Im Februar 2026 veröffentlichten BSI und Bundesamt für Verfassungsschutz gemeinsam einen Sicherheitshinweis, der in der Öffentlichkeit kaum Beachtung fand — weil er keine Datenpanne meldete, keinen Millionenschaden bezifferte und keine Firma nannte. Er beschrieb eine Methode. Am 17. April 2026 wurde die Warnung aktualisiert: Die Kampagne läuft weiter. Zu den rund 300 bekannten Betroffenen zählen Bundestagspräsidentin Julia Klöckner, Bundesministerin Verena Hubertz (SPD) und Bildungsministerin Karin Prien (CDU). Die Bundesanwaltschaft ermittelt wegen Spionage; der Verdacht richtet sich gegen staatlich gesteuerte Akteure, die vermutlich Russland zuzuordnen sind.
Das ist keine Politik-Geschichte. Es ist eine Methoden-Geschichte — und die Methode trifft jeden, der Signal, WhatsApp oder einen anderen Messenger geschäftlich nutzt.
Wie der Angriff technisch funktioniert
Signal hat eine praktische Funktion: Linked Devices. Sie erlaubt es, ein Signal-Konto auf mehreren Geräten gleichzeitig zu nutzen — etwa Smartphone und Desktop-App. Das Koppeln erfolgt über einen QR-Code, den das neue Gerät einmalig scannt. Danach erhält es sämtliche eingehenden und ausgehenden Nachrichten in Echtzeit mit.
Genau diese legitime Funktion haben die Angreifer ausgenutzt. Der Ablauf war in der Regel so:
-
Pretext aufbauen. Das Opfer erhielt eine Nachricht, die täuschend echt wirkte — eine vorgetäuschte Sicherheitswarnung von “Signal Support”, eine gefälschte Gruppeneinladung oder eine Nachricht von einem bereits kompromittierten Kontakt.
-
QR-Code präsentieren. Die Nachricht enthielt einen QR-Code mit der Aufforderung, ihn zur “Verifizierung” oder “Kontowiederherstellung” zu scannen.
-
Gerät koppeln. Wer den Code scannte, verknüpfte damit das Gerät der Angreifer als neues Linked Device mit dem eigenen Signal-Konto.
-
Vollständiger Mitlese-Zugriff. Ab diesem Moment lesen die Angreifer alle Nachrichten mit — ohne weiteren Eingriff, ohne Malware, ohne Software-Schwachstelle.
Das ist der entscheidende Punkt: Es gibt keinen Zero-Day, keine Schadsoftware, keine technische Lücke in Signal. Die Angreifer haben eine vorhandene Funktion gegen ihre Nutzer eingesetzt. Kein Patch schließt diese Lücke — nur informierte Nutzer tun es.
Warum das jeden Mittelständler betrifft
Die naheliegende Reaktion: “Das sind Politiker, wir sind ein Maschinenbauunternehmen mit 80 Mitarbeitern in Bayreuth — wir sind kein Spionageziel.” Diese Logik greift zu kurz, aus zwei Gründen.
Erstens ist die Methode nicht auf Spionage beschränkt. Wer Zugriff auf den Signal-Account eines Geschäftsführers, Projektleiters oder Einkäufers hat, liest Verhandlungspositionen, Preislisten, Kundenanfragen und interne Entscheidungen mit. Das ist für Wirtschaftsspionage genauso wertvoll wie für staatliche Nachrichtendienste — und Wirtschaftsspionage trifft Hidden Champions im Mittelstand überproportional häufig.
Zweitens ist die Verbreitung von Messenger-Apps in deutschen Unternehmen hoch. Signal, WhatsApp Business und Telegram werden in vielen Betrieben inoffiziell für Geschäftliches genutzt: Projektkoordination in WhatsApp-Gruppen, Kundenabsprachen per Signal, Lieferantenkoordination per Telegram. Oft ohne explizite Unternehmensrichtlinie, oft auf privaten Smartphones ohne MDM-Schutz.
Wichtig: Die gleiche QR-Code-Kopplung ist auch bei WhatsApp Web möglich. Und das Grundprinzip — Vertrauen missbrauchen, legitime Funktion ausnutzen — lässt sich auf andere Plattformen übertragen.
Ein Fall aus unserer Beratungspraxis verdeutlicht das: Ein Geschäftsführer eines mittelständischen Zulieferers — rund 60 Mitarbeiter, Automotive-Umfeld — erhielt über Signal eine Nachricht, die angeblich vom IT-Support seiner Unternehmensgruppe stammte. Inhalt: Eine neue Sicherheitsrichtlinie verlange die Verifizierung verknüpfter Geräte, bitte QR-Code scannen. Er scannte. Zwei Wochen später bemerkte ein Dienstleister ungewöhnliche Aktivitäten in einer gemeinsamen Projektgruppe — Nachrichten wurden gelesen, kurz bevor Entscheidungen fielen, die eigentlich intern hätten bleiben sollen. Ob tatsächlich Informationen abgeflossen sind und in welchem Umfang, ließ sich im Nachhinein nicht mehr vollständig rekonstruieren. Ein laufendes Intrusion Detection & SOC-Monitoring hätte die anomalen Aktivitäten — ungewöhnliche Lesezugriffe, unbekannte Geräteverknüpfungen — in Echtzeit sichtbar gemacht, nicht erst retrospektiv. Der Zugriff wurde beendet, das Signal-Konto zurückgesetzt. Der Schaden: unbekannt, aber der Vertrauensverlust gegenüber der Unternehmensgruppe war greifbar.
Quishing — der unterschätzte Trend
Die Signal-Kampagne ist kein Einzelfall. Recorded Future dokumentiert einen weltweiten Anstieg von QR-Code-Phishing — sogenanntem Quishing — um +433 % gegenüber dem Vorjahr. Die Spielarten sind vielfältig: gefälschte QR-Codes auf Parkscheinautomaten, manipulierte Aufkleber auf Restaurant-Speisekarten, QR-Codes in E-Mails mit der Bitte um “Sicherheits-Update” oder “Kontobestätigung”.
Der Grund für den Anstieg: QR-Codes umgehen automatisierte Mailfilter zuverlässig. Ein klassischer Phishing-Link wird von Filtern analysiert — eine Grafik mit einem QR-Code nicht. Zudem wirken QR-Codes vielen Menschen vertraut und seriös, weil sie sie täglich aus dem Alltag kennen. Das Misstrauen, das bei einem verdächtigen Link-Text noch vorhanden ist, fehlt beim QR-Code oft.
Was Sie jetzt konkret tun sollten
Fünf Maßnahmen, die Sie ohne großes Budget und ohne externe Hilfe sofort umsetzen können — und drei, für die Sie Unterstützung brauchen werden.
Sofort umsetzbar:
1. Linked Devices in Signal und WhatsApp prüfen. Öffnen Sie in Signal: Einstellungen → Verknüpfte Geräte. In WhatsApp: Einstellungen → Verknüpfte Geräte. Alle Einträge, die Sie nicht kennen, sofort entfernen. Das BSI hat dazu einen Handlungsleitfaden für Signal veröffentlicht — fünf Minuten Aufwand, sofortige Wirkung.
2. Klare Kommunikationsregel einführen. Formulieren Sie eine einfache, verbindliche Regel für Ihr Unternehmen: “Wir scannen niemals QR-Codes aus Nachrichten, Gruppen-Einladungen oder E-Mails, ohne den Absender zuvor über einen zweiten Kanal zu bestätigen.” Das kostet nichts und stoppt den häufigsten Angriffspfad.
3. QR-Codes wie E-Mail-Anhänge behandeln. Sensibilisieren Sie Ihr Team: Ein QR-Code ist ein Link — er kann genauso schädlich sein wie ein verdächtiger Anhang. Diese Analogie ist einfach zu erklären und zu merken.
Mit Unterstützung — aber dennoch dringend:
4. Mitarbeiter-Awareness aktualisieren. Phishing-Simulationen und Schulungen sollten QR-Code-Szenarien einschließen. Die meisten aktuellen Awareness-Trainings berücksichtigen Quishing noch nicht. Wer seine Belegschaft schult, “an Rechtschreibfehlern zu erkennen”, bereitet sie auf den Angriff von gestern vor. Strukturierte Phishing-Simulationen mit aktuellem Angriffsmaterial — einschließlich QR-Code- und Messenger-Szenarien — sind Bestandteil unserer Security-Audits & Compliance-Leistungen; sie trainieren Reaktionsmuster gezielt, nicht nur abstraktes Wissen.
5. Mobile Device Management einführen. Ein MDM erlaubt es, die App-Nutzung auf Firmengeräten zu kontrollieren — welche Apps installiert werden dürfen, ob Geräte verschlüsselt sind, ob verlorene Geräte aus der Ferne gesperrt werden können. Für Unternehmen ab ca. 20 Mitarbeitern ist das heute keine Kür mehr. Unsere Cyber Shield-Leistungen beinhalten MDM-Implementierung und laufendes Management.
6. Messenger im Geschäftskontext ersetzen, wo möglich. Signal und WhatsApp sind für private Kommunikation konzipiert, nicht für Unternehmensinfrastruktur. Microsoft Teams oder Wire for Business bieten vergleichbare Funktionen mit wesentlich stärkeren IT-Kontrollmöglichkeiten, zentraler Verwaltung und revisionssicherem Logging. Wer Teams konsequent mit gehärteter Entra-ID, Conditional Access und FIDO2 betreibt, entzieht dem QR-Code-Missbrauch seine Wirkungsgrundlage — diese Konfigurationstiefe ist Kern unserer Microsoft 365 Administration.
Für den Ernstfall vorbereiten: Klären Sie vorab, wer welche Entscheidung trifft, wenn ein Messenger-Account kompromittiert wird. Wer wird informiert? Wer sperrt das Konto? Wer benachrichtigt betroffene Gesprächspartner? Ein undokumentierter Notfallprozess ist kein Prozess.
Was wir aus dem Politik-Fall lernen
Die betroffenen Personen in diesem Fall sind keine technischen Laien. Politikerinnen mit Sicherheitsbriefings, Mitarbeiter von Behörden mit sensiblen Informationsständen — und dennoch haben sie den QR-Code gescannt. Das ist kein Bildungsproblem. Es ist ein Methoden-Problem.
Der Angriff war präzise auf Vertrauen ausgelegt: eine Nachricht, die plausibel wirkte, von einer vertrauten Funktion (Linked Devices) Gebrauch machte und im richtigen Moment kam. Wer unter Zeitdruck eine Sicherheitswarnung bekommt und glaubt, handeln zu müssen, scannt den Code. Das ist menschlich. Und genau darauf setzen die Angreifer.
Die Schlussfolgerung ist keine Panik, sondern eine nüchterne: Sicherheit ist Routine, nicht Reaktion. Wer die Grundregeln — zweiter Kanal zur Bestätigung, bekannte Geräte prüfen, QR-Codes mit Vorsicht behandeln — als selbstverständlichen Ablauf etabliert, ist gegen diese Klasse von Angriffen weit besser gewappnet als ein Unternehmen, das auf technische Wunder vertraut.
Signal-Phishing ist kein Politikthema — es ist ein Vorzeichen
Die Kampagne läuft weiter. BSI und Verfassungsschutz haben das explizit bestätigt. Die Methode — legitime Funktionen durch Social Engineering missbrauchen — ist effizient, schwer zu erkennen und erfordert keine technische Infrastruktur auf Seiten der Angreifer. Sie wird in anderen Varianten weiterleben, ob auf WhatsApp, Teams oder der nächsten Plattform.
Unternehmen, die jetzt handeln, schützen sich nicht nur vor dieser konkreten Kampagne. Sie trainieren die Grundhaltung, die bei der nächsten Angriffswelle zählt: kontrolliertes Misstrauen als Standard.
Wir prüfen für Sie, welche Messenger-Risiken in Ihrem Unternehmen aktuell bestehen — sprechen Sie uns an für eine
kostenlose Erstberatung
Quellen:
- BSI / BfV: Gemeinsamer Sicherheitshinweis vom 6. Februar 2026 — Signal Phishing-Kampagne
- BfV Sicherheitshinweis: https://www.verfassungsschutz.de/DE/themen/spionage/cyber-spionage/cyber-spionage_node.html
- Heise Security: https://www.heise.de/security/