Spenden

Attacke auf Politik und Journalismus Signal-Phishing gegen Julia Klöckner erfolgreich

Laut dem Verfassungsschutz soll das Phishing über den Messenger Signal so erfolgreich sein, dass „zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“. Auch der Account der CDU-Bundestagspräsidentin wurde übernommen.

  • Markus Reuter
Markus Reuter
Frau mit Brille und pinken Kostüm spricht in ein Handy.
Wer konnte bei Bundestagspräsidentin Julia Klöckner Chatgruppen und Netzwerke auslesen? (Archivbild) – Alle Rechte vorbehalten: IMAGO / pictureteam

Die Phishing-Attacken auf dem Messenger Signal gegen prominente Personen aus Politik und Journalismus sind offenbar erfolgreich. Nun ist bekannt geworden, dass auch Bundestagspräsidentin Julia Klöckner auf den Phishing-Versuch hereingefallen ist. Nach Informationen von netzpolitik.org waren die Angreifer bei mindestens einem weiteren Bundestagsabgeordneten sowie mehreren Angehörigen großer Redaktionen erfolgreich.

„Es ist davon auszugehen, dass so zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“, heißt es in der 20-seitigen Warnung des Verfassungsschutzes (BfV) an Bundestagsabgeordnete, aus der der Spiegel zitiert. Dem BfV seien bereits „zahlreiche hochrangige Betroffenheiten“ bekannt geworden, so der Bericht weiter. Angesichts der Art der Angriffe vermutet der Geheimdienst laut dem Spiegel allerdings eine „deutlich höhere Dunkelziffer“.

Zusammen mit Netzwerk Recherche hatte netzpolitik.org Informationen gesammelt, wer im Journalismus wann die Phishing-Attacke zugesandt bekam. Demnach hatten hierzulande deutlich mehr als 100 Journalist:innen aller Mediengattungen und zahlreicher Medienhäuser den Angriffsversuch erhalten.

Unter den Angegriffenen sind viele Journalist:innen aus dem investigativen Bereich sowie mehrere sehr prominente Vertreter:innen der Medienbranche. Die Angriffe laufen nach Informationen von netzpolitik.org seit September 2025. Dabei wurden manche Personen auch schon mehrfach von den Angreifern angeschrieben, manche bis zu vier Mal.

Bei der Phishing-Attacke, über die netzpolitik.org als erstes in Deutschland berichtet hat, schreiben die Angreifer eine Nachricht im Namen des Signal-Supports an die betroffene Person, in der sie behaupten, dass deren Account attackiert werde. Dazu fordert der falsche Support, dass die Nutzer:innen ihren Verifizierungscode senden. Geben die Nutzer:innen diesen und ihre Signal-PIN an die Angreifer, können diese den Account übernehmen und damit Kontakte, Netzwerke, Chats und Chatgruppen aus- und mitlesen.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.


Jetzt spenden

Immer mehr Spuren beim Messenger-Phishing weisen auf Russland

Viel spricht für Russland als Urheber des Angriffs

Das niederländische Verteidigungsministerium hatte Anfang März gesagt, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl die militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD nun von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatten vor einigen Tagen noch einmal vor der Phishing-Attacke gewarnt und auch einen Leitfaden für Betroffene veröffentlicht.

Über die Autor:innen

  • Markus Reuter
    Markus Reuter

    Markus Reuter recherchiert und schreibt zu Digitalpolitik, Desinformation, Zensur und Moderation sowie Überwachungstechnologien. Darüber hinaus beschäftigt er sich mit der Polizei, Grund- und Bürgerrechten sowie Protesten und sozialen Bewegungen. Für eine Recherchereihe zur Polizei auf Twitter erhielt er 2018 den Preis des Bayerischen Journalistenverbandes, für eine TikTok-Recherche 2020 den Journalismuspreis Informatik. Bei netzpolitik.org seit März 2016 als Redakteur dabei. Er ist erreichbar unter markus.reuter | ett | netzpolitik.org, sowie auf Mastodon und Bluesky.

    Kontakt: E-Mail (OpenPGP)

Veröffentlicht

Kategorie

Schlagwörter

, , , , ,

Weiterlesen

Phishing-Angriff

Zahlreiche Journalist:innen im Visier bei Attacke über Signal-Messenger

Ein rotes Fadenkreuz.
Angriffe auf Journalismus, Politik und Militär

Was auf die russische Urheberschaft der Signal-Phishing-Attacken deutet

Fadenkreuz, das auf das Symbol der Signal-App auf einem handy gerichtet ist
Attacken bei Signal und WhatsApp

Immer mehr Spuren beim Messenger-Phishing weisen auf Russland

Bildschirm mit den Logos von Signal und WhatsApp und ein Finger, der auf Signal klickt

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

9 Kommentare zu „Signal-Phishing gegen Julia Klöckner erfolgreich“

  1. mw

    ,

    „Viel spricht für Russland als Urheber des Angriffs“. Eiegntlich spricht nichts gegen Russland als Urheber. Die „Indizen“ können auch von anderen Diensten als falsche Spuren zur Deckung gelegt worden sein. Das ist üblich in diesem Gewerbe. Dann kommt sofort der Beißreflex auf Russland und man kann perfekt vom wirklichen Urheber ablenken. Wer wirklich dahintersteckt ist nach wie vor völlig unklar. Deutschland kennt offenbar nur zwei Schuldige: Russland und Migranten. Soweit ist es schon gekommen.

    Antworten
  2. Peter

    ,

    „schreiben die Angreifer eine Nachricht im Namen des Signal-Supports an die betroffene Person, in der sie behaupten, dass deren Account attackiert werde. Dazu fordert der falsche Support, dass die Nutzer:innen ihren Verifizierungscode senden. Geben die Nutzer:innen diesen und ihre Signal-PIN an die Angreifer, können diese den Account übernehmen und damit Kontakte, Netzwerke, Chats und Chatgruppen aus- und mitlesen.“

    Ernsthaft? Wen ich das lese, ist meine erste Reaktion ‚Hat die Bundesregierung kein Sicherheitsteam?’. Garantiert. ‚Werden Politiker nicht geschult, wie man mit genau solchen Mails/Messages umzugehen hat?’. Garantiert (hoffe ich zumindest).

    WTF fällt jemand in dieser Position in 2026 auf so einen plumpen Angriff herein?

    head->desk until infinity

    (Bonuspunkte, wenn hinterher die IT-Sicherheitsinfrastruktur den schwarzen Peter bekommt, um davon abzulenken, dass man so schlau war, auf Phishing reinzufallen.)

    Antworten
  3. Marvin

    ,

    In der verlinkten „Quelle“ zur behaupteten russischen Urheberschaft findet sich als einziges „Indiz“ ein angeblicher „slawischer Akzent“ in einem englischen Text. Ansonsten unbelegte Behauptungen von Geheimdiensten und, ein Knaller, die Behauptung BELArussischer Angreifer. BELArussischer ist etwas anderes als russisch.

    Die Aufdeckung der Attacken durch Netzpolitik.org ist ein Riesenerfolg, auf den ihr stolz sein könnt. Verwässert das nicht, indem ihr euch von irgendwem vor einen politischen Karren spannen lasst.

    In der verlinkten Quelle schreibt ihr: „Als Redaktion haben wir uns deswegen bis heute mit Thesen zur Attribution des Angriffs zurückgehalten und werden dies auch weiter tun, da es sich hier nur um Indizien handelt.“

    Das war damals ein kluges Vorgehen, und ist es auch heute noch.

    Interessanter als Spekulationen über die Angreifer wäre ein Nachhaken, weshalb Menschen im Jahr 2026 immer noch auf Spam-Nachrichten hereinfallen und ihre Passwörter und PIN-Nummern an unbekannte Absender herausgeben. Und weshalb die Sicherheitsmaßnahmen der zuständigen IT-Abteilungen nicht gegriffen haben, falls Diensthandys angegriffen wurden.

    Antworten
  4. Bernd

    ,

    Ich frage mich jetzt wirklich, warum man auf so eine Phishing-Aktion hereinfällt? Es wird schon länger davor gewarnt. Ich meine auch von Signal selbst (bin da aber nicht so sicher). Wem gebe ich meine PIN? Auch Fremden, die an meiner Haustür klingeln? Ohne eigene Dummheit funktioniert das Ganze doch nicht.

    Antworten
    1. Notorisch Rhetorisch

      ,

      Die PIN gehört natürlich auf einen Großen gut Sichtbaren Zettel direkt am Gerät – so das die jeder im Vorbeilaufen mitschreiben kann. ;-)

      N.B. Die c’t hatte da mal eine „Schlagseite“(Cartoon) drüber, von einem Herrn $Sicherheitsbeauftragten der in der gut gefüllten S‑Bahn seiner Frau am Handy laut die Kreditkartennummer vorlas. Ist schon etwas her… also nix neues. :)

      Antworten
  5. Notorisch Rhetorisch

    ,

    Wie schön das man gerade Vorratsdatenspeicherung beschlossen hatte. Aber… fällt denn bei der Signal-Nutzung da überhaupt etwas an? Das war doch einer der Gründe die FÜR Signal sprechen. Hmm, da hat der Teufel wohl den Beelzebub ausgetrickst. Dumm gelaufen wenn man auf Layer‑8 Attacken/PebBaC (Problem exists between Brain and Computer) hereinfällt.

    Ähm. Gegen WAS sollte die VDS noch gleich helfen? ;-)

    Die Attribuierung zu $Übliche Verdächtige ist auch nicht hilfreicher. Wichtiger ist doch: Daraus was zu lernen und es auch um zu setzen. Denken Amtsträger etwa sie hätten nur des Amtes wg. $Premium-service, bei dem $Support sie auch direkt kontaktierte???

    Antworten
  6. Anonym

    ,

    > Signal-Phishing gegen Julia Klöckner erfolgreich

    „erfolgreich“, es freut mich, auch mal Nachrichten mit positivem wording bei doomerpolitik.org lesen zu können

    Antworten
  7. Hartmut Wöhlbier

    ,

    Ich finde die Bildwahl zu diesem Artikel problematisch – nicht, weil Julia Klöckner nicht abgebildet werden dürfte, sondern weil das Foto die Verantwortung visuell sehr stark bei der betroffenen Einzelperson verankert.

    Der Artikel beschreibt einen Angriff auf politische und journalistische Kommunikation, also ein strukturelles Sicherheitsproblem mit demokratiepolitischer Relevanz. Das Bild zeigt dagegen vor allem: eine Frau am Handy. In Verbindung mit der Überschrift „Phishing … erfolgreich“ entsteht leicht die Lesart: Sie war unvorsichtig, sie ist hereingefallen, sie ist das Problem.

    Gerade bei Frauen in politischen Spitzenpositionen ist dieser Zusammenhang heikel. Weibliche Politikerinnen werden ohnehin häufiger über Auftreten, Kleidung, Mimik oder vermeintliche persönliche Kompetenz bewertet als über die strukturellen Bedingungen, in denen sie handeln. Das Bild unterstützt ungewollt genau diese Verschiebung: weg von Angreifern, Sicherheitslücken und institutioneller Verantwortung – hin zur bloßgestellten Nutzerin.

    Auch der etwas zufällige, fast komische Bildeindruck verstärkt das Problem: Der ernste Angriff auf Kommunikationssicherheit bekommt dadurch eine leicht lächerliche, personalisierte Note – der Besen im Hintergrund setzt dem Ganzen die Krone auf. Das lädt eher zu Häme und Victim-Blaming ein als zu einer Debatte über digitale Sicherheit in Parlament, Parteien und Redaktionen.

    Eine abstraktere Bildsprache – etwa zu Phishing, Messenger-Sicherheit, Bundestagskommunikation oder Angriffen auf demokratische Infrastruktur – hätte den Kern des Artikels präziser getroffen. So aber reproduziert das Bild eine mediale Dynamik, die feministisch betrachtet kritikwürdig ist: Eine Frau wird zum sichtbaren Gesicht eines Problems gemacht, dessen Ursachen und Verantwortlichkeiten weit über sie hinausgehen.

    In einem beliebigen Medium wäre es fast schon normal gewesen, aber bei netzpolitik.org so etwas zu sehen, enttäuscht.

    Antworten
    1. Markus Reuter

      ,

      Ich habe einige Artikel zum Thema geschrieben, mit sehr unterschiedlichen Bildern, viele davon auch abstrakt. Ich denke, dass man im Fall von Frau Klöckner schon auch sie zeigen kann, gerade weil es sich bei ihr um so eine prominente Person handelt. Ich halte in diesem Fall die Bebilderung für richtig statt dem nächsten Smartphone-Screen mit Signal-Logo.

      Den Besen im Hintergrund sehe ich übrigens erst jetzt, der ist mir gar nicht aufgefallen. Der Artikel beteiligt sich übrigens keineswegs an der Häme und dem Spott, der im Netz zu finden war. In einem anderen Artikel habe ich auch darauf hingewiesen, dass so etwas einfach passieren kann, weil die Angreifer ja die Ziele unter Druck setzen.

      Antworten

Schreibe eine Ergänzung!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert