Der Inlandsgeheimdienst „Bundesamt für Verfassungsschutz“ (BfV) und die für IT-Sicherheit zuständige Bundesbehörde „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) warnten erst im Februar 2026 in einer gemeinsamen Pressemitteilung vor Social Engineering-Angriffen über den Messengerdienst Signal, obwohl bereits seit September 2025 ein großangelegter Social Engineering-Angriff läuft:
„Dem Bundesamt für Verfassungsschutz (BfV) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen aktuelle Erkenntnisse vor, denen zufolge ein wahrscheinlich staatlich gesteuerter Cyberakteur Phishing-Angriffe über Messengerdienste wie ,Signal‘ durchführt. Im Fokus stehen hochrangige Ziele aus Politik, Militär und Diplomatie sowie Investigativjournalistinnen und -journalisten in Deutschland und Europa. Der unberechtigte Zugriff auf Messengerkonten ermöglicht nicht nur die Einsicht in vertrauliche Einzelkommunikation, sondern potentiell die Kompromittierung ganzer Netzwerke.“
Die Warnung wurde Ende April erneuert, niederländische Geheimdienste vermuten Russland als Urheber der Kampagne. Anlass für die erneute Warnung dürfte einer der erfolgreichsten bekannten IT-Angriffe auf deutsche PolitikerInnen gewesen sein. Betroffen sind alle Fraktionen – bis auf die russlandfreundliche AfD.
Konkret wurde die Übernahme des Signal-Kontos von CDU-Bundestagspräsidentin Julia Klöckner bekannt, die auch Mitglied im CDU-Präsidium ist. Weitere Opfer sind CDU-Bildungsministerin Karin Prien und SPD-Bauministerin Verena Hubertz.
Die Angreifer nennen sich „Signal Support“ und fordern ihre Opfer in einem privaten Chat auf, die PIN ihrer Registrierungssperre einzugeben. Diese PIN verhindert gewöhnlicherweise für eine Woche, dass ein Signal-Account für eine Nummer reregistriert werden kann. Wenn diese PIN allerdings in einem Chat den Angreifern frei Haus geliefert wird, dann können nach einer erneuten Registrierung der Nummer alte Nachrichten gelesen und neue geschrieben werden. Das Handelsblatt schreibt:
„Es gibt Hunderte weitere Betroffene. Ihre Chats konnten seit dem Vorfall mitgelesen werden, und auch alles, was sie in den 45 Tagen zuvor geschrieben und gesendet hatten.“