FBI und CISA warnen vor russischer Phishing-Kampagne gegen Signal

Das FBI und die Cybersecurity and Infrastructure Security Agency haben am Freitag, dem 20. März 2026, in einer gemeinsamen Warnung darauf hingewiesen, dass Hacker mit Verbindungen zum russischen Geheimdienst unbefugt Zugang zu Tausenden einzelnen Konten in kommerziellen Messenger-Anwendungen erlangt haben, vor allem bei Signal. FBI-Direktor Kash Patel machte die Erkenntnisse über die soziale Plattform X öffentlich. Er erklärte, die Behörde habe Cyberakteure identifiziert, die mit russischen Nachrichtendiensten verbunden seien und Nutzer kommerzieller Messenger-Dienste ins Visier nähmen. Zu den Zielen zählten aktuelle und ehemalige Vertreter der US-Regierung, Militärangehörige, politische Akteure und Journalisten — also Personen, die in der gemeinsamen Mitteilung als „von hohem Wert im nachrichtendienstlichen Bereich“ beschrieben werden. Patel bestätigte, dass die Vorfälle zu unbefugtem Zugriff auf Tausende individueller Konten geführt hätten. Weder das FBI noch CISA nannten jedoch weitere Einzelheiten zum genauen Ausmaß der Eindringversuche. Die russische Botschaft in Washington reagierte nach Angaben von Reuters zunächst nicht auf eine Bitte um Stellungnahme.

Phishing, nicht eine gebrochene Verschlüsselung, öffnete die Tür Das FBI und CISA betonten, dass die Zugriffe nicht auf eine Schwachstelle in der Verschlüsselung von Signal zurückgingen, sondern auf Phishing-Kampagnen, die menschliches Verhalten statt technischer Schwachstellen ausnutzten. Die Hacker gaben sich als Sicherheitspersonal aus und brachten Nutzer dazu, ihre Sicherheitscodes preiszugeben. So konnten sie die Schutzmechanismen der Anwendung umgehen, ohne die zugrunde liegende Verschlüsselung zu kompromittieren. Sobald Angreifer Zugang zu einem Konto erlangt hatten, reichten die Folgen deutlich über bloße Überwachung hinaus. Nach Patels Darstellung konnten sie Nachrichten lesen, Kontaktlisten einsehen, Nachrichten im Namen des Opfers versenden und weitere Phishing-Angriffe starten, indem sie die vertraute Identität des Betroffenen nutzten, um neue Zielpersonen zu erreichen. Signal erklärte in Reaktion auf eine frühere Warnung niederländischer Behörden, die Cyberangriffe seien durch ausgefeilte Phishing-Kampagnen erfolgt, die Nutzer zur Weitergabe von Informationen verleiten sollten, und bestätigte zugleich, dass die eigene Infrastruktur und die Verschlüsselung nicht kompromittiert worden seien. „FBI zidentyfikowała podmioty cybernetyczne związane z rosyjskim wywiadem, atakujące użytkowników komercyjnych komunikatorów, takich jak Signal” (Das FBI hat Cyberakteure identifiziert, die mit dem russischen Geheimdienst verbunden sind und Nutzer kommerzieller Messenger wie Signal angreifen) — Kash Patel via wiadomosci.radiozet.pl

Niederländische Dienste hatten dieselbe Kampagne Wochen zuvor gemeldet Der amerikanischen Warnung ging eine ähnliche Mitteilung voraus, die die niederländischen Nachrichtendienste AIVD and MIVD bereits früher im März 2026 veröffentlicht hatten. Darin hieß es, von Russland unterstützte Hacker hätten eine breit angelegte weltweite Kampagne gegen Signal- und WhatsApp-Konten von Regierungsvertretern, Journalisten und Militärangehörigen gestartet. Die niederländischen Behörden teilten mit, dass einige dieser Konten erfolgreich kompromittiert worden seien. Dass nun sowohl amerikanische als auch niederländische Nachrichtendienste warnen, deutet eher auf ein koordiniertes und länger anhaltendes Vorgehen als auf vereinzelte Vorfälle hin. Signal reagierte auf die niederländische Warnung mit dem Eingeständnis, dass es Phishing-Kampagnen gegeben habe, betonte jedoch erneut, dass die Kerninfrastruktur intakt geblieben sei. Das von beiden Behörden beschriebene Muster — die Vortäuschung von Sicherheitspersonal, die Manipulation von Sicherheitscodes und die seitliche Ausbreitung über vertrauenswürdige Kontaktnetzwerke — spricht für eine methodische Operation. Ziel ist demnach nicht die technische Architektur sicherer Kommunikation, sondern der menschliche Faktor. thousands (accounts) — individuelle Konten, auf die unbefugt zugegriffen wurde

Russischen Staatsstellen zugerechnete Cyberoperationen gegen westliche Regierungsvertreter und Journalisten sind seit mehr als einem Jahrzehnt dokumentiert. Nachrichtendienste in mehreren NATO-Staaten haben frühere Eindringkampagnen dem russischen Militärgeheimdienst GRU und dem Inlandsgeheimdienst FSB zugeschrieben. Messenger-Anwendungen rückten in den Fokus solcher Operationen, als Regierungen und Beschäftigte in sensiblen Bereichen sich von der herkömmlichen E-Mail-Kommunikation ab- und verschlüsselten Plattformen zuwandten. Der Einsatz von Social Engineering statt technischer Exploits, um Verschlüsselung zu umgehen, entspricht einem breiteren Trend staatlich unterstützter Hackerangriffe: Wenn kryptografische Hürden nicht mit vertretbarem Aufwand direkt zu überwinden sind, wird die menschliche Verwundbarkeit zum Angriffspunkt.

Die Warnung fällt in eine Phase größerer Spannungen zwischen den USA und Russland im Jahr 2026 Die gemeinsame Warnung von FBI und CISA kommt in einem Moment erhöhter geopolitischer Spannungen, während der Krieg zwischen Russland und der Ukraine in sein fünftes Jahr geht und US-Nachrichtendienste unter besonderer öffentlicher Beobachtung stehen. Kash Patel, der seit 2025 FBI-Direktor ist, nutzte sein persönliches Konto in den sozialen Medien, um die Warnung unmittelbar an die Öffentlichkeit weiterzugeben. Dieser Kommunikationsweg umgeht die üblichen Pressekanäle. In der gemeinsamen Mitteilung werden besonders gefährdete Personen — vor allem in Regierung, Militär und Medien — aufgefordert, bei unaufgeforderten Bitten zur Weitergabe von Sicherheitscodes oder Zugangsdaten besondere Vorsicht walten zu lassen, unabhängig davon, wie glaubwürdig die Quelle erscheinen mag. Das FBI und CISA ordneten die Kampagne öffentlich keiner konkreten russischen Nachrichtendiensteinheit zu und nannten auch keine Personen, die im Verdacht stehen, die Operation organisiert zu haben. Dass Behörden in den Vereinigten Staaten und in den Niederlanden nun innerhalb weniger Wochen dieselbe Angriffsmethode öffentlich benannt haben, spricht dafür, dass westliche Nachrichtendienste ihre öffentliche Kommunikation zu dieser Bedrohung abstimmen.