Der Angriff, vor dem seit einiger Zeit auch das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik warnen, nutzt offenbar keine Sicherheitslücke, sondern überredet Nutzer, von sich aus Zugangsdaten preiszugeben.

Häufig würden Nutzer von einem angeblichen Support-Team des Messenger-Betreibers angeschrieben und gebeten, ihre persönlichen Zugangsdaten mitzuteilen.

Bei einer zweiten Methode nutzen die Angreifer die Möglichkeit, zusätzliche Geräte mit dem Messenger-Konto zu koppeln. Unter einem Vorwand werden Nutzer dazu gebracht, einen QR-Code zu scannen. Über diesen wird ein weiteres Gerät gekoppelt - das allerdings vom Angreifer kontrolliert wird.

Wer das macht, dessen Konto kann von den Angreifern komplett übernommen werden - die Hacker können dann alle Chat-Nachrichten lesen, die Kontakte auslesen und auch unter der Identität des Opfers Nachrichten an andere Messenger-Nutzer schreiben. Wer die Zugangsdaten zu seinem Messenger-Konto herausgibt, läuft zudem Gefahr, dass die Angreifer das Konto komplett übernehmen und man selbst nicht mehr darauf zugreifen kann.

Wer die Angreifer sind, ist bisher nicht klar. Es gibt aber Vermutungen, dass der Geheimdienst eines anderen Landes dahintersteckt. Anfang März machte der niederländische Geheimdienst "staatliche russische Hacker" verantwortlich. Wenig später veröffentlichte auch die US-Bundespolizei FBI eine Warnung, die "Cyberakteure, die mit den russischen Geheimdiensten in Verbindung stehen", hinter der Angriffswelle sah.

Dass die Attacken im Auftrag eines Geheimdienstes erfolgen, scheint auch deshalb plausibel, weil offenbar gezielt hochrangige Politiker, Beamte, Diplomaten und Journalisten angegriffen werden. Nach Informationen der Nachrichtenagentur AFP wurden die Parteien und Bundestags-Fraktionen am vergangenen Dienstag erneut von den Sicherheitsbehörden kontaktiert, um auf das Problem hinzuweisen.

Offiziell gibt es keine Angaben, wie viele Politiker oder Diplomaten bisher betroffen sind. Weder die Sicherheitsdienste noch die Bundesregierung haben sich dazu geäußert. Aus dem Bundestag bestätigte nur die SPD, es seien "einige wenige Abgeordnete" der Fraktion von den Angriffen betroffen. Andere Fraktionen äußerten sich nicht oder gaben an, sie hätten keine Kenntnis von derartigen Vorfällen.

Der Spiegel berichtete am Mittwoch, dass Bundestagspräsidentin Klöckner unter den Opfern der Phishing-Angriffswelle ist. Demnach war sie auch Teil eines Signal-Gruppenchats mit Mitgliedern des CDU-Präsidiums, dem auch Parteichef und Kanzler Merz angehört. Ein Sprecher Klöckners wollte die Angaben auf Anfrage der Nachrichtenagentur AFP weder bestätigen noch dementieren.

Sollte das Konto von den Cyberangreifern komplett übernommen werden, geht der Zugriff auf das eigene Messenger-Konto verloren. Da sich der Angreifer aber weiter als die angegriffene Person ausgeben kann, ist es wichtig, dann alle Kontakte zu informieren, damit sie das gehackte Konto blockieren können.

Sollten die Angreifer sich mit dem Konto des Opfers koppeln, gibt es die Möglichkeit, die Angreifer wieder auszusperren. Erscheinen in den Einstellungen des Messenger-Programm im Bereich "Gekoppelte Geräte" unbekannte Geräte, sollten diese dazu gelöscht werden.

Der Betreiber des Messenger-Signal sagt, man nehme die Berichte "sehr ernst". Die Verschlüsselung und Infrastruktur von Signal seien aber nicht kompromittiert worden. Der Messenger-Dienst betont, der Signal-Support nehme niemals über In-App-Nachrichten, SMS oder soziale Medien Kontakt mit Nutzern auf, um ihren Bestätigungscode oder ihre PIN zu erfragen. Gegen Phishing-Versuche helfe letztlich nur die Wachsamkeit der Nutzer.