piwik no script img

Angriffe auf Signal-NutzerWie kann man sich schützen?

Auf dem eigentlich als sehr sicher geltenden Messenger-Dienst Signal kam es zu Phishing-Angriffen. Die wichtigsten Fragen und Antworten im Überblick.

Schatten einer Person, die ein Smartphone in der Hand hat
Nicht jeder Phishing-Angriff erhält so viel mediale Aufmerksamkeit, wie wenn Po­li­ti­ke­r:in­nen oder Jour­na­lis­t:in­nen betroffen sind Foto: Guido Mieth/getty images
Klaudia Lagozinski

Von

Klaudia Lagozinski

Seit Monaten werden Signal-Nutzer Opfer von Phishing-Attacken. Die Generalbundesanwaltschaft ermittelt seit Februar. Diese Angriffe ziehen immer weitere Kreise – auch Bundestagsabgeordnete und Nato-Mitarbeiter seien betroffen, berichtete nun der Spiegel. Was genau ist bekannt und wie kann man sich schützen? Die wichtigsten Fragen und Antworten zu diesen Angriffen.

Wurde Signal gehackt?

Nein. Obwohl viele Medien von einem „Signal-Hack“ schreiben, wurde der Messenger-Dienst nicht gehackt, sondern es handelte sich um einen Phishing-Angriff.

Was ist ein Phishing-Angriff?

Beim Phishing täuschen Angreifer ihre Opfer mit dem Ziel, diese dazu zu bringen, freiwillig Daten herauszugeben, zum Beispiel zu ihren Bankkonten oder auch Kontaktdaten. Nutzer erhalten echt wirkende Nachrichten und werden dadurch manipuliert.

Phishing-Angriffe können sowohl Unternehmen als auch Personen des öffentlichen Lebens und Privatpersonen treffen. Viele haben schon einmal von gefälschten E-Mails von Banken gehört – auch das ist Phishing. Doch mittlerweile bewegen sich Cyberkriminelle auf allen möglichen Plattformen und agieren mithilfe von KI teils noch ausgeklügelter.

Und was genau ist jetzt auf Signal passiert?

Viele Nutzer haben eine Nachricht vom vermeintlichen „Signal-Support“ erhalten. Darin heißt es, dass der Account gehackt wurde oder dass es Versuche einer Kontoübernahme gab. Das Opfer wird aufgefordert, über den vermeintlichen Kundendienst sein Konto erneut zu verifizieren, durch das Scannen eines QR-Codes oder das Verschicken eines Verifizierungscodes.

Das Perfide daran: Bis zu diesem Moment war der Nutzer keiner Gefahr ausgesetzt, er ist es erst jetzt, wenn er darauf hereinfällt und sensible Daten übermittelt.

Was ist Social Engeneering?

Diese manipulative Methode, um Menschen zu einem bestimmten Verhalten zu bringen, wird auch Social Engineering genannt. Anders als bei anderen Cyber-Angriffen werden dabei keine technischen Schwachstellen, sondern Menschen ausgenutzt. Angreifer versuchen, Vertrauen zu gewinnen oder Druck aufzubauen, um ihre Opfer zu unüberlegten Handlungen zu bringen – etwa das Weitergeben von Zugangsdaten, das Öffnen schädlicher Links oder die Preisgabe sensibler Informationen. Typische Methoden sind Phishing-Nachrichten, gefälschte Support-Anfragen oder das Vortäuschen bekannter Kontakte. Zwar verschlüsselt Signal Inhalte und ist deshalb sehr sicher, es kann aber nicht verhindern, dass Nutzer manipuliert werden und sich unklug verhalten.

Sind nur Politiker und Journalisten betroffen?

Mit hoher Wahrscheinlichkeit nicht. Schon vor einem Jahr diskutierten Nutzer auf der Plattform Reddit über diese Art von Phishing. Nicht jeder Betrug und nicht jeder Angriff erhält so viel mediale Aufmerksamkeit, wie wenn Politiker oder Journalisten betroffen sind. Weil dieser Angriff jedoch vergleichsweise einfach umzusetzen ist, dürfte es auch Opfer geben, die nicht in der Öffentlichkeit stehen. Denn auch Privatpersonen teilen in Messengern Informationen mit ihren Freunden und Bekannten, die Angreifer zu Geld machen können.

Welche Folgen haben die Angriffe?

Auf einer Infoseite erklärt das Bundesamt für Sicherheit und Informationstechnik (BSI) die beiden Arten der jüngsten Phishing-Angriffe über Signal. Je nach Angriff ist der Nutzer dann entweder von seinem Konto ausgeschlossen oder ermöglicht dem Angreifer, seine Kommunikation auf einem Computer mitzulesen. Was daraus folgen könnte: dass interne Kommunikation zwischen Beamten, die über diesen Dienst kommunizierten, in nächster Zeit geleakt wird. Ebenso ist denkbar, dass Telefonnummern und weitere Daten der Opfer nun im Internet kursieren.

Wie kann man sich schützen?

Eine goldene Regel für den aktuellen Fall: Der Kundendienst von Signal kontaktiert Nutzer nicht per Nachricht. Wer auf diesem Wege kontaktiert wird, sollte das an Signal melden und den Kontakt dann blockieren. Zudem sollte man, unabhängig vom Messenger oder Dienst, den man nutzt, immer skeptisch sein, wenn man dazu aufgerufen wird, sofort zu handeln.

Denn diese künstlich erzeugte Dringlichkeit weist oft nicht auf reale Gefahr hin, sondern ist ein psychologisches Werkzeug. Dadurch wird Angst und Druck aufgebaut. Wer eine solche Nachricht bekommt, sollte zunächst im Netz schauen, ob andere Nutzer von ähnlichen Kontaktversuchen berichten, und stets skeptisch werden, wenn jemand versucht, Druck aufzubauen – selbst, wenn es so scheint, als käme dieser Druck von der Plattform, wie in diesem Fall Signal, selbst.

Sollte man besser nur noch SMS schreiben?

Nein. SMS sind technisch veraltet und nicht Ende-zu-Ende-verschlüsselt. Das heißt, die Nachrichten werden im Klartext über Mobilfunknetze übertragen und können prinzipiell von Netzbetreibern oder Angreifern mitgelesen werden.

Der Angriff via Signal zeigt einmal mehr: Unabhängig von der technischen Infrastruktur bleibt immer eine Schwachstelle, die Cyberkriminelle ausnutzen können: der Mensch. Und vor menschlichen Fehlern schützt auch die technisch sicherste Infrastruktur nicht.

Was macht Signal so sicher?

Im Vergleich zu anderen Messengern legt Signal großen Wert auf Datenschutz. Alle Nachrichten sind Ende-zu-Ende-verschlüsselt. Nur die beteiligten Kommunikationspartner können Inhalte lesen, niemand anderes. Ein weiterer wichtiger Unterschied zu Diensten wie Whatsapp oder Telegram liegt in der Datensparsamkeit: Signal speichert keine Chatinhalte auf Servern und erhebt nur sehr wenige Metadaten.

Zudem ist die Software „Open Source“, das bedeutet der Quellcode ist öffentlich einsehbar, sodass unabhängige Experten prüfen können, wie Signal funktioniert, und potenzielle Sicherheitslücken identifizieren und melden können. Hinter dem Messenger steht die Signal Foundation, eine gemeinnützige Stiftung. Das heißt, es gibt keine Profitorientierung und somit wenig Anreiz, Nutzerdaten zu sammeln, auszuwerten oder weiterzugeben.

Warum sind auch Nutzer in Gefahr, die nicht auf den Angriff hereingefallen sind?

Wenn man nicht selbst, sondern zum Beispiel jemand im Bekanntenkreis auf so einen Angriff hereingefallen ist, können die Angreifer die Kommunikation zwischen einem selbst und dem Bekannten mitlesen. Außerdem können sie an Telefonnummern von Nutzern kommen, mit denen das Opfer auf Signal interagiert hat.

Sind die Angreifer erst einmal im Besitz der Telefonnummern, können sie auch die Kontakte des ursprünglichen Opfers angreifen, etwa mit einer Spear Phishing Attack. Das ist eine gezielte Form des Phishings, bei der Angreifer nicht wahllos viele Menschen kontaktieren, sondern eine bestimmte Person mit einer individuell passenden Ansprache. Diese Kontaktversuche wirken besonders glaubwürdig.

Verhindern lässt sich das, indem man in den Privatsphäre-Einstellungen von Signal festlegt, dass niemand die eigene Nummer sehen kann. Dann wird sie niemandem angezeigt und kann auch nicht von anderen Geräten abgefischt werden.

Gemeinsam für freie Presse

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Alle Artikel stellen wir frei zur Verfügung, ohne Paywall. Gerade in diesen Zeiten müssen Einordnungen und Informationen allen zugänglich sein. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass kritischer, unabhängiger Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 50.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Signal #Cyberkriminalität #Angriff #Messenger #Russland
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema

14 Kommentare

 / 
  • P

    Im Artikel steht viel Richtiges drin. Trotzdem halte ich es nicht für richtig, gewöhnliches Phishing und Spear-Phishing in einen Topf zu werfen.

    Auch Angreifer haben begrenzte Ressourcen. Gewöhnlichen Kriminellen ist egal, wer ihre Opfer sind. Angriffe gehen in die Breite und zielen in der Regel auf verwertbare finanzielle Assets. Das heißt nicht, dass nicht auch normale Menschen auf Signal Opfer von Phishing werden, aber die Wahrscheinlichkeit, per Mail angegriffen zu werden und dass Angreifer den Zugriff auf andere Konten zu erlangen versuchen, dürfte deutlich größer sein.

    Ich glaube, was Signal angeht, ist der erste Schritt, sich der eigenen Gefährdung bewusst zu werden, der man bereits ausgesetzt sein kann, selbst wenn man nicht wirklich in der Öffentlichkeit steht, aber vielleicht als Mitarbeiter von Abgeordneten oder Funktionsträger in einer Partei in zweiter Reihe oder eben auch als Journalist mit Politikern regelmäßiger in Kontakt steht.

    Denn wenn man von Angreifern gezielt als Opfer ausgewählt wird, ist das Social Engineering zielgerichteter, schwerer erkennbar und erfolgreicher. Hier müssen Betroffene besser geschult und vorbereitet werden.

  • M

    Im Artikel gibt es eine unvollständige Aussage zu SMS: Android bietet mit dem Dienst RCS standardmäßig verschlüsselte SMS über die SMS-App an. Leider nicht über Custom-Roms, dort wird der Dienst verhindert. Apple bietet das auch.

    Mit Silence kann man auch verschlüsselte SMS schicken.

    Im Ministerium gibt es IT-Spezialisten*innen, die kann man in solchen Positionen immer um Rat bitten. Dafür sind sie dort angestellt!

  • A

    Köstlich - erst die Telekom und die Post privatisieren, und sich dann wundern, wieviel der Arbeit die im Hintergrund erledigt wurde, plötzlich nicht mehr klappt!

  • E

    Regel Nummer 1: Ignoriere alarmierende Emails, die Dich zu irgendetwas auffordern. Mal davon abgesehen, dass Signal Deine Emailadresse garnicht hat, wuerde in einem solchen Fall Niemand eine Nachricht via Email schreiben. Never Ever!!!

    Gratulation! Sie sind vor 99% der Phishing-Angriffe sicher.

  • E

    Dear User, this is Signal Security Support ChatBot.

    We have noticed suspicious activity on your device, which could have led to data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass verification procedure, entering the verification code to Signal Security Support Chatbot. DON’T TELL ANYONE THE CODE, NOT EVEN SIGNAL EMPLOYEES.

    Das ist der Text. Da muss ich mir schon beim ersten Satz an den Kopf fassen: Wir haben verdaechtige Vorgaenge auf Ihrem Geraet entdeckt.



    Ach ehrlich? Wie macht Signal das denn? Die Signal-App ist ueberhaupt nicht in der Lage, irgendwas auf dem Handy zu entdecken.

    Die einfachste Methode an ein Passwort zu kommen ist offensichtlich immer noch, einfach danach zu fragen ;-)

    @the-void



    Signal wie Telegram nutzen die Telefonummer wie eine "Sozialversichernummer", also quasi als internen Nuzerkennung. Wer einen Messenger nutzen will, ohne die Telefonnummer anzugeben, nimmt Threema.

  • T

    Ich möchte im Prinzip glauben, dass Signal sicher und besser ist, als andere Messenger-Dienste, weil ich sehr viele positive Meinungen dazu gelesen habe.

    Ich verstehe trotzdem nicht, warum, warum man (1) ein Smartphone und (2) eine Telefonnumer braucht, um Signal überhaupt zu benutzen. Warum ist es nicht möglich, den Dienst anonym mit einem beliebigen Gerät (Laptop?) zu verwenden?

    Vor allem die Notwendigkeit einer Telefonnumer finde ich nicht in Ordnung.

    • P

      @the-void:

      Weil anonyme Accounts ohne ein Binding an so etwas einfaches wie die Mindesthürde einer Telefonnummer es Scammern und Spammern noch viel einfacher machen würden, auf dieser Plattform zu agieren. Das ist ein vergleichbares Problem mit E-Mail-Spam, der nur deshalb funktioniert, weil das System keinerlei Authentifizierung eines Absenders fordert. Wenn ich die Wahl habe zwischen einer völlig offenen Plattform, die von Spammern überrannt wird und einer, bei der ich mich mit Telefonnummer registrieren muss, die mich davor aber einigermaßen gut schützt, dann ziehe ich letztere vor.

    • M

      @the-void:

      Ohne Telefonnummer kann man sich bei GINLO anmelden, einem sicherer Messenger Made in Germany.

      Die Messenger Threema, Session und Wire bieten diese Möglichkeit auch.

      Über sichere Kommunikation wird viel zu wenig berichtet!

    • X

      @the-void:

      Alles das, was Du vorgeschlagen hast, geht, man muss es nur richtig konfigurieren.

  •

    "Schützen" bedeutet ja, das Riskiko und die Folgen klein zu halten.



    Und dabei hilft begrenzt der gesunde Menschenverstand.



    Aber da die Täter exzellent ausgebildet sind gibt es kein Allheilmittel.



    Genauso wenig wie gegen Taschendiebe und Einbrecher.

    Aber viel, viel schlimmer finde ich, dass uns die Politiker das Messer in den Rücken rammen wenn es um sichere Email-Kommunikation und Verträge am Telefoin geht.

    • E

      @Bolzkopf:

      Das hat mit exzellenter Ausbildung der Taeter wenig zu tun.

      "Hallo Herr Bolzkopf, bei Ihnen ist eingebrochen worden. Um ganz sicher zu gehen, dass nichts entwendet wurde geben Sie uns bitte Ihren Haustuerschluessel und wir schauen fuer Sie nach."



      "Ach das ist aber nett. Moment, ich geb ich Ihnen noch meine Brieftasche, falls da auch was fehlt".

  •

    Zur Frage, ob man SMS nehmen soll, kann man noch ergänzen: Phishing-Angriffe funktionieren immer wenn man darauf hereinfällt, egal über welchen Kanal.

    In unserer - und sicher auch in anderen - Firma ist es PFLICHT, einmal im Jahr ein Webinar zu Cyber Security zu absolvieren..



    Leider sind PolitikerInnen nicht mit irgendeiner Form von Ausbildung gesegnet; das merkt man ja auch in anderen Bereichen. Es reicht, wenn man gewählt wird, schon hat man Pensionsansprüche und endlose Mengen anderer Vergünstigungen und darf tolle Sachen entscheiden etc. Befähigt dazu muss man nicht sein.

    Markantestes Beispiel unserer Zeit: der halb-demente Trump, der ungebildet und an einer schweren narzistischen Persönlichkeitsstörung leidend, den Finger auf dem "roten Knopf" hat. Er kann schalten und walten und niemand hat ihn vorher auch nur amtsärtzlich untersucht.

    In Deutschland wäre es so nicht Beamter geworden (hoffe ich wenigstens). Wobei die Prüfungen zum Beamtentum hierzulande auch verbesserungswürdig sind, wenn ich auf B.Höcke schaue oder die widerlichen Mitglieder des NSU2.0 Chats, die weiterhin Beamte sind. Wie kann das eigentlich sein?

  • R

    Danke für die Aufklärung!



    Mich hat es auch genervt dass so häufig von einem "Signal-Hack" geschrieben und wohl auch gesprochen wurde.

    Denn dann vergessen die Leute schnell dass im Internet "Vernunft" eine wichtige Rolle spielt! Häufig ist es das eigene Verhalten, welches die bösen Mädchen und Buben unterstützt.

    Klar, nicht immer kann man einen "Angriff" schnell als solchen erkennen... Aber: Weniger Gier, Geiz, Konsumrausch, Wut oder Liebestollheit helfen schon enorm bei 99% dieser "social-hacks"!

    • M

      @realnessuno:

      Man kann sich sehr gut schützen, wenn man sich informiert über grundlegende Vorsichtsmaßnahmen.

      Die Grundregeln zu Signal und Co:







      "Wie kann man sich schützen?

      Von "Social Engineering" könne jeder betroffen sein. Es sei wichtig, sich an "drei einfache Grundregeln" zu halten, um nicht selbst in die Falle zu tappen, erklärt der Experte.

      1. Niemals auf angebliche Support-Nachrichten im Messenger antworten



      – Signal, Whatsapp und weitere Dienste kontaktieren Nutzer nicht über Chats.

      2. Pins und geheime Nummern niemals als Textnachricht auf Aufforderung eintippen



      – Echte Abfragen zeigen die Zeichen immer verdeckt, beispielsweise als Sternchen.

      3. QR-Codes nur dann scannen, wenn man selbst gerade ein Gerät koppeln will



      – nicht, wenn man aus heiterem Himmel dazu aufgefordert wird."



      Quelle: www.zdfheute.de/po...g-experte-100.html

      Und auch der Enkeltrick beruht ja nur auf Überraschung, Schock und sehr penetranter Manipulation. Es ist so einfach: Immer zurückrufen und prüfen, ob die andere Person wirklich eine neue Nr. hat bzw. wo sie sich gerade aufhält. Die Polizei holt niemals Bargeld und Schmuck ab!

meistkommentiert