussieht, auch offiziell ist.
Digital Literacy ist kein Luxus
Wir reden in Deutschland viel über digitale Souveränität. Über sichere Infrastrukturen. Über Schutz vor staatlichen Akteuren. Alles richtig. Klöckner kündigt Umbauten am Reichstag an, das Bundestagspolizeigesetz wird neu verhandelt, eine Digitalstrategie soll robuste Systeme bringen.
Nur: Der teuerste Messenger nützt nichts, wenn die Person davor nicht weiß, wie er funktioniert. Das gilt für Abgeordnete genauso wie für dich und mich. Digital Literacy – also die Fähigkeit, digitale Werkzeuge nicht nur zu bedienen, sondern auch zu verstehen, wo ihre Grenzen liegen und wo Angriffe ansetzen – ist keine Spezialdisziplin für IT-Abteilungen. Sie ist Grundausstattung. Etwa so wichtig wie Verkehrsregeln, wenn man am Straßenverkehr teilnimmt.
Die gute Nachricht: Du musst nicht zum Kryptografie-Experten werden, um dich gegen diese Angriffe zu schützen. Es reicht, ein paar Reflexe zu trainieren.
Niemand vom Support eines Messengers schreibt dich unaufgefordert an. Niemals. Erhältst du eine solche Nachricht, ist sie zu 100 Prozent ein Betrugsversuch.
Verifizierungscodes und PINs gibt man nicht per Chat weiter. Auch nicht „kurz mal eben“ zur Bestätigung. Die werden ausschließlich auf dem Bildschirm eingegeben, an der Stelle, wo Signal sie auch wirklich abfragt – und dort sind sie immer mit Sternchen oder Punkten verdeckt, nie im Klartext sichtbar.
QR-Codes nicht scannen, wenn man sie nicht selbst angefordert hat. Ein Code, der dir per Chat geschickt wird, ist kein Service – er ist eine Falle.
Und: Geh regelmäßig in deine Signal-Einstellungen unter „Gekoppelte Geräte“. Schau dir an, wer da eigentlich mithört. Unbekannte Geräte sofort entfernen.
Drei Klicks. Mehr Schutz, als die beste Verschlüsselung der Welt allein dir je geben kann.
Was bleibt
Die Episode zeigt, wie verwundbar selbst die bestgesicherten Systeme sind, sobald der Mensch ins Spiel kommt. Sie zeigt aber auch, dass Verteidigung möglich ist – und nicht teuer. Sie kostet keine neue Technologie. Sie kostet ein paar Minuten Aufmerksamkeit und die Bereitschaft, kurz innezuhalten, bevor man auf etwas tippt.
Vielleicht ist das die wichtigste Lektion aus dieser Spionage-Kampagne: Die größte Sicherheitslücke sitzt selten im Code. Sie sitzt vor dem Bildschirm. Und sie lässt sich schließen – wenn wir bereit sind, Digital Literacy ernst zu nehmen. Bei uns. Bei unseren Mitarbeitern. Bei den Menschen, die in Berlin Entscheidungen über unsere Zukunft treffen.
Denn wer den Schlüssel selbst weitergibt, hat von der besten Tür der Welt nichts.
