Die vermeintlich sicherste Messenger-App der Welt steht unter Beschuss – doch nicht ihre Verschlüsselung ist das Problem. Eine Serie gezielter Hackerangriffe auf deutsche Regierungsmitglieder und Sicherheitslücken in den Betriebssystemen der Smartphones zwingen zu einer grundlegenden Neubewertung dessen, was „sichere Kommunikation“ bedeutet.
Phishing-Kampagne zielt auf Bundestagspräsidentin
Eine hochentwickelte Cyberkampagne, die Sicherheitsexperten zufolge von staatlich gesteuerten Akteuren orchestriert wird, hat Anfang April hochrangige Mitglieder der Bundesregierung ins Visier genommen. Am 24. April 2026 identifizierten Sicherheitsanalysten einen Phishing-Angriff auf Bundestagspräsidentin Julia Klöckner – über eine gefälschte Signal-Gruppe, die offiziell als interner CDU-Kommunikationskanal getarnt war.
Hacker nutzen immer raffiniertere Methoden, um sensible Kommunikation auf Mobilgeräten auszuspähen. Wie Sie Ihr Android-Smartphone mit fünf einfachen Schritten effektiv gegen Zugriffe von außen absichern, erfahren Sie in diesem kostenlosen Ratgeber. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Auch Kanzler Friedrich Merz stand auf der Zielliste. Der Verfassungsschutz fand jedoch keine Hinweise darauf, dass sein persönliches Gerät erfolgreich kompromittiert wurde. Mindestens ein weiteres Bundestagsmitglied soll betroffen sein.
Das Ziel der Angreifer: nicht die Entschlüsselung des Signal-Protokolls, sondern die Überlistung der Nutzer durch Social Engineering. Deutsche Ermittler gehen davon aus, dass die Kampagne Teil einer breiter angelegten hybriden Kriegsführung ist. Bereits im Februar 2026 hatten europäische Geheimdienste vor russlandnahen Akteuren gewarnt, die genau diese Taktiken einsetzen.
Der jüngste Angriff folgt auf eine gemeinsame Warnung von FBI und CISA vom März 2026. Demnach wurden tausende Signal- und WhatsApp-Konten durch Markenimitationen kompromittiert. Die Angreifer geben sich als „Signal Support Bot“ oder automatisierter Sicherheits-Chatbot aus, erzeugen künstliche Dringlichkeit und locken ihre Opfer zur Preisgabe von SMS-Verifizierungscodes oder PINs. Sobald die Täter ein neues Gerät mit dem Konto verbinden, können sie eingehende Nachrichten in Echtzeit mitlesen – allerdings nicht auf den Nachrichtenverlauf zugreifen.
iOS-Update schließt kritische Sicherheitslücke
Während die Signal-Infrastruktur selbst als sicher gilt, offenbarte sich eine gravierende Schwachstelle auf der Ebene der mobilen Betriebssysteme. Am 24. April 2026 veröffentlichte Apple ein Notfall-Update – iOS 26.4.2 – das einen kritischen Fehler in der Speicherung von Benachrichtigungsdaten behob.
Hintergrund: Ermittler konnten Nachrichteninhalte vom iPhone eines Verdächtigen wiederherstellen – selbst nachdem die Signal-App gelöscht worden war. Möglich machte dies die Push-Benachrichtigungsdatenbank des Betriebssystems, die Kopien eingehender Nachrichtenvorschauen speicherte. Diese Vorschauen blieben in Systemprotokollen erhalten, unabhängig davon, ob die Originalnachrichten in der verschlüsselten App gelöscht oder die App selbst deinstalliert worden war.
Viele iPhone-Nutzer unterschätzen, wie wichtig die korrekten Systemeinstellungen nach einer Aktualisierung für den Datenschutz sind. Dieser Gratis-Guide zeigt Einsteigern Schritt für Schritt, wie sie iOS-Updates stressfrei installieren und ihre Privatsphäre dabei optimal schützen. iOS-Ratgeber für Einsteiger kostenlos sichern
Signal begrüßte das Update und betonk, das Problem liege in der Benachrichtigungsverarbeitung des Betriebssystems, nicht in der Verschlüsselung des Messengers. Der Vorfall zeigt ein grundlegendes Dilemma: Metadaten und sogenannte „Geister-Benachrichtigungen“ hinterlassen digitale Spuren, die die Ende-zu-Ende-Verschlüsselung umgehen. Signal kann zwar die Übertragung und Speicherung von Nachrichten in der eigenen App schützen, nicht aber die Verwaltung temporärer Anzeigedaten oder System-Backups durch das Host-Gerät.
Die Triple-Ratchet-Revolution
Als Reaktion auf die wachsende Bedrohung durch Quantencomputer und staatliche Überwachung hat die Signal Technology Foundation ihr Protokoll weiter gehärtet. Im Oktober 2025 führte die Organisation eine grundlegende Architekturänderung ein: den „Sparse Post Quantum Ratchet“ (SPQR). Damit wechselte das Signal-Protokoll vom langjährigen Double-Ratchet-System zu einer Triple-Ratchet-Konfiguration.
Das SPQR-Update bietet quantenresistente Vorwärtssicherheit und Schutz nach einer Kompromittierung. Während ein Update von 2023 (PQXDH) bereits den initialen Handshake einer Konversation gegen „Harvest now, decrypt later“-Angriffe absicherte, stellt SPQR sicher, dass auch die laufenden Verschlüsselungsschlüssel in langfristigen Gesprächen vor zukünftigen Quantencomputern geschützt sind.
Dennoch gab es auch kleinere Sicherheitslücken. Im Juni 2025 entdeckten Forscher einen Fehler im biometrischen Authentifizierungs-Handler der Signal-Android-App (Version 7.41.4). Die Schwachstelle könnte einem Angreifer mit physischem Zugriff auf das Gerät ermöglichen, bestimmte Authentifizierungsschritte zu umgehen. Die Ausnutzung galt als schwierig, doch der Vorfall erinnert daran, dass selbst Sicherheitsfunktionen wie biometrische Sperren eigene Risiken bergen.
Der Mensch als Schwachstelle
Die Ereignisse des Frühjahrs 2026 zeigen einen klaren Strategiewechsel in der Cyber-Spionage. Da kryptografische Grundlagen immer schwerer zu knacken sind, konzentrieren sich staatliche Akteure auf das schwächste Glied in der Sicherheitskette: den Nutzer. „Device Linking“-Angriffe, bei denen ein Angreifer das Opfer dazu bringt, einen manipulierten QR-Code zu scannen oder eine Registrierungs-PIN preiszugeben, sind zur bevorzugten Methode geworden.
Signal zählte 2024 rund 70 Millionen Nutzer – ein Wachstum, das durch das globale Streben nach Privatsphäre angetrieben wurde. Diese große Nutzerbasis enthält jedoch eine hohe Konzentration sensibler Zielpersonen: Journalisten, Militärangehörige und Diplomaten. Für sie besteht die Bedrohung nicht mehr nur in „Lauschangriffen auf der Leitung“, sondern in ausgeklügelten Phishing-Kits wie der „PINPOINT“-Payload, die über betrügerische Einladungsseiten Standort- und Nutzerdaten sammeln.
Sicherheitsaudits von Forschern aus Großbritannien, Kanada und Australien bestätigten Ende 2025: Das Signal-Protokoll bleibt der Goldstandard für sichere Kommunikation. Es sei robust und widerstandsfähig, selbst wenn das zugrundeliegende Netzwerk als feindlich angenommen wird. Doch kein noch so starker kryptografischer Schutz könne verhindern, dass ein Nutzer freiwillig seine Zugangsdaten an einen betrügerischen Support-Bot weitergibt.
Ausblick: Zwei Fronten im Kampf um Sicherheit
Die Schlacht um sichere Kommunikation wird sich 2026 auf zwei Fronten abspielen: Protokollhärtung und Nutzeraufklärung. Signals Triple-Ratchet hat einen neuen Maßstab für quantensichere Nachrichtenübermittlung gesetzt. Die unmittelbare Gefahr liegt jedoch im „Mittelsmann“ des mobilen Geräts.
Das jüngste iOS-Update zeigt, wie wichtig die Zusammenarbeit zwischen App-Entwicklern und Betriebssystem-Herstellern ist. Nutzer sollten ihre Benachrichtigungseinstellungen überprüfen und insbesondere Nachrichtenvorschauen auf dem Sperrbildschirm deaktivieren, um eine systemseitige Protokollierung sensibler Inhalte zu verhindern. Die Nutzung von Funktionen wie der „Registrierungssperre“ wird von Behörden wie BfV und BSI inzwischen als zwingend empfohlen, um unbefugtes Device-Linking zu verhindern.
Die Sicherheit von Signal im Jahr 2026 ist paradox: Die Technologie ist robuster denn je – doch die Konten ihrer prominentesten Nutzer waren noch nie so starkem Druck durch Social Engineering und Schwachstellen auf Betriebssystemebene ausgesetzt. Der Erfolg im Schutz privater Kommunikation hängt nun davon ab, ob die Nutzer die digitalen Verkleidungen staatlicher Akteure rechtzeitig erkennen.
