BSI-Warnung: So schützen Sie sich vor Messenger-Phishing
BSI-Warnung: Am 6. Februar 2026 veröffentlichten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) eine gemeinsame Sicherheitswarnung, die aufhorchen lässt: Staatliche Akteure setzen gezielt auf Messenger-Phishing, um sich Zugang zu vertraulichen Kommunikationen zu verschaffen. Was zunächst nach einem Problem für Ministerien und Botschaften klingt, betrifft über Supply-Chain-Verbindungen auch mittelständische Unternehmen.
TL;DR: Angreifer missbrauchen legitime Funktionen von Signal und WhatsApp durch Social Engineering. Kein Malware-Einsatz, stattdessen Fake-Support-Bots und QR-Code-Phishing. KMU sind über Zulieferketten gefährdet. Fünf konkrete Schutzmaßnahmen helfen.
Was ist passiert? Die BSI-Warnung im Detail
Die gemeinsame Sicherheitswarnung vom 6. Februar 2026 richtet sich primär an Angehörige von Politik, Militär, Diplomatie und Investigativjournalismus. Das BSI formuliert vorsichtig: Die beobachteten Angriffsmuster deuten auf "wahrscheinlich staatlich gesteuerte" Akteure hin. Eine offizielle Attribution zu einem bestimmten Staat liegt nicht vor.
Das Besondere an dieser Kampagne: Es wird keine Schadsoftware eingesetzt. Stattdessen nutzen die Angreifer ausschließlich Social Engineering in Kombination mit legitimen Messenger-Funktionen. Signal ist das primäre Ziel, WhatsApp potenziell über die Device-Linking-Funktion betroffen.
Wie funktioniert der Angriff? Zwei Varianten im Überblick
Variante 1: Fake-Support-Bots
Angreifer registrieren Accounts mit Namen wie "Signal Support", "Signal Security ChatBot" oder ähnlich klingenden Bezeichnungen. Sie kontaktieren Zielpersonen direkt im Messenger und warnen vor angeblichen Sicherheitsproblemen:
- "Ihr Account wurde kompromittiert"
- "Ihre Sicherheitseinstellungen müssen aktualisiert werden"
- "Verifizieren Sie Ihr Konto innerhalb von 24 Stunden"
Die Nachrichten enthalten Links zu gefälschten Support-Seiten, auf denen Nutzer zur Eingabe von Zugangsdaten oder zum Scannen eines QR-Codes aufgefordert werden. Die psychologische Taktik: Zeitdruck und Autoritätsanspruch.
Variante 2: QR-Code-Phishing via Device-Linking
Diese Variante ist besonders perfide. Signal und WhatsApp bieten die Möglichkeit, den Messenger auf mehreren Geräten gleichzeitig zu nutzen. Dafür wird ein QR-Code auf dem Hauptgerät generiert und mit dem neuen Gerät gescannt.
Angreifer versenden gefälschte E-Mails, die angeblich von Signal oder WhatsApp stammen. Der Betreff: "Sicherheitsupdate erforderlich" oder "Neue Desktop-Version verfügbar". Im Anhang oder auf einer verlinkten Seite befindet sich ein QR-Code.
Ein einziger Scan reicht: Der Angreifer erhält Lesezugriff auf alle vergangenen und zukünftigen Nachrichten. Das Opfer bemerkt zunächst nichts, da der eigene Messenger weiterhin funktioniert. Erst wenn die kompromittierten Informationen später auftauchen, wird der Angriff offensichtlich.
Warum sind KMU betroffen? Zahlen und Zusammenhänge
Auf den ersten Blick scheinen kleine und mittlere Unternehmen kein Ziel für staatlich gesteuerte Angriffe zu sein. Drei Entwicklungen ändern diese Annahme:
1. Supply-Chain-Verbindungen: Wenn Ihr Unternehmen als Zulieferer, Dienstleister oder IT-Partner mit Organisationen aus den Primärzielbereichen arbeitet, werden Sie zur Sekundärzielgruppe. Angreifer nutzen vertrauenswürdige Geschäftsbeziehungen, um sich Zugang zu den eigentlichen Zielen zu verschaffen.
2. KI-gesteuerte Skalierung: Laut einer Studie des FZI Forschungszentrum Informatik (CYBERsicher 2025) erreichen KI-generierte Phishing-Mails eine Erfolgsquote von 60 Prozent. Das Cybersecurity-Unternehmen Keepnet berichtet von einem Anstieg des Credential-Phishing um 967 Prozent seit der Einführung von ChatGPT. Was früher aufwendige Einzelangriffe waren, lässt sich heute automatisiert auf Tausende Unternehmen ausrollen.
3. KMU als bevorzugte Ransomware-Ziele: Der BSI-Lagebericht 2025 zeigt: 80 Prozent der Ransomware-Angriffe treffen kleine und mittlere Unternehmen. Der Durchschnittsschaden liegt bei 95.000 Euro. Messenger-Phishing dient oft als Einstiegsvektor für weiterführende Angriffe.
Geschäftsführende sind besonders exponiert: Laut der CYBERsicher-Studie 2025 erhalten sie durchschnittlich 57 gezielte Phishing-Angriffe pro Jahr. Wenn Ihre geschäftliche Mobilnummer oder E-Mail-Adresse öffentlich zugänglich ist, steigt das Risiko.
Wie erkenne ich einen Angriff? Warnsignale im Messenger
Signal und WhatsApp haben keinen offiziellen Support-Account, der Nutzer proaktiv kontaktiert. Jede Nachricht, die vorgibt, vom "Signal-Team" oder "WhatsApp-Support" zu stammen, ist ein Betrugsversuch.
Weitere Warnsignale:
- Unerwartete QR-Codes per E-Mail
- Zeitdruck ("Ihr Account wird in 24h gesperrt")
- Aufforderung, persönliche Daten oder Telefonnummern zu bestätigen
- Links, die nicht auf signal.org oder whatsapp.com verweisen
- Schlechte Übersetzungen oder ungewöhnliche Formulierungen
Bei unseren Kunden setzen wir auf regelmäßige Awareness-Schulungen. Eine einfache Faustregel: Wenn Sie eine Sicherheitswarnung per Messenger oder E-Mail erhalten, öffnen Sie die App direkt (nicht über den Link) und prüfen Sie dort, ob tatsächlich eine Benachrichtigung vorliegt.
5 konkrete Schutzmaßnahmen für Ihr Unternehmen
1. Multi-Faktor-Authentifizierung (MFA) konsequent einsetzen
Microsoft belegt: MFA verhindert über 99 Prozent der Account-Übernahmen. Auch wenn Angreifer Zugangsdaten abgreifen, bleiben Ihre Systeme geschützt. Setzen Sie MFA für alle geschäftskritischen Anwendungen um, insbesondere für E-Mail, Cloud-Speicher und VPN-Zugänge.
2. Geräte-Linking regelmäßig überprüfen
In den Messenger-Einstellungen (Signal: "Verknüpfte Geräte", WhatsApp: "Verknüpfte Geräte") sehen Sie alle aktiven Verbindungen. Prüfen Sie monatlich, ob unbekannte Geräte aufgelistet sind. Entfernen Sie alle Einträge, die Sie nicht zuordnen können.
3. Geschäftskommunikation und Privates trennen
Verwenden Sie separate Geräte oder zumindest separate Accounts für geschäftliche und private Messenger-Kommunikation. Das reduziert die Angriffsfläche und verhindert, dass kompromittierte private Accounts Zugang zu Unternehmensdaten ermöglichen.
4. E-Mail-Sicherheit härten
Da viele Phishing-Angriffe per E-Mail eingeleitet werden, sind SPF-, DKIM- und DMARC-Einträge Pflicht. Diese Mechanismen verhindern, dass Angreifer gefälschte E-Mails im Namen Ihrer Domain versenden. Implementieren Sie außerdem eine Sandbox-Lösung, die verdächtige Links und Anhänge in einer isolierten Umgebung öffnet.
5. Incident-Response-Plan etablieren
Was passiert, wenn ein Mitarbeiter versehentlich einen QR-Code scannt oder auf einen Phishing-Link klickt? Ein dokumentierter Ablauf spart im Ernstfall wertvolle Zeit:
- Sofort IT-Verantwortlichen informieren
- Betroffenes Gerät vom Netzwerk trennen
- Passwörter aller genutzten Dienste ändern
- Verknüpfte Geräte im Messenger entfernen
- Geschäftspartner über mögliche Kompromittierung informieren
Was bedeutet NIS2 für den Messenger Phishing Schutz?
Die NIS2-Richtlinie ist seit dem 6. Dezember 2025 verbindlich. Unternehmen mit mehr als 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in kritischen Sektoren müssen angemessene Cybersecurity-Maßnahmen nachweisen. Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Messenger-Phishing fällt unter den Bereich "Social Engineering". NIS2 fordert explizit:
- Regelmäßige Awareness-Schulungen für Mitarbeitende
- Technische Maßnahmen zur Erkennung von Phishing-Angriffen
- Dokumentierte Incident-Response-Prozesse
- Meldung sicherheitsrelevanter Vorfälle innerhalb von 24 Stunden
Aus unserer Sicht als Managed Service Provider bedeutet das: Messenger-Sicherheit ist kein Nice-to-have mehr, sondern eine Compliance-Anforderung mit direkten Haftungsrisiken.
Praxisempfehlung: Security-Awareness als kontinuierlicher Prozess
Technische Maßnahmen allein reichen nicht aus. Die erfolgreichsten Angriffe setzen auf menschliche Schwächen. Eine einmalige Schulung verpufft nach wenigen Wochen.
Wir empfehlen unseren Kunden einen dreimonatigen Turnus:
- Monat 1: Theorie-Schulung (45 Minuten) zu aktuellen Bedrohungen
- Monat 2: Simulierte Phishing-Kampagne mit anschließender Auswertung
- Monat 3: Quick-Check (10 Minuten): Neue Betrugsmaschen, aktuelle Warnungen
Dieser Rhythmus hält das Thema präsent, ohne Mitarbeitende zu überfordern. Die Simulationen zeigen zudem, welche Abteilungen zusätzlichen Schulungsbedarf haben.
Fazit: Messenger-Sicherheit ist Chefsache
Die gemeinsame Warnung von BSI und BfV macht deutlich: Messenger-Phishing hat sich von experimentellen Einzelangriffen zu einer systematischen Bedrohung entwickelt. Die Professionalisierung durch staatliche Akteure und KI-gestützte Skalierung erhöht das Risiko für alle Unternehmensgrößen.
Fünf Handlungsempfehlungen für die kommenden Wochen:
- Überprüfen Sie heute noch Ihre verknüpften Geräte in Signal und WhatsApp
- Implementieren Sie MFA für alle geschäftskritischen Systeme
- Schulen Sie Ihr Team zu den zwei beschriebenen Angriffsmustern
- Dokumentieren Sie einen Incident-Response-Plan für Phishing-Vorfälle
- Prüfen Sie Ihre NIS2-Compliance im Bereich Social Engineering
Messenger Phishing Schutz erfordert keine Millionen-Investitionen, sondern eine Kombination aus technischen Maßnahmen, organisatorischen Prozessen und kontinuierlicher Sensibilisierung.
Wie EXT IT Sie unterstützt
Als Managed Service Provider mit Fokus auf KMU-Sicherheit bieten wir maßgeschneiderte Lösungen:
- Security-Awareness-Schulungen mit Fokus auf aktuelle Bedrohungen
- Phishing-Simulationen zur Messung und Verbesserung der Mitarbeiter-Resilienz
- E-Mail-Security-Härtung (SPF/DKIM/DMARC, Sandbox-Lösungen)
- NIS2-Compliance-Check mit Umsetzungsbegleitung
- Security-Monitoring für frühzeitige Erkennung von Kompromittierungen
Vereinbaren Sie ein kostenloses Erstgespräch. Wir analysieren Ihre aktuelle Sicherheitslage und zeigen konkrete Verbesserungspotenziale auf.
Kontakt & weitere Infos
EXT IT – Vahrenwalder Str. 271, 30179 Hannover
E-Mail: [email protected]
Web: www.ext-it.tech
Weiterführende Links:
