Angriffe auf Journalismus, Politik und MilitärWas auf die russische Urheberschaft der Signal-Phishing-Attacken deutet

Niederländische Geheimdienste sagen, dass Russland hinter dem Phishing steckt, bei dem auch in Deutschland prominente Personen betroffen sind. Dafür liefern sie allerdings keine Beweise. Netzpolitik.org hat in den letzten Wochen Indizien für eine russische Urheberschaft gesammelt.

- - in Technologie - 2 Ergänzungen
Fadenkreuz, das auf das Symbol der Signal-App auf einem handy gerichtet ist
Die Attacken zeichnen sich dadurch aus, dass sie nicht generisch auf eine sehr große Anzahl gerichtet sind, sondern auf Vertreter:innen aus Politik, Militär und Journalismus. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Adem AY / Montage: netzpolitik.org

Das niederländische Verteidigungsministerium sagt, dass Russland hinter der seit September 2025 laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. In Deutschland hatte netzpolitik.org zuerst darüber berichtet, dass zahlreiche, vor allem investigative Journalist:innen von dem Angriff betroffen sind.

In der Folge warnten BSI und Verfassungsschutz vor den Attacken und nannten diese „wahrscheinlich staatlich gesteuert“. In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl die militärischen als auch der zivilen Geheimdienste MIVD und AIVD nun von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. In dem Text werden allerdings keine Belege für diese Behauptung geliefert. Netzpolitik.org hat Hinweise, die die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Mehrere Indizien sprechen für Russland

Nach Recherchen von netzpolitik.org gibt es mehrere Indizien, die auf eine russische Urheberschaft deuten könnten. Ein Linguist, mit dem netzpolitik.org gesprochen hat, erklärte, dass der erste Phishing-Text, über den wir damals berichtet haben, auf eine Urheberschaft aus dem slawischen Sprachraum hinweisen könnte. So wurden im Text mehrere für Sprecher:innen dieser Sprachen typische Fehler beim Artikelgebrauch gemacht.

In eckigen Klammern haben wir markiert, wo die jeweiligen Artikel fehlten:

Dear User, this is [the] Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to [a] data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass [a] verification procedure, entering the verification code to [the] Signal Security Support Chatbot.“

Diese Fehler können ein Hinweis auf eine slawische Sprache wie das Russische sein. Das Zuschreiben von Urheberschaft ist jedoch schwierig, da der Angreifer auch mit absichtlich eingebauten Fehlern eine falsche Fährte legen könnte, damit zum Beispiel Russland verdächtigt wird.

Ähnliche Angriffe in Armenien, Belarus und Großbritannien

Ein weiteres Indiz für die Russland-These sind ähnliche Angriffe in anderen Ländern. So berichtete das Resident NGO Threat Lab im Oktober vergangenen Jahres von einem Angriff auf belarussische Oppositionelle und Journalist:innen im Ausland. Die Masche war hier textlich abgewandelt, der Angreifer trat aber auch unter dem Namen „Signal Support“ auf und schürte ebenso Angst, dass es einen Angriff auf den Account gegeben habe. Die Sicherheitsforscher vermuteten damals allerdings belarussische Angreifer hinter der Attacke.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

Einen weiteren Angriff nach ähnlichem Muster gab es laut Cyberhub.am im Januar 2026 in Armenien, wo mindestens ein armenischer Journalist attackiert worden sein soll. Hier agierte wieder der angebliche „Signal Security Support Chatbot“ und warnte vor einem Angriff auf das Telefon des Opfers. Auch hier gingen die Sicherheitsexperten davon aus, dass der Angegriffene gezielt ausgewählt worden sei.

Im Dezember hatte auch der Guardian über Phishing-Attacken auf Mitglieder des britischen Parlaments berichtet. Unter Berufung auf das National Cyber Security Centre (NCSC) des britischen Geheimdienstes GCHQ hatte die dortige Parlamentsbehörde in einem Warnschreiben an die Parlamentarier:innen auf eine russische Urheberschaft verwiesen.

Die eindeutige Attribution ist bei Hackerangriffen in der Regel sehr schwierig, da es viele Faktoren gibt, um die Herkunft eines Angriffs zu verschleiern oder falsche Fährten zu legen. Dazu kommen politische Interessen bei der Zuweisung der Urheberschaft und der Drahtzieher, die sich in einer kriegerischen Auseinandersetzung wie dem Angriffskrieg gegen die Ukraine noch verschärfen. Es bleiben statt tatsächlicher Beweise oft nur Anhaltspunkte und Indizien und Überlegungen dahingehend, wem ein erfolgreicher Angriff nutzen würde.

Als Redaktion haben wir uns deswegen bis heute mit Thesen zur Attribution des Angriffs zurückgehalten und werden dies auch weiter tun, da es sich hier nur um Indizien handelt.

Zahlreiche Journalist:innen im Visier bei Attacke über Signal-Messenger

So geht der Phishing-Angriff

Bei dem Phishing-Versuch, der seit September 2025 im Umlauf ist, verschicken die Angreifer eine Nachricht über den Messenger Signal, bei der sie sich als „Signal Support“ ausgeben und behaupten, dass es verdächtige Aktivitäten auf dem Handy sowie den Versuch gegeben habe, auf private Daten zuzugreifen. Deswegen müssten die Betroffenen den Verifikationsprozess von Signal erneut durchlaufen und den Verifikationscode dem vermeintlichen „Signal Security Support ChatBot“ übermitteln. In der Folge versuchen sie, auch die Signal-PIN zu ergattern. Gibt der Angegriffene beide Codes weiter, können die Angreifer den Account übernehmen und dann zukünftige Chats sowie Kontakte, Chatgruppen und Netzwerke auslesen.

Die Textnachrichten der Angreifer beim Vorgehen können sich dabei ändern. Mittlerweile sind Nachrichten des falschen „Signal Support“ im Umlauf, die behaupten, dass man den Verifikationscode und die PIN wegen einer Zwei-Faktor-Authentifizierung herausgeben solle. Die Sicherheit und Vertraulichkeit des Messengers Signal ist bei den Attacken nicht selbst betroffen, wenn die Angegriffenen den Versuch einfach „Blockieren und Melden“.

Hochrangige Ziele betroffen

Zusammen mit Netzwerk Recherche hat netzpolitik.org Informationen gesammelt, wer wann die Phishing-Attacke erhalten hat. Demnach sind in Deutschland deutlich mehr als 100 Journalist:innen aller Mediengattungen und zahlreicher Medienhäuser betroffen. Unter den Angegriffenen sind viele aus dem investigativen Bereich sowie mehrere sehr prominente Vertreter:innen der Medienbranche.

Zudem sind netzpolitik.org Attacken auf Bundestagsabgeordnete und deren Büro-Mitarbeitende sowie auf prominente Vertreter:innen der Zivilgesellschaft bekannt. Laut Bundesamt für Verfassungsschutz sind zudem „hochrangige Ziele aus Politik, Militär und Diplomatie“ betroffen. Eine ähnliche Zielgruppe ist auch in den Niederlanden betroffen.

Die Angriffe laufen nach Informationen von netzpolitik.org seit September 2025. Dabei wurden manche Personen auch schon mehrfach von den Angreifern angeschrieben, manche bis zu vier Mal.

Die Niederlande geht davon aus, dass die russischen Hacker mit diesen Angriffen „wahrscheinlich Zugang zu sensiblen Informationen erhalten“ haben. Davon ist nach Informationen von netzpolitik.org auszugehen: In mindestens einem Fall hat der Angriff nach unseren Informationen in Deutschland geklappt, in mindestens einem weiteren Fall auch in einem anderen europäischen Land. Es ist davon auszugehen, dass die Dunkelziffer höher ist, da sich Betroffene dafür schämen könnten, Opfer des Angriffs geworden zu sein.

Wenn du Ziel dieses Angriffs geworden bist, Zugriff auf deinen Signal-Account auf diese Weise verloren hast oder weitergehende Informationen und Hinweise zu diesem Angriff hast, wende dich vertrauensvoll an uns für weitere Nachforschungen und Recherchen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Markus Reuter recherchiert und schreibt zu Digitalpolitik, Desinformation, Zensur und Moderation sowie Überwachungstechnologien. Darüber hinaus beschäftigt er sich mit der Polizei, Grund- und Bürgerrechten sowie Protesten und sozialen Bewegungen. Für eine Recherchereihe zur Polizei auf Twitter erhielt er 2018 den Preis des Bayerischen Journalistenverbandes, für eine TikTok-Recherche 2020 den Journalismuspreis Informatik. Bei netzpolitik.org seit März 2016 als Redakteur dabei. Er ist erreichbar unter markus.reuter | ett | netzpolitik.org, sowie auf Mastodon und Bluesky.

Kontakt: E-Mail (OpenPGP)

Veröffentlicht 09.03.2026 um 16:48
Kategorie
Schlagworte
Weitere Artikel

2 Ergänzungen

  1. Der Titel dieses Artikels ist bereits ein gutes Beispiel für das Problem, das sich durch den gesamten Text zieht: Statt zunächst sauber darzustellen, was tatsächlich belegt ist, wird die Fragestellung so formuliert, dass sie implizit bereits eine Täterhypothese vorgibt. Wenn ein Artikel mit „Was auf die russische Urheberschaft deutet“ überschrieben ist, dann wird nicht ergebnisoffen analysiert, sondern es werden selektiv Argumente gesammelt, die eine bereits gesetzte These stützen sollen.

    Gerade im Bereich der Sicherheit ist dieses Vorgehen problematisch. Attribution ist notorisch schwierig und basiert fast immer auf Indizienketten, nicht auf gerichtsfesten Beweisen. Infrastruktur kann kopiert werden, Angriffsvektoren werden von unterschiedlichsten Akteuren genutzt, und selbst TTPs sind selten exklusiv. Aus diesem Grund betonen seriöse technische Analysen normalerweise zuerst die Unsicherheit der Attribution und trennen strikt zwischen Fakten, Hypothesen und geopolitischen Interpretationen.

    Im vorliegenden Artikel verschwimmen diese Ebenen jedoch. Der tatsächliche Sachverhalt – nämlich dass es „Phishing“-Versuche über „Signal“ gegen bestimmte Zielgruppen gab – wird relativ schnell mit geopolitischen Deutungen aufgeladen. Hinweise darauf, dass ähnliche Angriffe in der Vergangenheit russischen Gruppen zugeschrieben wurden, werden als argumentative Brücke verwendet, um eine implizite Täterrichtung nahezulegen. Methodisch ist das schwach: Ähnlichkeiten zu früheren Kampagnen sind kein Beweis für eine aktuelle Urheberschaft.

    Problematisch ist dabei weniger die Erwähnung möglicher staatlicher Akteure, sondern die einseitige Perspektive, in der diese Möglichkeit präsentiert wird. Andere naheliegende Szenarien – etwa alternative staatliche Akteure, opportunistische Angreifer oder bewusst nachgeahmte Angriffsmuster – werden kaum oder gar nicht ernsthaft diskutiert.

    Antworten

    1. Ich finde diese Kritik nicht fair. Der Artikel macht ganz klar und von Anfang an deutlich, dass die niederländischen Geheimdienste keine Beweise vorgelegt haben und gibt nur Indizien an, die bei uns in den letzten Wochen aufgetaucht sind. Da ist nichts voreiliges, zumal wir ja mit diesen Indizien aus Vorsicht gewartet haben. Der Artikel beschreibt auch die Schwierigkeiten bei der Attribution und verweist darauf, dass es hier (geo)politische Faktoren bei der Zuweisung eine Rolle spielen können.

      Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.