Der Signal-Hack, der keiner war: Bundestagsabgeordnete sind einer klassischen Phishing-Attacke auf den Leim gegangen. Illustration: ChatGPT
Die politische Instinktreaktion auf Krisen folgt einem verlässlichen Muster: Schnell symbolisch handeln, die unbequemen Fragen weglassen. So auch jetzt. Julia Klöckner, Bundestagspräsidentin und Inhaberin des zweithöchsten Staatsamtes der Bundesrepublik, wurde Opfer eines Phishing-Angriffs auf ihren Signal-Account. Mit ihr traf es Bildungsministerin Karin Prien und Bauministerin Verena Hubertz. Und die politische Reaktion? Messenger wechseln. Dabei liegt das Problem ganz woanders.
- Signal wurde nicht gehackt. Der Angriff war kein technischer Exploit, sondern klassisches Social Engineering: Die Betroffenen gaben ihren Verifizierungscode nach einer gefälschten Support-Nachricht freiwillig weiter.
- Ein Messengerwechsel zu Wire löst das Problem nicht. Dieselbe Phishing-Methode funktioniert mit jedem Dienst. Das BSI hatte zudem bereits Wochen vorher vor genau dieser Kampagne gewarnt.
- Die richtige Konsequenz wäre IT-Sicherheitsschulung. Nicht der Messenger hat versagt, sondern die digitale Grundkompetenz auf höchster politischer Ebene.
Mario Sixtus, Autor und Filmemacher, hat die Absurdität dieser Reaktion treffend auf den Punkt gebracht: „Dass deutsche Medien von einem ‚Signal-Hack‘ phantasieren und der Bundestag nun angeblich zum Messenger Wire wechseln will, ist wie wenn dir jemand den Wohnungsschlüssel aus der Hosentasche zieht und deine Wohnung plündert, die Presse daraufhin von einem Hosentaschenskandal schreibt und du die Wohnung wechselst.“
Besser kann man es nicht sagen. Trotzdem lohnt es sich, genauer hinzuschauen — denn die Geschichte hat ein paar Schichten, die in der aufgeregten Debatte untergehen.
Inhalt
Der Signal Hack, der keiner war
Zunächst zum Tathergang, der in vielen Berichten erschreckend ungenau dargestellt wird: Signal wurde nicht gehackt. Es gibt keine Sicherheitslücke in der App, keinen Exploit, keinen technischen Einbruch. Was passierte, war klassisches Social Engineering — die älteste Methode im Werkzeugkasten von Angreifern.
Die Betroffenen erhielten eine Nachricht, die angeblich vom Signal-Support stammte. Darin wurde behauptet, ihr Account werde gerade attackiert. Die Lösung? Bitte schnell den Verifizierungscode und die Signal-PIN schicken. Wer das tat, übergab den Angreifern die vollständige Kontrolle über seinen Account — Kontakte, Chatgruppen, alles. Im Fall von Klöckner war das besonders brisant, da sie Mitglied eines CDU-Präsidiums-Chats ist, in dem auch Bundeskanzler Friedrich Merz kommuniziert.
Laut Verfassungsschutz sind „zahlreiche hochrangige Betroffenheiten“ bekannt, die Dunkelziffer dürfte deutlich höher liegen. Sicherheitskreise sprechen von rund 300 bekannten Fällen — darunter auch Journalistinnen und Journalisten.
Der Trick war alt. Die Warnung war da. Trotzdem hat es funktioniert.
Was die Sache besonders ärgerlich macht: Das BSI und der Verfassungsschutz hatten bereits am 6. Februar 2026 öffentlich vor genau dieser Angriffskampagne gewarnt. Die Welle lief also schon. Wochenlang. Und trotzdem fielen hochrangige Politikerinnen darauf herein.
Die Frage, die niemand wirklich laut stellen will, lautet: Warum? Werden solche Warnungen intern nicht kommuniziert? Gibt es keine Sicherheitsbriefings für Abgeordnete und Minister? Oder werden sie einfach nicht ernst genommen, weil IT-Sicherheit als Thema für Nerds gilt und nicht für Leute, die das Land regieren?
Diese Frage ist unbequem. Also lieber: Messenger wechseln.
Die Reaktion: Ablenkung als politisches Handwerk
Bundestagsvizepräsidentin Andrea Lindholz (CSU) hat die Debatte auf eine klare Forderung zugespitzt: Signal muss weg, Wire soll her — und zwar verbindlich für alle Abgeordneten und Bundestagsmitarbeiter. Als Begründung führt sie neben Sicherheitsaspekten auch digitale Souveränität ins Feld: „Wir befinden uns in einer Bedrohungssituation, in der wir einen europäischen Anbieter schon aus Gründen der Souveränität vorziehen sollten.“
Das klingt vernünftig. Ist es aber nur teilweise.
Wire ist nicht falsch. Aber es ist auch nicht die Lösung.
Fairness gebietet es, ein paar Dinge richtigzustellen: Wire hat gegenüber Signal tatsächlich einige strukturelle Vorteile. Nutzer müssen keine Telefonnummer hinterlegen, die verwendete E-Mail-Adresse ist für andere nicht einsehbar, und als europäisches Unternehmen gibt es konkrete Ansprechpartner, die auch unter europäischem Datenschutzrecht operieren. Für eine Institution wie den Bundestag, die einen einheitlichen, zentral verwalteten Dienst mit klaren Sicherheitsrichtlinien betreiben will, ist das kein schlechtes Argument.
Aber all das ändert nichts an der Angriffsmethode, die hier gewählt wurde. Ein Phishing-Angriff über eine gefälschte Support-Nachricht funktioniert mit Wire genauso. Man schreibt einfach „Wire-Support“ statt „Signal-Support“ drüber. Das BSI hat das selbst bestätigt: Vergleichbare Methoden seien auch bei WhatsApp denkbar, schützen könne letztlich nur die Wachsamkeit der Nutzer. Der niederländische Geheimdienst hat übrigens bestätigt, dass dieselbe Kampagne parallel auch WhatsApp-Konten ins Visier nahm.
Der Wohnungsschlüssel ist das Problem. Nicht die Wohnung.
Was wirklich fehlt: IT-Kompetenz als Grundvoraussetzung
Wer das zweithöchste Staatsamt bekleidet, wer sensible politische Kommunikation über verschlüsselte Messenger führt, wer in Gruppen-Chats mit dem Bundeskanzler sitzt, der muss wissen, dass kein seriöser Support-Dienst jemals nach Verifizierungscodes oder PINs fragt. Das ist keine Nerd-Spezialkenntnis, das ist digitales Basiswissen — so grundlegend wie das Wissen, dass man seinen Haustürschlüssel nicht an Fremde weitergibt.
Die einzig sinnvolle Konsequenz aus diesem Vorfall wäre daher: verpflichtende, regelmäßige IT-Sicherheitsschulungen für alle Abgeordneten und ihre Mitarbeiter, egal welchen Messenger sie benutzen. Nicht einmal zum Amtsantritt und dann nie wieder, sondern kontinuierlich und aktuell. Weil die Angriffsmethoden sich weiterentwickeln. Und weil Menschen, die Zugang zu politisch sensiblen Informationen haben, sich dieser Verantwortung bewusst sein müssen.
Einen Messenger zu wechseln ist dagegen das Einfachste der Welt. Und genau deshalb ist es die falsche Antwort.
