Der verschlüsselte Messenger reagiert auf eine beispiellose Welle KI-gesteuerter Cyberangriffe. Ab sofort warnen orange Signale vor gefälschten Profilen.
Die Zeiten, in denen man eine Phishing-Mail an der Rechtschreibung erkannte, sind endgültig vorbei. Künstliche Intelligenz macht Betrugsversuche heute nahezu perfekt – und das in nie dagewesenem Tempo. Signal, der für seine Ende-zu-Ende-Verschlüsselung bekannte Messenger, zieht nun die Notbremse. Am heutigen Mittwoch hat die Plattform ein umfassendes Sicherheitspaket veröffentlicht, das speziell auf die neuen Bedrohungen zugeschnitten ist.
Angesichts der perfekten KI-Fälschungen wird der Schutz des eigenen Smartphones zur Pflichtaufgabe für jeden Nutzer. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Orange Warnung als neues Schutzschild
Das auffälligste Feature: Ein leuchtend orangefarbener Warnhinweis erscheint künftig bei allen unbestätigten Profilnamen. Damit will Signal gegen eine besonders perfide Masche vorgehen – die sogenannte „Impersonation-Phishing“. Angreifer legen Konten an, die Freunde, Kollegen oder sogar den offiziellen Signal-Support imitieren. Das Ziel: Vertrauen erschleichen, um an Zugangsdaten oder Installationscodes zu gelangen.
Doch damit nicht genug. Signal hat zudem einen zusätzlichen Bestätigungsschritt für Nachrichtenanfragen unbekannter Absender eingebaut. Bevor Medien ausgetauscht oder Links geöffnet werden können, müssen Nutzer die Identität des Senders bewusst bestätigen. Die Plattform integriert außerdem direkte Sicherheitshinweise in die Benutzeroberfläche – mit der klaren Aufforderung, Profilbilder genau zu prüfen und niemals auf unverlangte Links zu klicken.
Besonders deutlich warnt Signal vor gefälschten „Support“-Konten. Der Dienst stellt klar: Signal initiiert niemals Support-Anfragen auf diese Weise. Wer also eine Nachricht von einem angeblichen Mitarbeiter erhält, sollte sofort misstrauisch werden.
Die KI-Phishing-Epidemie: 86 Prozent aller Angriffe sind automatisiert
Die Dringlichkeit dieser Maßnahmen wird durch alarmierende Zahlen untermauert. Laut aktuellen Sicherheitsanalysen aus Mitte Mai 2026 werden 86 Prozent aller Phishing-Kampagnen mittlerweile von KI-Modellen gesteuert. Die Folge: Hochgradig personalisierte, fehlerfreie Nachrichten in einer Größenordnung, die noch vor wenigen Jahren undenkbar war.
Besonders betroffen ist der Finanzsektor. Im ersten Quartal 2026 verzeichneten Sicherheitsforscher einen Anstieg von Banking-Trojanern um 196 Prozent – auf rund 1,24 Millionen dokumentierte Fälle. Ein Grund dafür ist die Entdeckung der ersten Android-Malware, die ein eigenes KI-Modell integriert. Die Schadsoftware trägt den Namen PromptSpy.
Die schiere Menge ist erschreckend: Weltweit werden täglich durchschnittlich 3,4 Milliarden Phishing-E-Mails verschickt. Das entspricht mehr als 40.000 Nachrichten pro Sekunde.
Das Ende der SMS-Codes: Microsoft steigt auf Passkeys um
Signals Kurswechsel ist Teil einer breiteren Branchenbewegung. Am selben Tag gab Microsoft bekannt, dass es SMS-basierte Verifikationscodes für alle privaten Konten abschafft. Der Grund: Die SMS-Infrastruktur ist anfällig für SIM-Swapping und das Abfangen von Textnachrichten. Statt der altbekannten sechsstelligen Codes setzt Microsoft künftig auf Passkeys – biometrische Verfahren wie Face ID, Touch ID oder hardwarebasierte PINs.
Während große Plattformen wie Microsoft bereits auf Passkeys umstellen, um unsichere SMS-Codes zu ersetzen, fragen sich viele Nutzer nach der praktischen Umsetzung. Ein neuer Gratis-Report erklärt die Technologie verständlich und zeigt, wie Sie sich bei Amazon, WhatsApp & Co. ab sofort ohne Passwort-Stress anmelden. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Doch selbst moderne Authentifizierungs-Apps sind nicht perfekt. Eine kritische Sicherheitslücke mit der Kennung CVE-2026-41615 wurde kürzlich in der Microsoft Authenticator App entdeckt. Mit einem CVSS-Schweregrad von 9,6 (die höchste Risikostufe) könnte die Schwachstelle Angreifern ermöglichen, Zugriffstoken für Geschäftskonten zu stehlen. Die Entwickler haben bereits Notfall-Updates veröffentlicht – für Android Version 6.2605.2973, für iOS Version 6.8.47. Experten betonen: Authentifizierungs-Apps sind sicherer als SMS, aber nur, wenn sie stets auf dem neuesten Stand sind.
Die neue Bedrohungslage: Schwachstellen statt Passwortdiebstahl
Der Strategiewechsel von Signal und Microsoft wird durch die aktuellen Zahlen untermauert. Der Verizon Data Breach Investigations Report 2026, veröffentlicht am 19. Mai, hat über 22.000 bestätigte Datenlecks analysiert. Das Ergebnis markiert eine Zeiten wende: Erstmals überholt die Ausnutzung ungepatchter Sicherheitslücken den Diebstahl von Zugangsdaten als häufigste Einbruchsmethode. 31 Prozent aller Sicherheitsvorfälle gehen auf diese Schwachstellen zurück.
Das Problem: Die Zeit, die Unternehmen benötigen, um bekannte Lücken zu schließen, steigt. Die mediane Zeit bis zur Installation eines Patches beträgt mittlerweile 43 Tage – ein Anstieg um 34 Prozent im Vergleich zum Vorjahr. Noch besorgniserregender: Nur 26 Prozent der kritischen Schwachstellen, die von der US-Cybersicherheitsbehörde CISA identifiziert wurden, werden rechtzeitig behoben. Diese Verzögerung öffnet Erpresserbanden Tür und Tor – Ransomware-Gruppen waren an 48 Prozent aller Sicherheitsvorfälle des vergangenen Jahres beteiligt.
Smarte Geräte als Datenschleudern
Doch nicht nur auf dem Smartphone lauern Gefahren. Tests von Euroconsumers im Mai 2026 ergaben, dass die Mehrheit smarter Haushaltsgeräte – von Saugrobotern bis zu vernetzten Leuchten – übermäßig viele Daten sammelt und diese oft ohne klare Offenlegung an Drittfirmen weitergibt. Ein Extremfall, dokumentiert von Consumer Reports: Ein einziges Smart-Home-Gerät übertrug Daten in einer Menge, die 135.000 SMS-Nachrichten pro Woche entspricht, an den Hersteller.
Ausblick: Strengere Regeln und neue Technologien
Die zweite Jahreshälfte 2026 verspricht weitere Veränderungen. Die Apple Worldwide Developers Conference (WWDC) vom 8. bis 12. Juni wird voraussichtlich Fortschritte bei der verschlüsselten Kommunikation präsentieren – darunter die Unterstützung für Ende-zu-Ende-verschlüsseltes RCS-Messaging in Zusammenarbeit mit großen Telekommunikationsanbietern.
Auch die Regulierung zieht nach. Am 19. Mai trat in den USA der „Take It Down Act“ in Kraft. Das Gesetz verpflichtet Online-Plattformen, nicht einvernehmliche intime Aufnahmen innerhalb von 48 Stunden nach einer Meldung zu entfernen. In Pakistan drohen die Behörden unterdessen, Messaging-Dienste für Nutzer zu sperren, die ihre SIM-Karten nicht per biometrischer Verifikation registrieren – ein Spagat zwischen Sicherheit und Privatsphäre.
Für Unternehmen und Privatnutzer bleibt die Botschaft der Experten gleich: Multi-Faktor-Authentifizierung (MFA) ist essenziell, muss aber über SMS hinausgehen. Während MFA mehr als 99,2 Prozent aller Kontokompromittierungen verhindert, erfordern KI-gesteuerte Social-Engineering-Angriffe mehr als nur technische Werkzeuge. Signals jüngste Updates sind ein praktisches Beispiel dieser Philosophie: Die Kombination aus visuellen Warnungen im User Interface und verbesserter Backend-Verifikation soll die globale Nutzerbasis vor der nächsten Generation digitaler Bedrohungen schützen.
