Die Liste wird immer länger: Zwei Bundesministerinnen, die Bundestagspräsidentin, Bundestagsabgeordnete mehrerer Parteien, Nato-Generäle, Bundeswehr-Angehörige – sie alle sollen Berichten zufolge Ziele eines Phishing-Angriffs mit mutmaßlich russischer Urheberschaft sein. Einige von ihnen fielen laut der Berichterstattung des Spiegels auf die Angriffe herein und erlaubten damit Unbefugten Zugriff auf ihr jeweiliges Konto bei dem Messengerdienst Signal.

Der Generalbundesanwalt ermittelt, und in der Bundespolitik wird nun aufgeregt diskutiert über die Sicherheit von Kommunikation – und IT-Kompetenzen. Dass es entsprechende Angriffe auf Menschen aus Politik, Militär und auch Medien gibt, berichtete im deutschsprachigen Raum zuerst das Portal netzpolitik.org Anfang des Jahres. Immer mehr kristallisiert sich nun das Ausmaß heraus.

Wie läuft so ein Angriff ab?

Nut­ze­r:in­nen erhalten in dem Messengerdienst eine Nachricht von einem neuen Kontakt. Dessen Nutzername kann „Signal Support“ sein, ist es jedoch nicht immer. Der genaue Name ist aber auch unerheblich, weil der Messengerdienst die Nutzernamen nicht überprüft. In der Nachricht heißt es auf Englisch beispielsweise, das Nutzerkonto sei angegriffen worden, private Daten würden abgegriffen, aus Sicherheitsgründen müsse man den Verifizierungsprozess neu durchlaufen.

Bei einer anderen Variante der Masche wird ein vermeintlicher Link zu einer Gruppeneinladung geschickt, bei der man einen QR-Code scannen soll. Fällt man darauf herein, haben die Angreifer Zugriff auf das eigene Konto. Phishing heißt diese Methode – ein Kofferwort aus „password“ und „fishing“, also abfischen. Bekannt ist Phishing vor allem beim Onlinebanking, wo Kriminelle sich damit unbefugten Zugriff auf Konten verschaffen.

Ist Signal also unsicher?

Der Angriff nutzt keine Sicherheitslücke aus, sondern das fragilste Element im IT-System: den Menschen. Signal ist weiterhin einer der sichersten für die Allgemeinheit zugänglichen Messengerdienste. Der Quellcode liegt offen, sodass kundige Menschen ihn auf Sicherheitslücken oder Hintertüren überprüfen können. Nachrichten sind Ende-zu-Ende-verschlüsselt und hinter dem Messenger steht kein profitorientiertes Unternehmen, das mit den Daten der Nut­ze­r:in­nen Geld verdienen will, sondern eine Stiftung.

Vermutlich sind es diese Sicherheits-Features, die auch Par­la­men­ta­rie­r:in­nen zur Nutzung bewegt haben. Signal teilte mit, man werde „verschiedene Änderungen einführen, um diese Art von Angriffen weiter zu erschweren“. Weitere Details nennt Signal nicht. Denkbar wäre etwa, dass die Registrierungssperre – eine Funktion, die das Verbinden weiterer Geräte verhindert – standardmäßig aktiviert wäre.

Wie kann ich erkennen, ob ich betroffen bin?

Signal-App öffnen, auf das eigene Profil klicken und dort auf „Gekoppelte Geräte.“ Hier sollte nur dann ein weiteres Gerät auftauchen, wenn man selbst Signal auf dem Computer oder auf einem Tablet verwendet. Tut man das nicht und es ist eines auf der Liste, erst einmal kurz kritisch überlegen: Vielleicht hat man vor Jahren selbst Signal auf dem Computer eingerichtet und es dann vergessen? Wenn das sicher nicht der Fall ist, muss man aktiv werden.

Was sollten Betroffene tun?

Wer nur vom vermeintlichen Signal-Support angeschrieben wurde, aber nicht darauf reagiert hat, hat richtig gehandelt. Nut­ze­r:in­nen sollten den Kontakt dann blocken und am besten auch melden – und zwar an den echten Signal-Support. Das geht entweder direkt in der App oder unter https://support.signal.org/hc/de/requests/new. Hat man den Angreifern die PIN gegeben und diese haben das Gerät gekoppelt, gibt es zwei Möglichkeiten: Entweder die Angreifer lesen bislang „nur“ mit und man selbst hat noch Zugriff. Dann empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) folgendes Vorgehen: Signal-PIN ändern, Konto löschen (nicht die App), ein neues Konto mit neuer PIN erstellen.

Darüber hinaus sollten Nut­ze­r:in­nen ab jetzt besonders aufmerksam sein, was Fake-Anrufe, Identitätsdiebstahl oder andere Missbrauchsmöglichkeiten der Handynummer angeht. Wer kann und sichergehen will, wechselt sie. Komplizierter wird es, wenn die Angreifer das Konto übernommen und einen selbst ausgesperrt haben. Hier rät das BSI, auf anderen Wegen alle Kontakte darüber zu informieren, dass der Account kompromittiert ist. Die jeweiligen Kontakte sollen das übernommene Konto blockieren. Am besten sei es, darüber hinaus Gruppenchats zu löschen und neu zu erstellen. Für sich selbst muss man ebenfalls ein neues Konto erstellen – und das kompromittierte an Signal melden.

Wie kann man vorsorgen?

Bei Signal ist zwar eine Telefonnummer für die Registrierung notwendig – doch in der App lässt sich diese verbergen. Zudem lässt sich in den Account-Einstellungen unter Konto eine Registrierungssperre aktivieren. Dann muss man bei einem erneuten Registrieren der eigenen Nummer – etwa bei einem Wechsel des Mobiltelefons – die Signal-PIN eingeben, ansonsten wird das Konto für 7 Tage gesperrt. Signal selbst weist darauf hin, dass der Support nie Nut­ze­r:in­nen von sich aus kontaktiere.

Wäre es besser, einen anderen Messengerdienst zu nutzen?

Phishing gibt es nicht nur bei Messengerdiensten. Bekannt geworden ist es vor allem beim Onlinebanking, wo Kriminelle mit gefakten Mails unbedarfte Nut­ze­r:in­nen dazu bringen, ihre Zugangsdaten herauszugeben. Hier in der Konsequenz die Bank zu wechseln, würde wenig helfen. Ähnlich ist es im Fall Signal: Der Messengerdienst ist bereits einer der sichersten, die für die Allgemeinheit zugänglich sind. Aber es gibt natürlich Alternativen: Genannt wird gerade häufig Wire. Er ist ebenfalls quelloffen und die Kommunikation auch Ende-zu-Ende-verschlüsselt.

Wire richtet sich vor allem an Unternehmenskunden, ist aber auch für Pri­vat­nut­ze­r:in­nen erhältlich. Für Firmen und Behörden ist die Software auch deshalb interessant, weil sie diese auf eigenen Servern nutzen und anpassen können. So gibt es eine spezielle Wire-Version, die das BSI zugelassen hat für den dienstlichen Einsatz in Behörden. Öffentlich zugänglich ist diese nicht. Der Kernunterschied aber liegt woanders: Während hinter Signal eine gemeinwohlorientierte Stiftung steckt, ist bei Wire unter anderem die milliardenschwere Schwarz-Gruppe, der etwa Lidl gehört, beteiligt.