Russische Hacker attackieren Signal und WhatsApp

Eine globale Phishing-Kampagne zielt auf verschlüsselte Messenger ab und umgeht so moderne Sicherheitsvorkehrungen. Deutsche Behörden warnen.

Am Freitag, den 20. März 2026, schlugen die US-Behörden FBI und CISA Alarm: Russische, nachrichtendienstlich verbundene Hacker führen eine massive, globale Phishing-Kampagne durch. Ihr neues Ziel sind verschlüsselte Messenger wie Signal und WhatsApp. Damit verlagern staatlich unterstützte Akteure den Angriff weg von traditionellen E-Mail-Umgebungen hin zu Plattformen, die bisher als sicher galten. Deutsche und niederländische Sicherheitsbehörden hatten zuvor bereits ähnlich gewarnt. Im Fokus stehen hochrangige Konten von Regierungsmitarbeitern, Militärpersonal und Führungskräften aus der Wirtschaft.

Da Messenger wie WhatsApp verstärkt ins Visier von Hackern geraten, ist der Schutz des eigenen Smartphones wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihre Daten und Konten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Vom E-Mail-Postfach in den Messenger

Die aktuelle Warnung markiert einen fundamentalen Wandel. Angreifer nutzen nicht mehr nur E-Mails, sondern dringen in vermeintliche „sichere Häfen“ ein. Die Verschlüsselung der Apps wird dabei nicht geknackt. Stattdessen setzen die Hacker auf raffinierte Impersonation-Taktiken: Sie geben sich als technischer Support oder interne Sicherheitsteams aus.

Mit täuschend echten Nachrichten drängen sie ihre Opfer, auf bösartige Links zu klicken oder – viel kritischer – ihre Einmal-Codes und Account-PINs preiszugeben. Haben die Angreifer diese Zugangsdaten, können sie das Gerät des Opfers übernehmen. Sie lesen dann private Chats in Echtzeit mit, stehlen Kontaktlisten und nutzen die vertrauenswürdige Identität für weitere Angriffe innerhalb desselben Netzwerks. Ein gefährlicher Dominoeffekt.

Diese Entwicklung ist Teil eines historischen Anstiegs von Angriffen auf Zugangsdaten. Branchenberichte verzeichneten von Ende 2024 bis 2025 einen Anstieg von 703 Prozent bei Credential-Phishing-Versuchen. Der Sprung zu Messengern ist die logische, „multikanalige“ Evolution dieser Bedrohung.

So wird die Zwei-Faktor-Authentifizierung ausgehebelt

Die hohe Raffinesse der Kampagne zeigt sich darin, wie sie die Multi-Faktor-Authentifizierung (MFA) umgeht. Einmal als robuste Verteidigung gepriesen, wird MFA nun durch „MFA-Fatigue“-Attacken und Echtzeit-Proxy-Tools ausgekontert. Der Fokus auf Signal- und WhatsApp-Verifizierungscodes ist ein direkter Angriff auf den zweiten Sicherheitsfaktor.

Die Angreifer nutzen ausgeklügelte Phishing-Kits wie „Tycoon2FA“, die täuschend echte Köder erstellen. Diese umgehen moderne E-Mail-Sicherheitschecks, indem sie falsch konfigurierte Server missbrauchen oder legitime Messenger-Funktionen imitieren. Die Nachrichten thematisieren oft dringende Sicherheitsupdates oder HR-Benachrichtigungen – ein psychologischer Trick, der zu unkritischem, sofortigem Handeln verleitet.

Hinzu kommt Künstliche Intelligenz. Sprachbarrieren, die für deutsche Unternehmen früher ein Warnsignal waren, existieren kaum noch. Staatliche Akteure nutzen KI, um perfekte, kontextsensitive Nachrichten auf Deutsch zu generieren, die sich in die lokale Unternehmenskultur einfügen. Die „menschliche Firewall“ ist verwundbarer denn je.

Ob Online-Banking oder privater Chat – Hacker nutzen immer raffiniertere Methoden, um an Ihre persönlichen Verifizierungscodes zu gelangen. Erfahren Sie in diesem Gratis-Sicherheitspaket, wie Sie eine häufig unterschätzte Sicherheitslücke auf Ihrem Android-Gerät schließen. Kostenlosen Sicherheits-Ratgeber herunterladen

Compliance unter Druck: Neue Schutzmaßnahmen sind Pflicht

Für Unternehmen unter der EU-Datenschutz-Grundverordnung (DSGVO) kann die Kompromittierung eines einzigen Messenger-Kontos einen ernsten Datenvorfall darstellen. Der Fokus verschiebt sich daher hin zu „Human Risk Management“ – dem aktiven Management menschlicher Risikofaktoren. Einfache Awareness-Schulungen reichen nicht mehr.

Als eine der wirksamsten Abwehrmaßnahmen gilt der Umstieg auf passwortlose Authentifizierung und hardwarebasierte Sicherheitsschlüssel. Im Gegensatz zu SMS- oder App-Codes sind physische Sicherheitsschlüssel resistent gegen die aktuell eingesetzte Social-Engineering-Methodik. Sie eliminieren das „teilbare“ Element – den Code – und machen so das primäre Ziel der Phishing-Angriffe zunichte.

Datenschutzbeauftragte fordern zudem eine schwachenorientierte Meldepflicht. Aktuelle Statistungen zeigen, dass 51 Prozent aller Cyber-Vorfälle innerhalb von 24 bis 72 Stunden gemeldet werden. Diese Geschwindigkeit ist entscheidend, um die seitliche Ausbreitung eines Angriffs im Netzwerk zu stoppen. Incident-Response-Pläne müssen nun explizit Protokolle für kompromittierte Messenger-Konten enthalten.

Haftungsrisiko: Standard-Sicherheit genügt nicht mehr

Die Aufsichtsbehörden in Deutschland und der EU machen deutlich: Herkömmliche Sicherheitsmaßnahmen entsprechen möglicherweise nicht mehr dem „Stand der Technik“. Unternehmen, die fortschrittliche Schutzmaßnahmen wie FIDO2-konforme Authentifizierung oder robustes Human Risk Management vernachlässigen, riskieren bei einem Vorfall eine erhöhte Haftung.

Experten sehen in der aktuellen Angriffswelle ein Versagen perimeterbasierter Sicherheit. Stattdessen wird eine „Zero-Trust“-Architektur zum de-facto Standard für Compliance. Dieser Ansatz verlangt die kontinuierliche Verifizierung jedes Nutzers und jedes Geräts – unabhängig davon, ob über Firmen-E-Mail oder privaten Messenger kommuniziert wird.

Die geschäftlichen Folgen sind immens. Neben dem Verlust sensibler Daten ist der Reputationsschaden durch einen staatlich unterstützten Hack oft irreparabel. Marktanalysten beobachten bei betroffenen Unternehmen regelmäßig signifikante Wertverluste und einen langfristigen Vertrauensverlust. Cybersicherheit ist damit keine reine IT-Frage mehr, sondern ein Kernbestandteil der Corporate Governance.

Hintergrund: Teil eines bekannten Musters feindlicher Aktivität

Die Warnung vom März 2026 steht nicht isoliert da. Sie ist Teil dokumentierter Aktivitäten von Bedrohungsgruppen wie APT28 („BlueDelta“), die seit Jahren in Europa aktiv sind. Diese Gruppen zielten historisch auf kritische Infrastrukturen, Energie- und Pharmasektoren ab. Der Wechsel zu Signal und WhatsApp ist eine Anpassung: Wird die „Haustür“ des Firmennetzwerks stärker, gehen die Angreifer durch die „Seitentür“ des Mobilgeräts.

Im Vergleich zu den lauten Ransomware-Wellen von 2023 und 2024 ist die Bedrohungslage 2026 von „Heimlichkeit und Beharrlichkeit“ geprägt. Die Übernahme von Messenger-Konten ermöglicht langfristige Spionage und das leise Abfließen von Geschäftsgeheimnissen, geistigem Eigentum und strategischer Kommunikation. Das macht die aktuelle Gefahr besonders brisant für Forschungs- und Entwicklungsabteilungen oder Unternehmen mit Regierungsaufträgen.

Ausblick: KI gegen KI im Cyber-Abwehrkampf

Für die verbleibende Zeit in 2026 und darüber hinaus wird sich die Cyber-Abwehr auf automatisierte, KI-gestützte Threat-Analyse konzentrieren müssen. Während Angreifer KI nutzen, um ihre Phishing-Kampagnen zu skalieren, müssen Verteidiger KI einsetzen, um Anomalien in Kommunikationsmustern zu erkennen. Ändert eine Führungskraft plötzlich ihren Schreibstil oder bittet um Verifikationscodes, können automatisierte Systeme das Konto sofort sperren, bevor Schaden entsteht.

Der Handlungsdruck ist akut. Angesichts der dringenden Warnungen von FBI, CISA und dem deutschen Bundesamt für Verfassungsschutz (BfV) müssen Unternehmen in den kommenden Wochen den Einsatz kommerzieller Messenger überprüfen. Der Umstieg auf hardwarebasierte Authentifizierung und rigorosere Datenschutzaudits ist keine optionale Verbesserung mehr, sondern eine Überlebensfrage im Zeitalter staatlich unterstützter digitaler Kriegsführung.