Russische Dienste haben über Wochen die Signal-Konten deutscher Spitzenpolitikerinnen und -politiker ausspioniert. Die Reaktion aus dem Bundestag: Signal verbieten. Was diese Forderung über die digitale Kompetenz an der Spitze unseres Parlaments verrät.
Was tatsächlich geschehen ist
Es war kein Hack. Signal wurde nicht geknackt, keine Sicherheitslücke ausgenutzt, kein Verschlüsselungsprotokoll gebrochen. Der Messenger gehört nach wie vor zu den sichersten weltweit – auch deshalb wird er im Verteidigungsministerium, im Innenministerium und im Kanzleramt verwendet.
Die Angreifer haben etwas viel Älteres benutzt: Täuschung. Sie gaben sich in Nachrichten als „Signal-Support“ aus und baten ihre Ziele, eine PIN einzugeben, einen Link zu öffnen oder einen QR-Code zu scannen. Wer reagierte, übertrug seinen eigenen Account auf das Gerät der Angreifer – samt aktueller Chats und bis zu 45 Tage alter Verläufe. In der Fachsprache heißt das Spear-Phishing. Im Alltag heißt es: Enkeltrick für Erwachsene mit Smartphone.
Auf den Leim gegangen sind nach bisherigem Stand unter anderem Bundestagspräsidentin Julia Klöckner, Bauministerin Verena Hubertz, Familienministerin Karin Prien und der ehemalige Vizepräsident des Bundesnachrichtendienstes Arndt Freytag von Loringhoven.
Die Warnungen lagen vor. Monatelang.
Es ist nicht so, dass diese Operation überraschend gekommen wäre:
- Im Oktober 2025 berichteten US-Fachmedien.
- Im Dezember 2025 warnte das britische Parlament seine Angehörigen.
- Ende Januar 2026 trat der Verfassungsschutz an die Bundestagsverwaltung heran.
- Anfang Februar 2026 warnten Verfassungsschutz und BSI öffentlich.
- Seit Mitte Februar ermittelt die Bundesanwaltschaft.
Wer im Februar in einer als „Signal-Support“ getarnten Nachricht seine PIN eingibt, hat entweder die Warnungen seiner eigenen Sicherheitsbehörden nicht gelesen, nicht verstanden oder nicht ernst genommen. Eine vierte Möglichkeit gibt es nicht.
Die Reaktion: das Werkzeug soll weg
Bundestagsvizepräsidentin Andrea Lindholz (CSU) forderte daraufhin öffentlich, „über ein Signal-Verbot auf Dienstgeräten von Abgeordneten und Bundestagsmitarbeitern nachzudenken“. Stattdessen solle der deutsche Dienst Wire genutzt werden. Am 5. Mai berät die Kommission für Informationstechnologien des Ältestenrats darüber.
Bemerkenswert ist die Logik. Wenn Kriminelle sich am Telefon als Polizist ausgeben und Senioren ihre Ersparnisse abnehmen, fordert niemand ein Verbot des Telefons. Wenn jemand auf eine gefälschte Bank-Mail klickt, fordert niemand, die Bank zu wechseln. Bei Signal funktioniert diese Logik plötzlich – nämlich genau dann, wenn die Hereingefallenen selbst über das Verbot mitentscheiden.
Was das Verbot tatsächlich bewirken würde
Drei Dinge, alle absehbar:
Erstens: Die Masche funktioniert auf Wire genauso. Social Engineering ist plattformunabhängig. Wer auf „Signal-Support“ hereinfällt, fällt auch auf „Wire-Support“ herein.
Zweitens: Die Kontakte der Politiker werden weiter Signal nutzen. Journalistinnen, Fachleute, ausländische Gesprächspartner, die eigene Partei. Also werden auch die Politiker Signal weiter nutzen – nur eben auf privaten Geräten, ohne Schutz durch die Bundestags-IT, mit weniger Updates, ohne MDM, oft mit fragwürdigen Apps daneben.
Drittens: Das eigentliche Problem – die fehlende Fähigkeit von Spitzenpersonal, eine simple Phishing-Nachricht als solche zu erkennen – bleibt vollständig unangetastet.
Unterm Strich: weniger Sicherheit, nicht mehr.
Was sich hier offenbart
Für deutsche Parteien gibt es keine verbindlichen IT-Sicherheits-Mindeststandards. Kommunen wurden von der nationalen Umsetzung der europäischen NIS-2-Richtlinie ausgenommen. Verpflichtende Cybersicherheits-Schulungen für Abgeordnete: Fehlanzeige. In der regulierten Wirtschaft sind solche Schulungen längst Pflicht – im Bundestag, der über die Sicherheit anderer entscheidet, nicht.
Statt diese Lücken zu schließen, plant man ein Verbot. Es ist sichtbar, schnell zu beschließen und umschifft elegant die unbequeme Frage, warum Personen mit Zugang zu sensibelster Information auf eine Masche hereinfallen, vor der ihre eigenen Behörden seit Monaten warnen.
Hinzu kommt ein Detail, das der „Spiegel“ beigesteuert hat: Die offiziellen, vom Bund bereitgestellten Diensttelefone seien so stromhungrig, dass sie „quasi nur an der Steckdose“ benutzbar seien. Das erklärt, warum Spitzenpersonal lieber zu praktikableren Lösungen greift. Es erklärt nicht, warum dasselbe Spitzenpersonal danach unbeholfen genug ist, sein Account-Passwort an einen Unbekannten zu übergeben.
Die eigentliche Frage
Wer ein Werkzeug verbietet, weil er es nicht beherrscht, hat ein Kompetenzproblem, kein Werkzeugproblem. Die Sicherheitslücke saß in diesem Fall nicht in der App. Sie saß vor dem Display.
Quellen
- Die Zeit: Spionage – Was für eine schreckliche Signal-Wirkung! (Gastbeitrag Paulus/Herpig/Hessel/Kipker)
- taz: Vizepräsidentin des Bundestags will Signal-Messenger auf Bundesebene verbieten
- Tagesspiegel: Bundestag plant Umstieg von Signal auf Wire
- Tagesspiegel: Bundesanwaltschaft ermittelt wegen Spionageverdachts
- t-online: Russlands Signal-Angriff auf deutsche Minister
- EUR-Lex: Richtlinie (EU) 2022/2555 – NIS-2-Richtlinie (Originaltext, deutsch)
- BSI: Informationsseite zur NIS-2-Richtlinie und ihrer nationalen Umsetzung