Deutsche und internationale Sicherheitsbehörden schlagen Alarm: Hinter den Kampagnen stecken sowohl staatlich gesteuerte Spionagegruppen als auch finanzkriminelle Akteure.
Die Angriffe, die am vergangenen Wochenende ihren Höhepunkt erreichten, zeigen eine gefährliche Weiterentwicklung der Methoden. Statt breit gestreuter Massen-Mails setzen die Täter auf maßgeschneiderte Identitätstäuschung – sie imitieren legitime Systemnachrichten und vertrauenswürdige Administratoren, um hochrangige Ziele zu ködern.
Angesichts der aktuellen Welle von Identitätstäuschungen und Hackerangriffen ist der Schutz Ihrer persönlichen Geräte wichtiger denn je. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Smartphone effektiv vor Viren und Datenmissbrauch abzusichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Staatliche Spionage: Angreifer geben sich als Signal-Mitarbeiter aus
Die Bundesregierung und mehrere internationale Partner haben eine laufende Spionagekampagne identifiziert, die sich gegen Politiker, Diplomaten und Militärangehörige richtet. Die Angriffe, die bereits im Februar dieses Jahres auftauchten, nutzen den verschlüsselten Messaging-Dienst Signal als Einfallstor. Laut Berichten des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Verfassungsschutz (BfV) geben sich die Angreifer als Mitarbeiter des Signal-Supports aus, um mit potenziellen Opfern Kontakt aufzunehmen.
Die Masche: Die Täter verschicken betrügerische Nachrichten, die die Empfänger auffordern, PINs einzugeben oder QR-Codes zu scannen – angeblich zur Sicherheitsüberprüfung. Sobald die Daten preisgegeben sind, übernehmen die Angreifer die Kontrolle über das Konto und erhalten Zugriff auf Kontakte und vertrauliche Kommunikation. Die Signal Foundation betont, dass die Verschlüsselung und Infrastruktur der App selbst nicht kompromittiert wurden. Die Bundesregierung führt die Kampagne auf mutmaßliche russische Geheimdienstoffiziere zurück.
Als Konsequenz prüft der Bundestag derzeit einen Wechsel zu alternativen Plattformen wie Wire, um die digitale Souveränität zu stärken. Ähnliche Kampagnen wurden in den Niederlanden und Großbritannien beobachtet, wo auch NATO-Beamte und Journalisten ins Visier gerielten. Das BSI rät Nutzern dringend, Registrierungssperren und Zwei-Faktor-Authentifizierung zu aktivieren. Klarstellung: Echte Behörden oder Support-Dienste werden niemals per App nach PINs oder persönlichen Daten fragen.
Robinhood-Exploit: Phishing aus dem offiziellen Absender
Parallel dazu erschütterte eine ausgeklügelte Phishing-Aktion die Finanzplattform Robinhood. Zwischen dem 26. und 28. April 2026 umgingen die Angreifer sämtliche Sicherheitsfilter – und das mit einer verblüffend einfachen Methode. Sie nutzten eine Schwachstelle im Kontoerstellungsprozess von Robinhood aus. Sicherheitsforscher stellten fest, dass die Täter legitime E-Mails von der offiziellen Adresse „noreply@robinhood.com“ versenden konnten – und zwar so, dass sie sämtliche Authentifizierungsprüfungen (SPF, DKIM, DMARC) bestanden.
Der Trick: Die Angreifer kombinierten den sogenannten „Gmail-Punkt-Trick“ (E-Mail-Adressen mit oder ohne Punkt werden als identisch behandelt) mit unsauber bereinigtem HTML-Code im Feld „Gerätename“ des Robinhood-Anmeldeformulars. Durch das Einschleusen von Schadcode in dieses Feld konnten sie Phishing-Links in automatische „Letzter Login“-Warnungen einbetten, die von Robinhoods eigenen Servern versendet wurden. Diese betrügerischen E-Mails erschienen in denselben Konversationen wie echte Sicherheitsalarme – die Verwechslungsgefahr war enorm.
Robinhood bestätigte, dass die Schwachstelle zum Versand unbefugter E-Mails genutzt wurde, betonte jedoch, dass keine internen Systeme kompromittiert und keine Kundengelder oder -daten gestohlen wurden. Das Unternehmen hat das Problem inzwischen behoben, indem es das Feld „Gerätename“ aus den automatischen E-Mail-Benachrichtigungen entfernt hat. Branchenanalysten vermuten, dass die Angreifer E-Mail-Listen aus einem früheren Datenleck Ende 2021 nutzten, um ihre Ziele zu identifizieren.
Eskalierende Risiken: Firestarter-Malware und Supply-Chain-Angriffe
Die Bedrohungslage bleibt angespannt. Am 28. April 2026 veröffentlichten Cyberbehörden aus Australien, den USA und Großbritannien eine gemeinsame Warnung vor einer neuen Schadsoftware namens „Firestarter“. Diese Hintertür zielt gezielt auf Cisco Firepower- und Secure Firewall-Geräte ab und nutzt die Schwachstellen CVE-2025-20333 und CVE-2025-20362. Die Behörden warnen, dass die Malware selbst nach System-Updates überleben kann – eine Taktik, die an frühere staatlich gesteuerte Operationen erinnert.
Auch die Lieferkettensicherheit ist betroffen. Die Gruppe TeamPCP startete im März 2026 eine serie von Angriffen und drang erfolgreich in mehrere Entwicklungs- und Sicherheitstools ein, darunter GitHub-Repositories und die Bitwarden-Kommandozeile. Die Sicherheitsfirma Checkmarx bestätigte, dass Quellcode und Zugangsdaten abgeflossen sind. Forscher von Check Point entdeckten zudem einen kritischen Fehler in der von der Gruppe genutzten VECT 2.0-Ransomware: Ein Programmierfehler im Verschlüsselungsprozess zerstört Dateien größer als 128 Kilobyte endgültig – die Ransomware wird so faktisch zu einem „Wiper“, der Daten selbst bei Zahlung des Lösegelds unwiederbringlich löscht.
Während professionelle Angreifer immer neue Lücken in Messaging-Diensten und Apps finden, bleibt die Sicherheit der eigenen Daten oft auf der Strecke. Erfahren Sie in diesem Experten-Leitfaden, wie Sie Ihr Android-Smartphone in wenigen Minuten gegen Hacker absichern und WhatsApp, PayPal & Co. endlich wieder sicher nutzen. Kostenlosen Sicherheits-Ratgeber herunterladen
Der menschliche Faktor bleibt die größte Schwachstelle. Der Sicherheitsdienstleister ADT meldete, dass 5,5 Millionen Kundendatensätze offengelegt wurden, nachdem Angreifer über ein kompromittiertes Okta-SSO-Konto eindrangen. Der Einstieg gelang durch Vishing – eine Form von Telefon-Phishing – bei einem einzelnen Mitarbeiter. Zusammen mit einem gemeldeten Leck von 9 Millionen Datensätzen beim Medizintechnikunternehmen Medtronic zeigt dies: Social Engineering bleibt eine der effektivsten Waffen gegen Großkonzerne.
Analyse: KI treibt die Industrialisierung des Social Engineering
Aktuelle Daten von Google Threat Intelligence deuten darauf hin, dass die Einstiegshürde für komplexe Cyberangriffe durch den Einsatz künstlicher Intelligenz sinkt. Marktforscher beobachten, dass Angreifer KI-gesteuerte Tools nutzen, um Phishing-Kampagnen zu automatisieren und Daten aus dem Darknet zu analysieren – mit einer Trefferquote von bis zu 98 Prozent bei der Identifizierung verwundbarer Ziele.
Der Trend zu „Ransomware 3.0″ spiegelt einen Strategiewechsel wider: Statt einfacher Datenverschlüsselung setzen Kriminelle auf mehrstufige Erpressung. Aktuelle Studien zeigen, dass 96 Prozent aller Ransomware-Angriffe gezielt Backup-Systeme angreifen, um eine Wiederherstellung ohne Zahlung unmöglich zu machen. Allein im ersten Quartal 2026 verursachten Phishing und Social Engineering im Kryptosektor geschätzte Verluste von rund 306 Millionen Euro.
Auch der rechtliche Druck steigt. Am 27. April 2026 lieferte Italien einen 34-jährigen chinesischen Staatsbürger, Xu Zewei, an die USA aus. Xu wird vorgeworfen, für das chinesische Ministerium für Staatssicherheit (MSS) gearbeitet und an den Kampagnen „Hafnium“ oder „Silk Typhoon“ beteiligt gewesen zu sein. Diese zielten zwischen 2020 und 2021 auf tausende Microsoft Exchange-Server ab und sollen unter anderem COVID-19-Impfstoffforschung gestohlen haben.
Ausblick: Bundestag berät über Signal-Alternative
Die Zunahme von Messaging-Phishing und raffinierten Account-Übernahmen hat eine Neubewertung der digitalen Kommunikationsprotokolle in Regierungsbehörden ausgelöst. Der Innen- und Digitalausschuss des Bundestags wird am 5. Mai zusammenkommen, um über die Konsequenzen der Signal-Kampagne und einen möglichen Umstieg auf souveränere Kommunikationsinfrastrukturen zu beraten.
In der Privatwirtschaft zeichnet sich ein Fokus auf „Zero-Click“-Schwachstellen und robustere Verifizierungsprozesse für administrative Änderungen ab. Da Angreifer weiterhin die Schnittstelle zwischen legitimen Service-Benachrichtigungen und Social Engineering ausnutzen, sind Unternehmen aufgefordert, strengere Prüfungen für Drittanbieter-Tools und interne Authentifizierungssysteme einzuführen. Die anhaltenden Aktivitäten von Gruppen wie ShinyHunters – die kürzlich Einbrüche bei Ameriprise Financial und Vimeo für sich reklamierten – zeigen: Massenhafte Datendiebstähle bleiben das vorrangige Ziel krimineller Organisationen in diesem Frühjahr.
