Russischer Geheimdienst stiehlt Messenger-Zugangsdaten per SMS-Falle – Was deutsche Unternehmen jetzt wissen müssen

Staatlich gesteuerte Phishing-Kampagne gegen Regierungen und Aktivisten aufgedeckt – die Methoden betreffen auch die Unternehmenskommunikation in Deutschland


1. Was ist passiert – und warum sollten deutsche IT-Verantwortliche aufhorchen?

Der ukrainische Sicherheitsdienst (SSU) hat in Zusammenarbeit mit dem US-amerikanischen FBI eine umfangreiche, langfristig angelegte Cyberspionage-Kampagne des russischen Geheimdienstes aufgedeckt. Ziel der Angriffe waren Messenger-Konten von Regierungsbeamten, Militärpersonal, Politikern und Aktivisten – in der Ukraine, in Europa und in den USA.

Die Angreifer nutzten dabei gefälschte Support-Nachrichten per SMS und Messenger, um ihre Opfer zur Preisgabe von Zugangsdaten zu verleiten. Was zunächst wie ein regional begrenzter Geheimdienstvorfall wirkt, ist in Wahrheit ein Weckruf für jede Organisation, die auf digitale Kommunikationskanäle angewiesen ist – und das sind heute nahezu alle deutschen Unternehmen ab einer gewissen Größe.

Denn die eingesetzten Methoden sind keineswegs auf staatliche Akteure beschränkt. Dieselben Techniken – gefälschte Support-Nachrichten, Social Engineering via Mobilkommunikation, Credential Harvesting – werden täglich auch gegen Unternehmen eingesetzt. Wer glaubt, als mittelständisches Produktionsunternehmen oder als Dienstleister kein attraktives Ziel zu sein, unterschätzt die Bedrohungslage fundamental.


2. Technischer Hintergrund – Wie funktioniert dieser Angriff?

Die Mechanik der SMS-Phishing-Kampagne

Die aufgedeckte Kampagne basiert im Kern auf einem als Smishing (SMS + Phishing) bekannten Angriffsmuster, das um gezielte Social-Engineering-Elemente ergänzt wurde. Der Ablauf lässt sich in vier Phasen beschreiben:

Phase 1 – Aufklärung (Reconnaissance):
Die Angreifer recherchieren vorab öffentlich zugängliche Informationen über ihre Zielpersonen: Social-Media-Profile, LinkedIn-Einträge, Unternehmenswebsites, öffentliche Behördenverzeichnisse. Je mehr Kontextinformationen vorliegen, desto überzeugender wirkt die spätere Nachricht.

Phase 2 – Köder (Lure):
Das Opfer erhält eine SMS oder eine Nachricht über einen gängigen Messenger (z. B. Signal, Telegram, WhatsApp), die scheinbar von einem offiziellen Support-Team stammt. Die Nachrichten enthalten Formulierungen wie: „Ihr Konto wurde aus Sicherheitsgründen vorübergehend eingeschränkt – bestätigen Sie jetzt Ihre Identität." Oft wird Zeitdruck suggeriert.

Phase 3 – Credential Harvesting:
Der enthaltene Link führt auf eine täuschend echte Nachahmerseite (Phishing-Seite), die das Login-Interface des echten Dienstes imitiert. Eingegebene Zugangsdaten werden direkt an die Angreifer übertragen – oft in Echtzeit, um sofortige Übernahme zu ermöglichen, bevor das Opfer Verdacht schöpft.

Phase 4 – Kontoübernahme und Lateral Movement:
Mit den gestohlenen Zugangsdaten übernehmen die Angreifer die Messenger-Konten und nutzen diese für weitere Angriffe: Sie lesen laufende Konversationen mit, schleusen sich in Vertrauensnetzwerke ein und nutzen die kompromittierten Konten als Ausgangsbasis für weitere Phishing-Angriffe auf Kontakte des Opfers.

Warum sind Messenger besonders gefährdet?

Messenger-Dienste gelten häufig als informeller Kommunikationskanal, der weniger streng überwacht wird als die offizielle E-Mail-Kommunikation. Mitarbeiterinnen und Mitarbeiter sind in diesem Kontext psychologisch weniger auf Bedrohungen vorbereitet. Zudem fehlen in vielen Unternehmen klare Richtlinien, welche Messenger-Dienste für welche Kommunikation genutzt werden dürfen.


3. NIS2-Relevanz – Welche Pflichten ergeben sich für deutsche Unternehmen?

Wer fällt unter NIS2?

Die EU-Richtlinie NIS2 (Network and Information Security Directive 2), in Deutschland durch das BSI-Gesetz (BSIG) in nationales Recht umgesetzt, betrifft eine erheblich größere Zahl von Unternehmen als die Vorgängerrichtlinie. Betroffene Sektoren umfassen unter anderem:

  • Energie, Wasser, Verkehr, Gesundheit (kritische Infrastruktur)
  • Digitale Infrastruktur und IT-Dienstleister
  • Lebensmittelproduktion, Chemie, Maschinenbau (ab bestimmten Schwellenwerten)
  • Öffentliche Verwaltung

Unternehmen mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in einem der betroffenen Sektoren sind in der Regel als „wichtige" oder „wesentliche" Einrichtungen eingestuft.

Welche konkreten NIS2-Pflichten sind betroffen?

Der beschriebene Angriff berührt gleich mehrere Kernpflichten der NIS2-Richtlinie:

NIS2-Pflicht Relevanz im Kontext des Angriffs
Risikomanagement (Art. 21) Messenger-Kommunikation muss als potenzieller Angriffsvektor bewertet und adressiert werden
Meldepflichten (Art. 23) Kompromittierte Konten mit Zugang zu sensiblen Systemen sind meldepflichtige Sicherheitsvorfälle (24h-Erstmeldung an BSI)
Sicherheit der Lieferkette Wenn externe Dienstleister oder Partner betroffen sind, entstehen Meldepflichten
Schulungen und Awareness Nachweisliche Sensibilisierungsmaßnahmen für Smishing/Phishing sind explizit gefordert
Authentifizierungsmaßnahmen MFA (Multi-Faktor-Authentifizierung) ist als Mindestmaßnahme zu implementieren

Das BSI empfiehlt in seinen aktuellen Lageberichten ausdrücklich, Social-Engineering-Angriffe über mobile Kanäle in die Risikoanalyse einzubeziehen. Unternehmen, die dies versäumen, riskieren nicht nur Datenverluste, sondern auch empfindliche Bußgelder – bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen.


4. Praktische Schutzmaßnahmen – Was Sie jetzt tun können

Maßnahme 1: Multi-Faktor-Authentifizierung flächendeckend einführen

MFA ist die wirksamste Einzelmaßnahme gegen Credential Harvesting. Aktivieren Sie MFA für alle geschäftlichen Konten – E-Mail, Messenger, Cloud-Dienste, VPN und interne Portale. Bevorzugen Sie dabei App-basierte Authenticator-Lösungen (z. B. Microsoft Authenticator, Google Authenticator) gegenüber SMS-basierten Codes, da auch SMS-OTPs abgefangen werden können (SIM-Swapping).

Maßnahme 2: Klare Messenger-Richtlinie einführen

Definieren Sie verbindlich, welche Messenger für welche Kommunikation genutzt werden dürfen. Empfehlung:
- Interne, sensible Kommunikation: Ausschließlich über geprüfte, unternehmenskontrollierte Lösungen (z. B. Element/Matrix, Microsoft Teams mit entsprechender Konfiguration)
- Externe Kommunikation: Festgelegte, dokumentierte Dienste – keine unkontrollierten Consumer-Apps
- Behördenkommunikation: Gemäß BSI-Vorgaben, ggf. über sichere Behördenkanäle

Maßnahme 3: Regelmäßige Phishing- und Smishing-Simulationen

Theoretische Schulungen reichen nicht aus. Führen Sie kontrollierte Smishing-Simulationen durch, die echte Angriffsmuster nachbilden. Mitarbeiterinnen und Mitarbeiter, die auf simulierte Angriffe hereinfallen, erhalten unmittelbar gezieltes Feedback – das erhöht die Lernwirksamkeit nachweislich. Tools für solche Simulationen sind von verschiedenen Anbietern verfügbar und lassen sich in bestehende Security-Awareness-Programme integrieren.

Maßnahme 4: Verifizierungsprotokoll für unerwartete Kontaktaufnahmen

Etablieren Sie eine einfache, aber wirkungsvolle Unternehmensregel: Kein offizieller Support kontaktiert Mitarbeiter unaufgefordert per SMS oder Messenger und fordert zur Eingabe von Zugangsdaten auf. Jede unerwartete Kontaktaufnahme, die Zugangsdaten oder persönliche Informationen anfordert, ist zunächst als verdächtig einzustufen und über einen unabhängigen Kanal zu verifizieren – zum Beispiel durch direkten Rückruf bei der Behörde oder dem Unternehmen.

Maßnahme 5: Incident-Response-Plan für kompromittierte Konten

Was passiert, wenn ein Messenger-Konto eines Mitarbeiters kompromittiert wird? Viele Unternehmen haben darauf keine klare Antwort. Definieren Sie:
- Wer ist sofort zu informieren (IT-Security, Datenschutzbeauftragter, Geschäftsleitung)?
- Welche Systeme müssen umgehend gesperrt oder zurückgesetzt werden?
- Wann und wie erfolgt die Meldung an das BSI (bei NIS2-pflichtigen Unternehmen: innerhalb von 24 Stunden)?
- Wie werden betroffene Kontakte des kompromittierten Kontos informiert?

Maßnahme 6 (Bonus): Threat Intelligence aktiv nutzen

Abonnieren Sie kostenfreie Bedrohungsinformationen des BSI (z. B. BSI-Newsletter, CERT-Bund-Warnmeldungen) und europäischer Partner (ENISA Threat Landscape). Diese Informationen helfen dabei, aktuelle Angriffskampagnen frühzeitig zu erkennen und die eigenen Schutzmaßnahmen proaktiv anzupassen.


5. Fazit – Staatliche Angreifer setzen Standards, die alle betreffen

Die vom SSU und FBI aufgedeckte russische Geheimdienstkampagne ist ein eindrücklicher Beleg dafür, wie wirkungsvoll einfache, niedrigschwellige Angriffsmethoden sein können – auch gegen gut geschützte Ziele. Smishing und Social Engineering über Messenger sind keine Zukunftsbedrohung, sondern tägliche Realität.

Für deutsche Unternehmen gilt: Die unter NIS2 geforderten Sicherheitsmaßnahmen sind keine bürokratische Last, sondern eine pragmatische Antwort auf reale Bedrohungen. Wer MFA einführt, Mitarbeiter schult und klare Kommunikationsrichtlinien definiert, schützt nicht nur Compliance-Anforderungen – er schützt das Unternehmen selbst.


💡 Praktischer Tipp für NIS2-Compliance

Die Umsetzung von NIS2-Anforderungen ist komplex – besonders wenn es darum geht, Risikobewertungen zu dokumentieren, Meldepflichten zu verwalten und Maßnahmen nachzuweisen. Spezialisierte NIS2-Compliance-Software kann dabei helfen, Pflichten strukturiert abzubilden, Vorfälle fristgerecht zu melden und den Überblick über den eigenen Sicherheitsstatus zu behalten. Lösungen wie integrierte GRC-Plattformen (Governance, Risk, Compliance) ermöglichen es IT-Verantwortlichen, Anforderungen aus NIS2, DSGVO und ISO 27001 zentral zu verwalten – und im Ernstfall schnell und dokumentiert handeln zu können.