Signal-Phishing: Konto in 3 Schritten sichern

Wer am Mittwoch auf seinem Handy eine Nachricht mit einem QR-Code oder einem Link zur "Geraeteverknuepfung" fuer Signal bekommt, sollte ihn auf keinen Fall scannen. Genau dieser Trick hat laut Tagesschau-Bericht mehrere Bundestagsabgeordnete getroffen. Wer klickt, sieht nichts, merkt nichts, und gibt trotzdem den vollen Zugriff auf jede eingehende Nachricht frei: Bank-TANs, BAMF-Post, Familienchats.

Die Tagesschau berichtete am 23. April, dass Signal-Konten mehrerer Abgeordneter des Deutschen Bundestages per Phishing uebernommen wurden. Laut demselben Bericht soll auch das Konto von Bundestagspraesidentin Julia Kloeckner betroffen sein. Eine offizielle Bestaetigung lag bis Redaktionsschluss nicht vor. Die Methode jedoch ist bekannt und wird aktuell auch gegen Privatpersonen eingesetzt.

Wichtig vorab: Weder Signal noch WhatsApp sind geknackt. Die Ende-zu-Ende-Verschluesselung funktioniert. Der Angriff zielt auf eine legitime Funktion: das Verknuepfen eines zweiten Geraets ueber einen QR-Code. Wer diese Funktion einmal richtig einstellt, ist gegen den gesamten Angriffstyp geschuetzt. Das dauert drei Minuten.

Schritt 1: Verknuepfte Geraete pruefen

Signal oeffnen, dann auf Einstellungen, anschliessend auf Verknuepfte Geraete. Dort erscheint jedes Geraet, das jemals mit dem eigenen Konto verbunden wurde, mit Datum und letzter Aktivitaet. Steht dort ein Geraet, das man nicht kennt, es antippen und entfernen. Die Sitzung des Angreifers endet sofort.

Bei WhatsApp ist der Weg identisch: Einstellungen, dann Verknuepfte Geraete. Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) empfiehlt, diese Liste regelmaessig zu pruefen, nicht nur nach einer Schlagzeile.

Schritt 2: PIN aktivieren

Der zweite Schritt verhindert, dass jemand die eigene Rufnummer auf einem anderen Geraet neu registrieren kann, selbst wenn er kurzzeitig Zugriff auf SMS-Codes haette. In Signal fuehrt der Weg ueber Einstellungen, Konto, Signal-PIN, dann Registrierungssperre aktivieren. Eine PIN waehlen, die man sich merken kann, aber niemand erraten wuerde.

Bei WhatsApp heisst das Gegenstueck Zwei-Schritt-Verifizierung. Einstellungen, Konto, Zwei-Schritt-Verifizierung. Eine sechsstellige PIN eingeben. WhatsApp fragt diese PIN gelegentlich ab, um die Identitaet zu bestaetigen, und verhindert damit die Uebernahme der Rufnummer auf einem fremden Geraet.

Schritt 3: Eine Regel, die keine Ausnahme hat

Einen QR-Code zur Geraeteverknuepfung, der per Nachricht geschickt wird, niemals scannen. Diese Funktion ist ausschliesslich fuer eigene Geraete gedacht. Man oeffnet Signal Desktop auf dem eigenen Laptop, sieht den Code dort auf dem Bildschirm, und scannt ihn mit dem eigenen Handy. Es gibt keinen legitimen Grund, warum irgendjemand einem einen solchen Code schicken sollte, auch nicht ein Freund, auch nicht ein angeblicher Support-Mitarbeiter.

Wenn das Konto schon kompromittiert ist

Wer bei Schritt 1 ein unbekanntes Geraet findet, sollte mehr tun als es nur zu entfernen. Signal komplett neu registrieren: App deinstallieren, neu installieren, Rufnummer erneut bestaetigen. Dadurch werden alle zuvor verknuepften Geraete, inklusive dem des Angreifers, automatisch abgemeldet. Unmittelbar danach die Signal-PIN aktivieren.

Bei WhatsApp loggt eine Neuregistrierung auf dem eigenen Geraet alle anderen Sitzungen aus. Danach Bankkonten, Mail-Postfach und Behoerdenportale wie ELSTER pruefen und Passwoerter aendern, die waehrend des Zeitraums der Uebernahme per Nachricht verschickt worden sein koennten.

Warum diese drei Schritte reichen

Das BSI und die offizielle Support-Dokumentation von Signal stimmen in diesen drei Punkten ueberein: verknuepfte Geraete pruefen, PIN aktivieren, keine Fremd-QR-Codes scannen. Die Verschluesselung der Apps bleibt intakt. Angegriffen wird die Vertrauensebene davor, die Einstellung, die man einmal setzt und dann fast nie wieder anschaut. Genau dort schliesst dieser Check die Luecke.

Drei Minuten jetzt verhindern eine Luecke, die man sonst wochenlang nicht bemerkt.