BSI warnt vor KI-gestützten Spionageangriffen auf Signal und WhatsApp

Deutsche Unternehmen und Behörden stehen unter digitalem Beschuss. Eine neue Welle von KI-verstärkten Spionageangriffen zwingt Arbeitgeber dazu, ihre verpflichtenden Sicherheitsunterweisungen sofort zu überarbeiten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) warnten am 7. Februar vor hochpräzisen Attacken, die gezielt verschlüsselte Messenger wie Signal und WhatsApp ausnutzen.

Staatliche Hacker kapern Konten über „Support“-Chats

Der alarmierende neue Trend: Angreifer, mutmaßlich im Auftrag von Staaten, geben sich in den Messengern als „Support-Teams“ oder Sicherheits-Chatbots aus. Ihr Ziel sind Konten von Führungskräften in Politik, Militär und Wirtschaft. Die Methode ist einfach und tückisch. Die Opfer werden kontaktiert und unter einem Vorwand – etwa einer angeblichen Sicherheitslücke – dazu gebracht, einen PIN preiszugeben oder einen QR-Code zu scannen.

Dieser als „Quishing“ bekannte Trick gewährt den Angreifern dauerhaften Zugriff. „Die Attacke hinterlässt keine Malware-Spuren und ist technisch kaum zu erkennen“, so das BSI. Ein kompromittiertes Konto wird dann zum Einfallstor für sensible Gruppenchats und Folgeangriffe auf Kollegen.

Viele Sicherheitsunterweisungen sind nicht auf die neuen, KI‑verstärkten Quishing‑Angriffe vorbereitet. BSI‑Warnungen zeigen, dass fingierte Support‑Chats und GhostPairing klassische Schutzmechanismen umgehen. Dieses kostenlose Unterweisungs‑Paket liefert eine sofort einsetzbare PowerPoint‑Musterpräsentation, konkrete Lernmodule, Quizfragen und eine Dokumentationsvorlage – ideal für Compliance‑ und IT‑Verantwortliche, die Mitarbeiterschulungen jetzt schnell und rechtskonform anpassen müssen. Sicherheitsunterweisung-Vorlage jetzt herunterladen

Phishing mit „Behörden-Reformen“ und Zero-Day-Exploits

Parallel laufen weitere gefährliche Kampagnen. Eine neue Spionagegruppe, TGR-STA-1030, attackiert seit dem 5. Februar europäische Regierungen. Ihr Köder: Phishing-Mails, die offizielle Benachrichtigungen über „Ressort-Umstrukturierungen“ vortäuschen und zu schädlichen Dateien auf Cloud-Speichern wie Mega[.]nz führen.

Gleichzeitig nutzen russisch verbundene Hacker, bekannt als APT28, eine frisch entdeckte Schwachstelle in Microsoft Office (CVE-2026-21509) aus. Sie konnten den sogenannten Zero-Day-Exploit binnen 24 Stunden nach seiner Veröffentlichung weaponisieren, um über manipulierte Dokumente Schadcode einzuschleusen.

Sicherheitsunterweisung muss neu gedacht werden

Für deutsche Compliance- und IT-Sicherheitsverantwortliche bedeutet das: Die gesetzlich vorgeschriebene Unterweisung nach Arbeitsschutzgesetz (ArbSchG) und DGUV Vorschrift 1 ist veraltet. Pauschale Warnungen vor unbekannten Links genügen nicht mehr dem „Stand der Technik“.

Verbände fordern jetzt konkrete, sofortige Schulungen zu drei Punkten:
1. Messenger-Protokoll: Echte Support-Teams kontaktieren Nutzer niemals per Direktnachricht.
2. QR-Code-Hygiene: Das Scannen nicht verifizierter Codes, besonders aus digitalen Nachrichten, ist strikt verboten.
3. Köder-Erkennung: Extreme Skepsis bei E-Mails zu „Umstrukturierungen“, die aus unerwarteten Kanälen kommen.

Wirtschaftlicher Schaden erreicht Milliardenhöhe

Die Dringlichkeit wird durch die wirtschaftlichen Folgen unterstrichen. Deutschland verlor 2024 laut einem BioCatch-Report etwa 267 Milliarden Euro durch Cyberkriminalität. Die Betrugsrate ist die vierthöchste in Europa. Besonders besorgniserregend: Ein Anstieg von 110 Prozent bei Betrug mit Sofortüberweisungen und die Zunahme von KI-generiertem „Deepfake-CEO-Fraud“, bei dem die Stimmen von Vorständen geklont werden.

Die neue Angriffslogik ist gefährlich. Indem sie menschliches Vertrauen statt Software-Lücken ausnutzt, umgeht sie klassische Firewalls. Die letzte Verteidigungslinie ist nun das Bewusstsein jedes einzelnen Mitarbeiters.

Ausblick: Die Ära der „Geister“-Geräte

Cybersicherheitsexperten prognostizieren eine Zunahme von „GhostPairing“-Attacken. Dabei klinken sich Angreifer unbemerkt als zweites Gerät in ein Messenger-Konto ein und können so bis zu 45 Tage lang Kommunikation mitlesen.

Es wird erwartet, dass das BSI in den kommenden Wochen seine IT-Grundschutz-Bausteine um konkrete Handlungsanleitungen für Messenger-Sicherheit erweitert. Bis dahin raten Sicherheitsbeauftragte, die „Registrierungssperre“ auf allen Firmenhandys zu aktivieren und die verknüpften Geräte in Messenger-Apps stichprobenartig zu überprüfen.

Übrigens: Wer Messenger‑Angriffe ernst nimmt, sollte Praxisübungen und Prüf‑Checklisten in jede Unterweisung integrieren. Die fertige PowerPoint‑Vorlage enthält interaktive Quizfragen, Beispiele zu QR‑Code‑Hygiene, Anleitungen zur Aktivierung der Registrierungssperre und einen sofort einsetzbaren Unterweisungsnachweis für die Personalakte. So machen Sie aus einer Pflichtübung eine wirksame letzte Verteidigungslinie gegen Quishing. PowerPoint‑Unterweisung downloaden