Warum Signal-Nutzer gehackt werden (nicht die App)

Signals Verschlüsselung ist in Ordnung. Seine Nutzer sind das Ziel.

Signal hat seit Langem den Ruf, der Goldstandard für private Kommunikation zu sein. Die Ende-zu-Ende-Verschlüsselung ist mathematisch solide, der Code ist quelloffen, und das Protokoll wird von Sicherheitsforschern weltweit als vertrauenswürdig eingestuft. Als daher Berichte auftauchten, dass mit Russland in Verbindung stehende Hacker erfolgreich Signal-Konten hochkarätiger Nutzer kompromittieren, stellt sich die naheliegende Frage: Wurde Signal gehackt?

Die kurze Antwort lautet: Nein. Signals Verschlüsselung wurde nicht geknackt. Was geknackt wurde, ist etwas, das sich weitaus schwerer patchen lässt: menschliches Vertrauen.

Berichten zufolge nutzen Angreifer ausgeklügelte Phishing-Kampagnen, um Signal-Nutzer dazu zu bringen, den Kontozugang selbst zu gewähren. Die Methode beinhaltet typischerweise gefälschte Sicherheitswarnungen, die überzeugend offiziell wirken und die Zielpersonen dazu veranlassen, ein neues Gerät mit ihrem Konto zu verknüpfen. Sobald dies geschieht, erhält der Angreifer eine Live-Spiegelung der Nachrichten des Opfers in Echtzeit – ohne jemals die Server von Signal zu berühren oder auch nur eine einzige Zeile Verschlüsselung zu knacken.

Dies ist ein entscheidender Unterschied. Die App ist nicht die Schwachstelle. Das Verhalten des Nutzers ist es.

Wie der Angriff tatsächlich funktioniert

Signal unterstützt eine legitime Funktion namens „Verknüpfte Geräte", die es Nutzern ermöglicht, gleichzeitig von mehreren Telefonen oder Computern auf ihr Konto zuzugreifen. Angreifer missbrauchen diese Funktion, indem sie bösartige QR-Codes oder Links generieren, die beim Scannen oder Anklicken das Gerät des Angreifers stillschweigend zum Konto des Opfers hinzufügen.

Die Phishing-Nachrichten sind darauf ausgelegt, Dringlichkeit zu erzeugen. Sie können behaupten, dass das Konto des Nutzers kompromittiert wurde, dass eine Identitätsverifizierung erforderlich ist oder dass ein Sicherheitsupdate sofortiges Handeln erfordert. Hochwertige Ziele unter Druck handeln mit größerer Wahrscheinlichkeit schnell und überprüfen die Anfrage mit geringerer Wahrscheinlichkeit sorgfältig.

Sobald das Gerät verknüpft ist, muss der Angreifer nichts entschlüsseln. Er liest die Nachrichten schlicht so, wie sie ankommen – im Klartext, genau wie jedes legitim verknüpfte Gerät es tun würde. Er kann das Opfer auch in laufenden Gesprächen imitieren, was schwerwiegende Konsequenzen für Journalisten, Aktivisten, Anwälte, Regierungsbeamte und alle anderen hat, die sensible Kommunikation abwickeln.

Diese Art von Angriff wird manchmal als Social-Engineering-Angriff oder Kontoübernahme durch autorisierten Zugriff bezeichnet. Es sind kein Zero-Day-Exploit, kein Servereinbruch und keine kryptografischen Kunststücke erforderlich. Es reicht aus, dass das Ziel einen einzigen Fehler macht.

Was das für Sie bedeutet

Wenn Sie Signal nutzen, weil Ihnen Privatsphäre wichtig ist, sollten Sie die App wegen dieser Nachrichten nicht aufgeben. Signal bleibt eine der vertrauenswürdigsten verfügbaren Messaging-Plattformen, und die zugrunde liegende Verschlüsselung schützt Nachrichten weiterhin vor dem Abfangen während der Übertragung. Aber diese Situation ist eine Erinnerung daran, dass Verschlüsselung nur eine Schicht einer Sicherheitsstrategie ist – nicht das Ganze.

Stellen Sie es sich so vor: Eine Tresortür ist nur dann wirksam, wenn niemand den Schlüssel an einen Angreifer aushändigt, der vorgibt, ein Schlosser zu sein.

Für die meisten alltäglichen Nutzer ist das Risiko durch diese spezifische russlandnahe Kampagne gering. Bei den gemeldeten Zielen handelt es sich um hochkarätige Personen, wahrscheinlich Menschen, die in sensiblen politischen, militärischen oder journalistischen Bereichen tätig sind. Aber die dabei eingesetzten Taktiken sind nicht ausgefallen. Phishing-Angriffe mit gefälschten Sicherheitswarnungen sind auf jeder Plattform verbreitet, und die Funktion der verknüpften Geräte ist nicht einzigartig für Signal.

Datenschutzbewusste Nutzer auf jeder Risikostufe sollten ihre Messaging-Apps so behandeln, wie Sicherheitsexperten jedes sensible System behandeln: mit mehrschichtigen Abwehrmaßnahmen und kontinuierlicher Wachsamkeit.

Praktische Schritte zum Schutz Ihres Signal-Kontos

Folgendes können Sie jetzt sofort tun, um Ihre Angriffsfläche zu verringern:

Überprüfen Sie Ihre verknüpften Geräte regelmäßig. Das Einstellungsmenü von Signal zeigt jedes Gerät, das derzeit mit Ihrem Konto verknüpft ist. Wenn Sie etwas Unbekanntes sehen, entfernen Sie es sofort. Machen Sie dies zu einer Routineprüfung, nicht zu einer einmaligen Aktion.

Seien Sie zutiefst skeptisch gegenüber Sicherheitswarnungen. Legitime Apps senden selten dringende Nachrichten, in denen Sie aufgefordert werden, einen QR-Code zu scannen oder auf einen Link zu klicken, um Ihr Konto zu verifizieren. Behandeln Sie jede solche Anfrage standardmäßig als verdächtig, auch wenn sie offiziell wirkt.

Aktivieren Sie Signals Registrierungssperre. Diese Funktion erfordert eine PIN, bevor Ihr Konto auf einem neuen Gerät neu registriert werden kann. Sie erschwert Angreifern den Versuch einer Kontoübernahme.

Schützen Sie das Gerät selbst. Signals Verschlüsselung schützt Nachrichten während der Übertragung. Wenn Ihr Telefon entsperrt und an jemanden übergeben wird oder durch Malware kompromittiert wurde, endet dieser Schutz. Sichere Gerätekennwörter, biometrische Sperren und das Aktualisieren Ihres Betriebssystems sind allesamt wichtig.

Denken Sie an Ihre allgemeine Netzwerksicherheit. Für Nutzer, die wirklich sensible Kommunikation abwickeln, fügt das Routing des Datenverkehrs über ein seriöses VPN eine Anonymitätsebene hinzu, die es Angreifern erschwert, Ihre Aktivitäten zu profilieren, Ihren Standort zu ermitteln oder die Aufklärung durchzuführen, die gezieltem Phishing häufig vorausgeht. Ein VPN behebt kein Phishing, ist aber Teil eines mehrschichtigen Ansatzes, der die Gesamtangriffsfläche reduziert.

Verifizieren Sie auf einem anderen Weg. Wenn Sie eine verdächtige Nachricht erhalten – selbst von einem bekannten Kontakt –, bestätigen Sie die Anfrage über einen völlig separaten Kanal – ein Telefonat, ein persönliches Gespräch oder eine andere App –, bevor Sie irgendwelche Maßnahmen ergreifen.

Die Lehre aus diesen Signal-Phishing-Angriffen lautet nicht, dass verschlüsselte Kommunikation nutzlos ist. Sie lautet, dass kein einzelnes Werkzeug eine vollständige Lösung darstellt. Signal schützt Ihre Nachrichten außergewöhnlich gut. Ihr Konto zu schützen erfordert, dass Sie wachsam gegenüber den Methoden bleiben, mit denen Angreifer versuchen, die Technologie vollständig zu umgehen – indem sie stattdessen Sie ins Visier nehmen.