Aktuell warnen FBI und CISA vor gefälschten Support-Nachrichten bei Signal und anderen Messengern. Die Nachrichten sehen aus wie Sicherheitsmeldungen. Tatsächlich sollen Nutzer dazu gebracht werden, geheime Daten weiterzugeben.
Die wichtigste Einordnung: Signal selbst wurde laut den Behörden nicht gehackt. Es geht um Phishing. Angreifer versuchen, einzelne Nutzer auszutricksen und an Codes, PINs oder Backup-Wiederherstellungsschlüssel zu kommen.
Russische Akteure werden genannt
FBI und CISA schreiben, dass die beobachtete Kampagne russischen Geheimdienst-Akteuren zugeschrieben wird. In einem ergänzenden Bericht werden auch die Gruppenbezeichnungen UNC5792 und UNC4221 genannt. Diese sollen mit russischen Nachrichtendienststrukturen beziehungsweise militärnahen Cyberakteuren verbunden sein.
Das bedeutet aber nicht, dass jedes Signal-Konto automatisch Ziel dieser konkreten Kampagne ist. Die Behörden beschreiben vor allem Angriffe auf Personen mit besonderem nachrichtendienstlichem Interesse.
Dazu zählen Regierungsmitarbeiter, Militär, politische Akteure, Journalistinnen und Journalisten sowie Schlüsselpersonen im Umfeld der Ukraine.
Betrifft das alle Signal-Nutzer?
Nicht alle im gleichen Maß. Die aktuelle Warnung beschreibt vor allem gezielte Angriffe auf Menschen, die für Geheimdienste interessant sein können.
Für normale Nutzer bedeutet das nicht, dass jedes Signal-Konto akut Ziel dieser Kampagne ist. Die Masche ist aber allgemein gefährlich. Gefälschte Support-Nachrichten können auch außerhalb solcher Zielgruppen auftauchen oder von anderen Betrügern kopiert werden.
Deshalb gilt für alle: Keine Codes, keine PINs und keine Backup-Keys in einen Chat schreiben.
Was ist Signal-Phishing?
Signal-Phishing bedeutet: Angreifer tun so, als wären sie der Signal-Support oder ein Sicherheitsteam. Sie behaupten zum Beispiel, das Konto sei gefährdet, müsse überprüft oder ein Backup müsse wiederhergestellt werden.
Dann kommt die eigentliche Falle. Nutzer sollen einen Verifizierungscode, eine PIN oder einen Backup-Key kopieren und in den Chat schicken.
Ein echter Support fragt solche Daten nicht per Chat ab.
Was ist ein Backup-Key?
Ein Backup-Key ist ein Wiederherstellungsschlüssel. Er kann dabei helfen, gesicherte Nachrichten wiederherzustellen.
Genau deshalb ist dieser Schlüssel sensibel. Wer ihn an Fremde weitergibt, kann Angreifern unter Umständen Zugriff auf gespeicherte Nachrichten, private Chats und Gruppen ermöglichen.
Ein Backup-Key ist wie ein Schlüssel zu gesicherten Inhalten. Er gehört nicht in fremde Hände.
„Signal is here“ ist nicht Signal
In der Warnung wird ein Beispiel für eine solche Phishing-Nachricht gezeigt. Sie beginnt mit „Signal is here“ und klingt wie eine offizielle Mitteilung des Messengers. Genau das soll sie auch: echt wirken.
Die Nachricht behauptet, es gebe häufiger Angriffe auf Messenger-Konten. Außerdem ist von einer angeblichen Untersuchung mit US-Behörden und europäischen Partnern die Rede. Danach wird behauptet, Signal ändere seine Nutzungsbedingungen und führe eine verpflichtende Zwei-Faktor-Verifizierung ein.
Dann folgt der entscheidende Teil: Nutzer sollen in den Einstellungen ihren Signal-Backup-Key anzeigen lassen, kopieren und weiterverwenden. In einer weiteren Beispielnachricht sollen sie den Recovery Key sogar direkt in den Chat einfügen.
Das ist nicht harmlos. Genau diese Aufforderung ist der Betrug. Kein echter Signal-Support verlangt, dass Nutzer einen Backup-Key, eine PIN oder einen Verifizierungscode in einen Chat schreiben.
Früher ging es auch um verknüpfte Geräte
Der neue Text beschreibt zusätzlich eine ältere Masche: Angreifer sollen versucht haben, fremde Geräte mit Signal-Konten zu verknüpfen. Dafür wurden etwa gefälschte Einladungen oder QR-Codes genutzt.
Das Ziel war ähnlich: Nicht Signal selbst knacken, sondern Zugriff auf ein einzelnes Konto bekommen. Deshalb sollten Nutzer in Signal regelmäßig prüfen, welche Geräte mit dem Konto verbunden sind.
Wer unter „Verknüpfte Geräte“ ein unbekanntes Gerät sieht, sollte es sofort entfernen.
Signal wurde nicht geknackt
Die Warnung bedeutet nicht, dass Signal unsicher oder die Verschlüsselung gebrochen ist. Der Angriff setzt nicht bei der Verschlüsselung an, sondern beim Menschen.
Die Angreifer müssen die Verschlüsselung nicht brechen, wenn Nutzer ihnen freiwillig Codes, PINs oder Backup-Schlüssel geben. Genau deshalb ist diese Masche gefährlich.
So erkennt man die Masche
Typische Nachrichten behaupten, es gebe verdächtige Aktivitäten, ein Sicherheitsproblem oder drohenden Datenverlust. Manchmal wird auch behauptet, ein Backup müsse neu verbunden oder das Konto bestätigt werden.
Danach sollen Nutzer etwas tun: einen Code senden, eine PIN nennen, einen Link öffnen oder den Backup-Key in den Chat kopieren.
Genau daran erkennt man den Betrug. Kein echter Messenger-Support braucht solche Angaben in einer Chatnachricht.
Was soll man tun?
Wer so eine Nachricht bekommt, sollte nicht antworten. Keine Links öffnen. Keine Codes schicken. Keine PIN senden. Keinen Backup-Key kopieren.
Die Nachricht sollte gemeldet und blockiert werden. Zusätzlich lohnt sich ein Blick in Signal unter „Verknüpfte Geräte“. Dort sollten nur Geräte stehen, die man selbst kennt und nutzt.
Bei beruflich genutzten Geräten oder sensiblen Tätigkeiten sollte zusätzlich die eigene IT-Sicherheitsstelle informiert werden.
Was tun, wenn der Key schon geteilt wurde?
Dann sollte sofort ein neuer Backup-Key in den Einstellungen erzeugt werden. Dadurch wird der alte Schlüssel für künftige Backups unbrauchbar.
Wichtig ist aber: Das macht nicht rückgängig, was bereits passiert sein könnte. Wenn Angreifer vorher schon Zugriff auf ein Backup hatten, können sie diese Daten möglicherweise bereits besitzen.
Wer betroffen ist, sollte außerdem alle verknüpften Geräte prüfen, unbekannte Geräte entfernen und die eigene Signal-PIN beziehungsweise Registrierungssperre kontrollieren.
Warum diese Warnung wichtig ist
Die Nachrichten wirken glaubwürdig, weil sie wie echte Sicherheitswarnungen aussehen. Sie setzen Nutzer unter Druck und behaupten, man müsse schnell handeln.
Genau das ist typisch für Phishing. Erst kommt die Angst. Dann kommt die Aufforderung. Dann soll der Nutzer selbst den Zugang öffnen.
Der wichtigste Merksatz lautet: Signal fragt dich nicht per Chat nach Codes, PINs oder Backup-Keys. Wer das verlangt, ist nicht der Support.
FAQ zur Signal-Phishing-Warnung
Ist „Signal is here“ eine echte Signal-Nachricht?
Nein. „Signal is here“ ist in diesem Zusammenhang ein Beispiel für eine gefälschte Phishing-Nachricht. Die Angreifer geben sich darin als Signal-Support aus.
Betrifft die Warnung alle Signal-Nutzer?
Nicht alle im gleichen Maß. Die Warnung beschreibt vor allem gezielte Angriffe auf Regierungsmitarbeiter, Militär, politische Akteure, Journalisten und Personen im Umfeld der Ukraine. Die Schutzregel gilt aber für alle: Keine Codes, PINs oder Backup-Keys weitergeben.
Was hat Russland damit zu tun?
Die Kampagne wird russischen Geheimdienst-Akteuren zugeschrieben. Für Nutzer ist aber vor allem wichtig, wie die Masche funktioniert: Gefälschte Support-Nachrichten sollen geheime Zugangsdaten abgreifen.
Wurde Signal gehackt?
Nein. Es geht nicht um einen Hack der Signal-Technik. Die Angreifer versuchen, einzelne Nutzer durch gefälschte Nachrichten zur Herausgabe sensibler Daten zu bringen.
Was ist ein Backup-Key bei Signal?
Ein Backup-Key ist ein Wiederherstellungsschlüssel für gesicherte Nachrichten. Er ist geheim und darf nicht an andere Personen weitergegeben werden.
Was sind verknüpfte Geräte bei Signal?
Verknüpfte Geräte sind zusätzliche Geräte, die Zugriff auf ein Signal-Konto haben können, etwa ein Desktop-Client. Nutzer sollten dort regelmäßig prüfen, ob nur bekannte Geräte verbunden sind.
Was mache ich bei so einer Nachricht?
Nicht antworten, nichts anklicken und keine Daten senden. Die Nachricht melden, blockieren, verknüpfte Geräte prüfen und im Zweifel die offiziellen Hilfeseiten oder die eigene IT kontaktieren.
FBI Internet Crime Complaint Center (IC3)
26. Juni 2026
Cybersecurity and Infrastructure Security Agency (CISA)
20. Juni 2026
Hinweis: Stand zum Veröffentlichungsdatum.
Verwendete Bilder, Screenshots und Medien dienen ausschließlich der sachlichen Auseinandersetzung im Sinne des Zitatrechts (§ 51 UrhG).
Teile dieses Beitrags können KI-gestützt erstellt und redaktionell geprüft worden sein.
(Mehr zur Arbeitsweise)
