Im Februar 2026 veröffentlichten BSI und Bundesamt für Verfassungsschutz gemeinsam einen Sicherheitshinweis, der in Deutschland kaum Aufsehen erregte — zu Unrecht. Bundestagspräsidentin Julia Klöckner, Bundesministerin Verena Hubertz und Karin Prien waren unter den rund 300 bekannten Betroffenen einer laufenden Spionagekampagne. Die Bundesanwaltschaft ermittelt wegen Spionage, Russland steht im Verdacht. Am 17. April 2026 folgte eine aktualisierte Warnung: Die Kampagne läuft weiter.
Was das mit einem mittelständischen Maschinenbauer in Augsburg oder einem Logistikdienstleister in Hannover zu tun hat? Mehr als die meisten ahnen.
Wie der Angriff technisch funktioniert — und warum er so gefährlich ist
Der entscheidende Punkt zuerst: Bei diesem Angriff wurde keine Schadsoftware eingesetzt. Kein Zero-Day, kein Exploit, keine Software-Schwachstelle. Die Angreifer nutzten ausschließlich eine legitime Signal-Funktion namens “Linked Devices” — also die Möglichkeit, Signal auf mehreren Geräten gleichzeitig zu nutzen.
Der Ablauf ist erschreckend simpel:
- Das Opfer erhält eine Nachricht — in einer Gruppenunterhaltung, per Direktnachricht oder über einen vorgetäuschten Support-Kontakt. Der Pretext variiert: eine gefälschte Sicherheitswarnung (“Ihr Konto wurde kompromittiert, scannen Sie diesen Code zur Verifizierung”), eine Gruppen-Einladung oder eine scheinbar offizielle Systemnachricht.
- Das Opfer scannt den mitgeschickten QR-Code.
- Das Gerät des Angreifers wird als verknüpftes Gerät registriert.
- Ab diesem Moment liest der Angreifer alle eingehenden und ausgehenden Nachrichten in Echtzeit mit — ohne dass das Opfer irgendetwas bemerkt.
Kein Malware-Scanner der Welt schlägt dabei an. Kein IT-Monitoring erkennt eine Anomalie. Das kompromittierte Konto verhält sich technisch vollkommen normal.
Parallel dazu meldete das Sicherheitsunternehmen Recorded Future einen Anstieg von +433 % bei sogenannten Quishing-Angriffen weltweit — also Phishing über QR-Codes statt über klassische Links. Der Grund: QR-Codes umgehen E-Mail-Sicherheitsfilter nahezu vollständig und wirken auf Empfänger vertrauenswürdig.
Warum das jeden Mittelständler betrifft
Der erste Reflex ist verständlich: “Das sind doch Politiker, die interessieren Geheimdienste — uns trifft das nicht.” Dieser Reflex ist falsch.
Signal, WhatsApp Business und Telegram werden in deutschen KMU täglich für Geschäftskommunikation genutzt — oft inoffiziell, oft ohne klare Unternehmensrichtlinien. Preisverhandlungen, Kundenabsprachen, interne Projektdiskussionen, manchmal sogar Passwörter und Zugangsdaten wandern über diese Kanäle.
Und das Gleiche Prinzip — QR-Code-Kopplung über eine legitime App-Funktion — funktioniert auch bei WhatsApp Web und bei Microsoft Teams (über den Geräte-Hinzufügen-Flow).
Wer sind die Ziele jenseits der Politik? Wirtschaftsspionage zielt seit Jahren besonders auf den deutschen Mittelstand: Maschinenbau, Pharma, Spezialchemie, Hidden Champions mit proprietärem Know-how. Ein kompromittiertes Geschäftsführer-Konto in einer Kundengruppe bedeutet Zugang zu Verträgen, Kalkulationen, Entwicklungsständen — und damit zu einem wirtschaftlichen Vorteil für den Angreifer, der jahrelange F&E-Arbeit entwerten kann.
Ein Fall aus unserer Beratungspraxis: Ein mittelständischer Zulieferer aus der Automobilbranche mit rund 120 Mitarbeitern kontaktierte uns im März 2026, nachdem einem Prokuristen auffiel, dass ein Lieferant Details einer noch nicht abgeschlossenen Verhandlung kannte, die nirgendwo schriftlich fixiert worden waren — außer in einer WhatsApp-Gruppe. Die Analyse ergab: Ein Linked-Device-Angriff, eingeleitet über eine gefälschte WhatsApp-Sicherheitsbenachrichtigung drei Wochen zuvor. Der wirtschaftliche Schaden war erheblich, die Beweislage für eine Strafanzeige dünn.
Quishing — der unterschätzte Trend
QR-Code-Phishing ist kein Nischenphänomen mehr. Die +433 % bei Quishing-Hinweisen spiegeln wider, was Sicherheitsteams seit Monaten beobachten: Angreifer haben erkannt, dass QR-Codes einen blinden Fleck in der Unternehmensabwehr darstellen.
Die Bandbreite reicht von gefälschten Parkraum-QRs auf Firmenparkplätzen über manipulierte Speisekarten in Kantinen bis zu eingeschleusten “Sicherheits-Update”-QRs in internen Newslettern. Der gemeinsame Nenner: Der Mensch scannt, bevor er denkt — weil QR-Codes bisher als sicher galten und weil der Kontext oft plausibel wirkt.
Anders als bei einem Phishing-Link ist bei einem QR-Code die Ziel-URL vor dem Scan nicht sichtbar. Das macht selbst gut geschulte Mitarbeiter anfällig.
Was Sie jetzt konkret tun sollten
Sofortmaßnahmen (heute, nicht nächste Woche)
Signal-Linked-Devices prüfen: Öffnen Sie Signal → Einstellungen → Verknüpfte Geräte. Entfernen Sie jeden Eintrag, den Sie nicht aktiv selbst hinzugefügt haben. Das Gleiche gilt für WhatsApp Web (Einstellungen → Verknüpfte Geräte) und Teams.
Unbekannte Geräte sofort entfernen. Keine Rückfrage nötig — wer ein legitimes Gerät entfernt, kann es sofort erneut verknüpfen.
Unternehmensrichtlinie
Führen Sie eine klare Regel ein: QR-Codes aus Nachrichten, Gruppen-Einladungen oder unbekannten Quellen werden nie ohne vorherige Rückbestätigung über einen zweiten Kanal gescannt. Telefon, persönliches Gespräch, offizielle E-Mail — irgendetwas, das nicht der kompromittierte Kanal selbst ist.
Diese Regel klingt trivial. Sie wird in 80 % der Angriffe reichen, weil der Aufwand für den Angreifer steigt und er auf leichtere Ziele ausweicht.
Mitarbeiter-Awareness
QR-Codes sind ab sofort wie E-Mail-Anhänge zu behandeln: Mit gesunder Skepsis, nicht automatisch. Erweitern Sie bestehende Phishing-Simulationen um QR-Szenarien. Zeigen Sie konkrete Beispiele — wie unsere Berater es bei Kundenworkshops tun.
Verifizierende Codeworte für sensible Vorgänge (Geldtransfers, Zugangsänderungen, Vertragsfreigaben) sind eine einfache und hochwirksame Schutzmaßnahme gegen alle Social-Engineering-Angriffe — unabhängig vom Kanal.
Geräte- und App-Management
Wer Firmengeräte betreibt, sollte per MDM (Mobile Device Management) regeln, welche Messenger-Apps auf Unternehmensgeräten überhaupt erlaubt sind. Idealerweise wird Signal und WhatsApp für Geschäftszwecke durch Microsoft Teams oder einen anderen kontrollierten Kanal ersetzt, bei dem Linked-Device-Angriffe zentral überwacht werden können.
Notfall-Prozess
Klären Sie vorab: Wer entscheidet, wenn ein Konto kompromittiert wurde? Wer sperrt, wer benachrichtigt Kunden, wer informiert die Behörden? Dieser Prozess muss existieren, bevor ein Vorfall eintritt — nicht als Reaktion darauf.
Was wir aus dem Politik-Fall lernen
Bundestagspräsidentin Klöckner und ihre Kolleginnen sind keine unvorsichtigen Menschen. Sie haben Sicherheitsbriefings, arbeiten mit IT-Sicherheitsexperten zusammen und sind sich der Bedrohungslage bewusst. Trotzdem fielen sie auf diesen Angriff herein.
Das ist keine Kritik — es ist eine wichtige Erkenntnis: Das ist kein Bildungsproblem. Es ist ein Methodenproblem. Die Angriffe sind so gestaltet, dass sie unter Druck, in Hektik oder in einem konkreten plausiblen Kontext selbst erfahrene Personen täuschen.
“Uns trifft das nicht” ist keine Strategie. Sicherheit ist Routine, nicht Reaktion. Der nächste Angriff dieser Art wird nicht auf die Politik beschränkt bleiben — er kommt über dieselben Kanäle, mit denselben Methoden, in Ihre Geschäftsführer-Gruppe.
Wissen Sie, welche Messenger-Risiken aktuell in Ihrem Unternehmen bestehen? smetrics analysiert Ihre Kommunikationskanäle und Geräteumgebung im Rahmen eines strukturierten Security-Checks — konkrete Maßnahmen, kein Audit-Bericht zum Abheften. Sprechen Sie uns an.
Quellen: