Datum04.05.2026 07:33

Quellewww.zeit.de

TLDREin möglicher Signal-Verbot im Bundestag wegen russischer Spionage wäre kontraproduktiv. Angreifer nutzten Social Engineering, nicht Signal-Schwachstellen. Statt eines Verbots, das die Kommunikation auf unsichere Privatgeräte verlagern würde, sind schnelle Warnungen von Sicherheitsbehörden und verpflichtende Cybersicherheits-Schulungen für Politiker und Verwaltung nötig, um die tatsächliche Sicherheit zu erhöhen.

InhaltNachdem mutmaßlich russische Spione interne Chats infiltriert haben, will der Bundestag den Messenger Signal verbieten. Doch das wäre kontraproduktiv. Was wirklich hilft. Eine bemerkenswerte Spionagekampagne läuft seit Wochen gegen deutsche Spitzenpolitiker:innen und andere Personen des öffentlichen Lebens. Sie funktioniert über den Messengerdienst Signal. Russische Stellen, der US-Regierung zufolge konkret russische Geheimdienste, sollen für die Operation verantwortlich sein. Sie sollen sich Zugang zu den Nachrichten von Bundestagspräsidentin Julia Klöckner, Bauministerin Verena Hubertz und Familienministerin Karin Prien sowie dem ehemaligen Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, verschafft haben. Daraufhin forderte Bundestagsvizepräsidentin Andrea Lindholz öffentlich, "über ein Signal-Verbot auf Dienstgeräten von Abgeordneten und Bundestagsmitarbeitern" nachzudenken. Am Dienstag nun soll der Bundestag darüber beraten. Ein solcher Schritt würde das Problem jedoch nicht lösen – er wäre sogar kontraproduktiv. Stattdessen braucht es schnellere Warnungen durch Sicherheitsbehörden und Cybersicherheitsmaßnahmen für Politik und Verwaltung, etwa verpflichtende Schulungen für Spitzenpersonal. Um zu verstehen, warum ein Wechsel der Messengerplattform gegen diese Bedrohung wenig helfen würde, ist ein Blick auf die Vorgehensweise der Angreifer:innen hilfreich. Voraussetzung für den Angriff war, dass die Angreifenden die Telefonnummer oder den Signal-Benutzernamen ihrer Ziele kannten. Dann gaben sie sich in einer Nachricht als Signal-Support aus und forderten die Nutzer:innen auf, die eigene Signal-PIN – ein Sicherheitskennwort – einzugeben, einen Link zu öffnen oder einen QR-Code zu scannen. Wer darauf reagierte, sicherte aber nicht sein Konto ab, sondern gewährte den Angreifenden Zugang zu aktuellen und bis zu 45 Tage alten Gesprächsverläufen. Jenseits der deutschen Politik zählen zu den bisher bekannt gewordenen Zielen der Spionageoperation auch Angehörige der US-Regierung, niederländische und US-amerikanische Militärs, deutsche und britische Abgeordnete sowie Journalist:innen und Vertreter:innen der Zivilgesellschaft. In der Fachsprache nennt man das "Spear-Phishing": Die Angreifende beschafften sich gezielt Informationen von Personen, die sie als hochwertige Ziele erachteten. Die mutmaßlich russischen Dienste haben für ihren Spionagecoup den Messengerdienst Signal also nicht "gehackt". Vielmehr zählt Signal zu den sichersten Messengern weltweit. Stattdessen haben sie Funktionalitäten ausgenutzt, die viele Messenger aus gutem Grund aufweisen: Wenn Nutzer:innen das Mobiltelefon wechseln, können sie mit dem Kennwort das Signal-Konto auf das neue Gerät übertragen.  Es brauchte dafür keine technischen Fertigkeiten, sondern die Angreifenden mussten Menschen geschickt dazu bringen, auf eine Täuschung hereinzufallen. Die als "social engineering" bezeichnete Vorgehensweise ist vermutlich so alt wie das Spionagehandwerk selbst. Russische Dienste nutzten eine ähnliche Technik schon vor Jahren für Angriffe auf Zielpersonen in Armenien, Belarus, Moldau und der Ukraine. Die Methode ähnelt dabei etwa einer Betrugsmasche von Kriminellen, die sich per Chat als Arzt eines verletzten Verwandten ausgeben. Für die Behandlung sollen die Angeschriebenen dringend und sofort Geld auf ein Bankkonto überweisen. Auch hier werden weder der Chat noch die Bank manipuliert – vielmehr nutzen Kriminelle hier Vertrauensbeziehungen aus. Folgerichtig wird als Reaktion auf solche Operationen auch nicht diskutiert, die Bank zu wechseln. Es würde schließlich nichts bringen. Dazu kommt: Die Öffentlichkeit und gerade Spitzenpolitiker:innen konnten von genau dieser Spionageoperation wissen. So war der Verfassungsschutz schon Ende Januar an die Bundestagsverwaltung herangetreten. Anfang Februar gaben der Verfassungsschutz und Deutschlands nationale Cybersicherheitsbehörde BSI eine öffentliche Warnung heraus. Die Bundesanwaltschaft ermittelt seit Mitte Februar in dem Fall. US-Fachmedien berichteten schon im Oktober 2025, und die britische Parlamentsverwaltung warnte ihre Angehörigen bereits im Dezember 2025. Nachdem Bundestagsvizepräsidentin Andrea Lindholz gefordert hatte, der Bundestagsverwaltung die Nutzung von Signal zu verbieten, wird am 5. Mai die Kommission für Informationstechnologien und Digitalisierung des Ältestenrats des Bundestags über das Thema diskutieren. Sollte sich das Gremium für ein Verbot aussprechen und der Ältestenrat des Bundestags zustimmen, könnte Signal auf Dienstgeräten des Deutschen Bundestags verboten werden. Eine solche Entscheidung hätte vermutlich Signalwirkung für die gesamte Bundesregierung und -verwaltung. Leider handelt es sich dabei um bedenkliche Symbolpolitik, die die Cybersicherheit deutscher Spitzenpolitiker:innen nicht verbessern würde – im Gegenteil. Ein Umstieg auf einen anderen Messenger wie Wire würde das Grundproblem nur verlagern, nicht beseitigen. Erstens würde die Vorgehensweise mit anderen Messengern genauso funktionieren. Und zweitens werden viele Kontakte von Politiker:innen weiterhin Signal nutzen, weshalb auch Politiker:innen dies erwartbar weiter tun werden. Wenn das auf ihren Dienstgeräten nicht möglich ist, würde sich dienstliche Kommunikation auf (üblicherweise unsicherere) Privatgeräte verlagern, die wiederum ein leichtes Ziel für Spionage böten. Damit wäre mehr Sicherheit verloren als gewonnen. Was ist also zu tun? Zunächst sollten Spitzenpolitiker:innen gezielt für die Bedrohungen sensibilisiert werden. Warnungen sollten zeitnah erfolgen und nicht erst Monate, nachdem die Presse bereits über eine laufende russische Spionagekampagne gegen andere westliche Staaten berichtet hat. Doch es sollte nicht bei freiwilligen Informationsangeboten bleiben. In der regulierten Wirtschaft sind Schulungen und Sensibilisierungsmaßnahmen im Bereich der Cybersicherheit inzwischen gesetzlich vorgeschrieben. Politische Institutionen, die öffentliche Verwaltung und politische Parteien können sicherlich als "kritische Infrastruktur" bezeichnet werden, doch sie werden nicht als solche reguliert. Stattdessen gelten für sie deutlich laxere Vorgaben: Es gibt keine Mindeststandards zur IT-Sicherheit für politische Parteien. Kommunen wurden sogar von der nationalen Umsetzung der europäischen NIS-2-Richtlinie, die ein hohes Cybersicherheitsniveau in der EU definiert, ausgenommen. Wenn Politiker:innen also dafür sorgen möchten, dass ähnliche Operationen (oder die aktuell noch andauernde russische Kampagne) in Zukunft weniger Schaden anrichten, sollten sie dafür sorgen, ihre eigene Sicherheitskompetenz zu erhöhen. Verpflichtende Schulungen für Abgeordnete und weitere "politische Hochwertziele" wären daher sinnvoll. Ein Signal-Verbot hingegen wäre ein Bauernopfer, das die Cybersicherheitslage in Deutschland weiter verschärfen würde. Alexandra Paulus ist Wissenschaftlerin für Cybersicherheit und kritische Technologien bei der Stiftung Wissenschaft und Politik (SWP).  Sven Herpig ist Lead für Cybersecurity & Emerging Threats beim europäischen Technologie-Thinktank Interface.  Stefan Hessel ist Rechtsanwalt und Partner sowie Head of Digital Business bei der Kanzlei Reuschlaw.  Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Hochschule Bremen sowie Gründer und Research Director des Cyberintelligence Institute (CII). Anmerkung der Redaktion: Die Gastautoren verwenden bei bestimmten Begriffen eine Schreibweise mit Doppelpunkt, die Raum für verschiedene Identitäten lässt (zum Beispiel nicht binär oder transgender). Als Redaktion bilden wir diese Schreibweise ab.