FBI warnt: Russische Hacker greifen jetzt Signal-Backup-Schlüssel an

Was IT-Verantwortliche und Geschäftsführer in Deutschland jetzt wissen müssen


Einleitung: Eine bekannte App, eine neue Angriffsdimension

Signal gilt seit Jahren als der Goldstandard unter den sicheren Messenger-Diensten – genutzt von Aktivisten, Journalisten, Anwälten und zunehmend auch in Unternehmen und Behörden. Doch eine aktuelle Warnung des FBI und der US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) zeigt: Selbst die stärkste Ende-zu-Ende-Verschlüsselung schützt nicht, wenn Angreifer einen anderen Weg finden.

Laut der Warnung vom 27. Juni 2025 haben russische Geheimdienstakteure – konkret wird die Gruppe APT29 (auch bekannt als „Cozy Bear") in Verbindung gebracht – ihre Phishing-Kampagnen gegen Signal-Nutzer weiterentwickelt. Das neue Ziel: Signal-Backup-Recovery-Keys. Wer diese Schlüssel in die Hände der Angreifer gibt, öffnet ihnen Tür und Tor zu sämtlichen historischen Nachrichten – rückwirkend, vollständig und dauerhaft entschlüsselt.

Für deutsche Unternehmen, die Signal für interne oder externe Kommunikation einsetzen, ist das keine abstrakte Bedrohung aus Übersee. Es ist ein konkretes Risiko, das NIS2-Pflichten, Datenschutzvorgaben nach DSGVO und operative Sicherheitsstrategien unmittelbar berührt.


Technischer Hintergrund: Wie der Angriff funktioniert

Was ist ein Signal-Backup-Recovery-Key?

Signal erlaubt es Nutzern, ihre gesamte Nachrichtenhistorie in verschlüsselter Form zu sichern – entweder lokal oder, in neueren Versionen, in der Cloud (bei Android über Google Drive, auf iOS über iCloud). Der sogenannte Backup-Recovery-Key ist der kryptografische Schlüssel, der diese verschlüsselte Sicherung entschlüsselt.

Wer diesen Schlüssel kennt, kann alle gespeicherten Nachrichten im Klartext lesen – auch wenn er keinen physischen Zugriff auf das Gerät hat.

Die Angriffskette – einfach erklärt

Die beschriebene Kampagne setzt auf eine mehrstufige Phishing-Strategie:

  1. Erstkontakt: Opfer erhalten täuschend echte Nachrichten – häufig über kompromittierte Konten aus dem beruflichen Umfeld – die sie auf gefälschte Signal-Seiten oder Geräteverknüpfungs-Dialoge locken.
  2. Manipulation der Geräteverknüpfung: Signal erlaubt das Verknüpfen mehrerer Geräte. Angreifer missbrauchen diesen legitimen Mechanismus, indem sie Nutzer dazu bringen, ein von den Angreifern kontrolliertes „Gerät" zu verknüpfen. Ab diesem Moment werden alle eingehenden und ausgehenden Nachrichten in Echtzeit mitgelesen.
  3. Neue Eskalationsstufe – Backup-Key-Diebstahl: Die jetzt beschriebene Weiterentwicklung geht noch weiter. Nutzer werden durch Social Engineering dazu gebracht, ihren Backup-Recovery-Key preiszugeben – etwa über gefälschte Support-Seiten, die exakt wie die offizielle Signal-Oberfläche aussehen. Mit diesem Schlüssel können Angreifer auf historische Nachrichten zugreifen, ohne jemals auf dem Gerät selbst präsent gewesen zu sein.

Warum ist das technisch so gefährlich?

Signal selbst ist nicht kompromittiert – das Protokoll und die Verschlüsselung funktionieren wie vorgesehen. Der Angriff umgeht die Technik vollständig durch menschliches Versagen und Social Engineering. Das macht ihn besonders tückisch: Kein Sicherheitspatch kann dieses Problem beheben. Nur Aufklärung und organisatorische Maßnahmen helfen.


Auswirkungen auf Deutschland: NIS2, BSI und DSGVO

NIS2-Relevanz für betroffene Unternehmen

Seit der Umsetzung der NIS2-Richtlinie in deutsches Recht (NIS2UmsuCG, in Kraft seit Oktober 2024) gelten für Unternehmen in kritischen und wichtigen Sektoren verschärfte Anforderungen an die Cybersicherheit und Incident-Response. Konkret relevant sind hier:

  • Art. 21 NIS2 (Sicherheitsmaßnahmen): Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz von Kommunikationssystemen zu ergreifen – explizit einschließlich Messenger-Dienste, die für Geschäftskommunikation genutzt werden.
  • Art. 23 NIS2 (Meldepflichten): Sicherheitsvorfälle, die den Betrieb erheblich beeinträchtigen oder zu Datenverlust führen, müssen innerhalb von 24 Stunden beim BSI gemeldet werden (Erstmeldung), gefolgt von einer detaillierten Meldung nach 72 Stunden.
  • Verantwortung der Geschäftsführung: NIS2 macht Führungskräfte persönlich haftbar für die Umsetzung und Überwachung von Cybersicherheitsmaßnahmen.

DSGVO-Dimension

Wenn durch einen solchen Angriff personenbezogene Daten (z. B. Kommunikationsinhalte mit Kunden, Mitarbeitern oder Geschäftspartnern) abgegriffen werden, liegt eine meldepflichtige Datenpanne nach Art. 33 DSGVO vor. Die zuständige Datenschutzbehörde muss innerhalb von 72 Stunden informiert werden.

BSI-Empfehlungen

Das BSI hat in seinen Grundschutz-Bausteinen (insbesondere OPS.1.2.4 – Fernwartung und APP.1.1 – Office-Produkte) sowie in aktuellen Cyber-Lageberichten wiederholt auf die Gefahren durch kompromittierte Kommunikationskanäle hingewiesen. Messenger-Dienste sollten grundsätzlich in die unternehmensweite Sicherheitsstrategie einbezogen werden – inklusive Richtlinien zur Nutzung und regelmäßiger Schulungen.


Praktische Schutzmaßnahmen: Was Sie jetzt tun sollten

Die gute Nachricht: Es gibt konkrete, sofort umsetzbare Maßnahmen, die das Risiko erheblich reduzieren.

1. 🔑 Backup-Recovery-Keys schützen und niemals teilen

Sensibilisieren Sie alle Mitarbeiter: Der Signal-Backup-Recovery-Key ist wie ein Masterpasswort für alle Ihre Nachrichten. Er darf niemals per E-Mail, Chat oder auf einer Website eingegeben werden. Signal selbst wird Sie niemals über eine externe Seite nach diesem Schlüssel fragen.

Maßnahme: Kommunizieren Sie intern klar, dass die Weitergabe dieses Schlüssels einem vollständigen Kommunikationsverrat gleichkommt.

2. 📱 Verknüpfte Geräte regelmäßig überprüfen

In Signal können Sie unter Einstellungen → Verknüpfte Geräte alle verbundenen Instanzen einsehen. Unbekannte oder nicht autorisierte Geräte sollten sofort entfernt werden.

Maßnahme: Führen Sie diese Überprüfung als monatliche Routine ein – idealerweise als Teil eines regelmäßigen Sicherheits-Checklists.

3. 🎓 Gezielte Phishing-Schulungen für Signal-Nutzer

Standard-Phishing-Trainings behandeln meist E-Mails. Die beschriebene Kampagne zeigt, dass Angriffe zunehmend über Messenger-Plattformen und gefälschte App-Oberflächen erfolgen.

Maßnahme: Ergänzen Sie Ihre Security-Awareness-Programme um Szenarien, die Messenger-spezifisches Phishing, gefälschte Geräteverknüpfungen und Social-Engineering-Angriffe über vertrauenswürdige Kontakte abdecken.

4. 🏢 Unternehmensrichtlinie für Messenger-Nutzung definieren

Viele Unternehmen haben keine klare Regelung, welche Messenger für welche Kommunikationszwecke zugelassen sind. Das schafft Schatten-IT und unkontrollierte Risiken.

Maßnahme: Erstellen Sie eine verbindliche Messenger-Nutzungsrichtlinie, die festlegt:
- Welche Dienste für interne/externe Kommunikation erlaubt sind
- Welche Informationsklassifizierungen über welche Kanäle übertragen werden dürfen
- Wie mit verdächtigen Nachrichten umzugehen ist

5. 🔐 Zusätzliche Sicherheitsfunktionen in Signal aktivieren

Signal bietet selbst Sicherheitsfunktionen, die häufig deaktiviert bleiben:

Funktion Wo zu finden Warum wichtig
Registrierungssperre Einstellungen → Konto Verhindert, dass Angreifer Ihre Nummer auf neuem Gerät registrieren
Bildschirmsperre Einstellungen → Datenschutz Schützt vor lokalem Zugriff
Nachrichten-Ablaufdatum Pro Konversation Minimiert Datenmenge bei Kompromittierung
Sicherheitsnummern verifizieren Pro Kontakt Erkennt Man-in-the-Middle-Angriffe

Maßnahme: Aktivieren Sie die Registrierungssperre verpflichtend für alle dienstlich genutzten Signal-Konten. Diese Funktion ist der wirksamste Einzelschutz gegen Kontoübernahmen.

6. 📋 Incident-Response-Plan für Messenger-Kompromittierungen

Viele Incident-Response-Pläne decken E-Mail-Kompromittierungen ab, aber keine Messenger-Vorfälle.

Maßnahme: Ergänzen Sie Ihren IR-Plan um ein Szenario „Kompromittierter Messenger-Account" mit klaren Eskalationswegen, Benachrichtigungspflichten (BSI, Datenschutzbehörde) und technischen Sofortmaßnahmen (Account sperren, verknüpfte Geräte entfernen, betroffene Kontakte informieren).


Fazit: Signal ist sicher – aber nur wenn Sie es richtig nutzen

Die aktuelle FBI/CISA-Warnung ist ein deutliches Signal (kein Wortspiel beabsichtigt): Die stärkste Verschlüsselung der Welt nützt nichts, wenn Angreifer den Schlüssel gestohlen haben. APT29 und andere staatlich gesteuerte Akteure haben längst verstanden, dass der Mensch das schwächste Glied in jeder Sicherheitskette ist – und richten ihre Werkzeuge präzise darauf aus.

Für deutsche Unternehmen gilt: Die Bedrohung ist real, die regulatorischen Anforderungen (NIS2, DSGVO) sind klar, und die Schutzmaßnahmen sind vorhanden. Es fehlt in vielen Fällen nur an der konsequenten Umsetzung.

Handeln Sie jetzt – bevor ein Backup-Recovery-Key der Schlüssel zu einem Ihrer wertvollsten Unternehmensgeheimnisse wird.


💡 Nächster Schritt: NIS2-Compliance strukturiert angehen

Die beschriebenen Anforderungen – Sicherheitsrichtlinien, Mitarbeiterschulungen, Meldeprozesse und Dokumentation – sind keine einmaligen Aufgaben, sondern kontinuierliche Prozesse. NIS2-Compliance-Management-Software kann Ihnen helfen, diese Aufgaben zu strukturieren, Fristen zu überwachen, Vorfälle revisionssicher zu dokumentieren und Nachweise für Audits bereitzuhalten. Wenn Ihr Unternehmen noch kein dediziertes Tool für das NIS2-Compliance-Management einsetzt, ist jetzt der richtige Zeitpunkt, die Evaluierung zu beginnen – der Gesetzgeber macht keinen Unterschied zwischen vorsätzlicher Nachlässigkeit und technischer Unwissenheit.


Quellen: FBI/CISA Joint Advisory (Juni 2025), BSI IT-Grundschutz-Kompendium, NIS2UmsuCG (2024), ENISA Threat Landscape 2024