Signal-Hack und Firestarter: Doppelte Bedrohung für die deutsche Politik

Parallel dazu warnen Geheimdienste vor einer neuen Generation von Hardware-Backdoors.**

Die Sicherheitsbehörden in Deutschland und Europa schlagen Alarm. Eine koordinierte Welle von Cyberangriffen hat hohe politische Amtsträger und kritische Kommunikationsinfrastruktur ins Visier genommen. Wie aus Berichten von Ende April 2026 hervorgeht, wurden etwa 300 Personen aus der deutschen Politiklandschaft durch eine raffinierte Phishing-Kampagne kompromittiert. Ziel war die vermeintlich sichere Messenger-Plattform Signal.

Angriff auf die Parlamentskommunikation

Die Attacke auf deutsche Politiker wurde Ende April 2026 öffentlich. Prominente Opfer sind unter anderem Julia Klöckner, Karin Prien und Verena Hubertz. Die Täter gingen dabei mit einer perfiden Masche vor: Sie gaben sich als Signal-Support-Mitarbeiter aus. Durch diese Social-Engineering-Taktik gelang es ihnen, Zugriff auf mehrere Konten zu erhalten. Die Signal Foundation betont zwar, dass die Ende-zu-Ende-Verschlüsselung der Plattform nicht geknackt wurde – der menschliche Faktor war die Schwachstelle.

Phishing-Angriffe werden immer raffinierter und machen selbst vor verschlüsselten Messengern nicht halt. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen – und wie man sie entlarvt. Anti-Phishing-Paket jetzt kostenlos herunterladen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) haben ihre Überwachung staatlich gesteuerter Akteure intensiviert. Deutsche und niederländische Behörden hegen den dringenden Verdacht, dass russische Geheimdienste hinter der Operation stecken. Die Bundesanwaltschaft hat Ermittlungen eingeleitet. Das Kanzleramt bestätigte, dass der Datenabfluss inzwischen gestoppt werden konnte.

Als Konsequenz empfiehlt Andrea Lindholz (CSU) einen Wechsel zu alternativen Plattformen wie Wire. Das BSI hat Wire bereits für den Austausch sensibler Dokumente freigegeben. Signal hat angekündigt, in den kommenden Wochen zusätzliche Schutzmaßnahmen einzuführen. Die De-batte über die Sicherheit mobiler Kommunikation für Regierungsbeamte ist damit neu entfacht.

Firestarter: Die Backdoor, die keine Updates fürchtet

Während die Messenger-Angriffe auf Social Engineering setzen, lauert eine ganz andere Gefahr in der Hardware. Ende April 2026 veröffentlichten die US-Behörde CISA und das britische NCSC eine gemeinsame Warnung vor der Malware „Firestarter“. Dieser Hintertür-Code zielt auf Cisco Firepower und Secure Firewall-Geräte mit ASA- oder FTD-Software ab.

Das Tückische an Firestarter: Die Malware hakt sich in die LINA-Engine ein und überlebt sowohl Firmware-Updates als auch normale Systemneustarts. Die Sicherheitsforscher identifizierten die Gruppe UAT-4356, auch bekannt als Storm-1849, als Verantwortliche. Die Kampagne trägt den Namen „ArcaneDoor“ und ist seit 2023 aktiv. Erste Ausnutzungen der Sicherheitslücken CVE-2025-20333 und CVE-2025-20362 wurden bereits im September 2025 beobachtet.

CISA, das kürzlich den Notfalldirektiv 25-03 erließ, stellte eine Infektion bei einer US-Regierungsbehörde fest. Die einzige Möglichkeit, die hartnäckige Backdoor vollständig zu entfernen, ist ein sogenannter „Kaltstart“ – das bedeutet eine vollständige Trennung von der Stromversorgung für mindestens eine Minute. Betroffen sind die Serien Firepower 1000, 2100, 4100, 9300 sowie die neueren Secure Firewall 1200, 3100 und 4200.

KI-gesteuerte Angriffe und Lieferketten-Infiltration

Die Komplexität der Angriffe wird zunehmend durch künstliche Intelligenz vorangetrieben. Am 28. April 2026 warnte das indische CERT-In kleine und mittlere Unternehmen davor, dass KI-Systeme nun in der Lage sind, eigenständig Schwachstellen zu identifizieren und mehrstufige Angriffe zu starten. Diese technologische Entwicklung senkt die Einstiegshürde für Cyberkriminelle drastisch.

Um diesen Bedrohungen entgegenzuwirken, startete CrowdStrike am 27. April 2026 das Projekt „QuiltWorks“. Diese Industrie-Koalition, der Accenture, EY, IBM, Kroll und OpenAI angehören, soll die Sicherheitsrisiken von KI-generiertem Code adressieren. Ein zentrales Element ist der „Frontier AI Readiness and Resilience Service“, der KI-gestützte Scans und Risikobewertungen für Unternehmen bereitstellt.

Die Dringlichkeit solcher Initiativen unterstreicht ein aktueller Vorfall in der Lieferkette: Anfang April 2026 wurde eine schädliche Version des beliebten Open-Source-Python-Pakets „Elementary“ (v0.23.3) verbreitet. Angreifer hatten eine GitHub-Actions-Sicherheitslücke ausgenutzt. Das kompromittierte Paket, das über eine Million monatliche Downloads verzeichnet, stahl Anmeldedaten, API-Token und SSH-Schlüssel. Obwohl die schädliche Version innerhalb von 12 Stunden entfernt wurde, zeigt der Vorfall, wie schnell staatliche oder hochprofessionelle kriminelle Akteure in Entwicklungspipelines eindringen können.

Angesichts der zunehmenden Bedrohung durch KI-gestützte Cyberangriffe müssen Unternehmen ihre Abwehr proaktiv stärken. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken effektiv schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Cyber-Security-Ratgeber kostenlos sichern

Geopolitische Dimension und Ausblick

Die Kombination aus Social Engineering gegen Politiker und Infrastruktur-Exploits deutet auf eine Zwei-Fronten-Strategie staatlich gesteuerter Akteure hin. Durch die Kompromittierung individueller Kommunikation auf Plattformen wie Signal gewinnen Angreifer Einblick in politische Absichten und persönliche Netzwerke. Gleichzeitig sichern sie sich durch Backdoors in Firewalls und Netzwerk-Gateways langfristigen Zugriff auf den technischen Verkehr von Regierungsinstitutionen.

Die Zuschreibung der Signal-Angriffe zu russischen Akteuren deckt sich mit historischen Mustern, die BSI und BfV beobachten. Bereits im Dezember 2025 wurde die Gruppe APT28 („Fancy Bear“) mit Angriffen auf die Europäische Union und die Ukraine in Verbindung gebracht. Damals nutzten sie ungepatchte Windows-SmartScreen-Sicherheitslücken.

Die geopolitische Dimension der Cybersicherheit wird immer offensichtlicher. Am 28. April 2026 blockierte China die Übernahme des KI-Startups Manus durch Meta – mit der Begründung, man wolle verhindern, dass heimische KI-Expertise in westliche Hände fällt. Dieser Schritt spiegelt einen breiteren Trend des technologischen Protektionismus wider, da KI zu einer zentralen Säule der nationalen Sicherheit wird.

Für die kommenden Monate erwarten Beobachter aktualisierte Richtlinien der deutschen Behörden zur Nutzung mobiler Anwendungen in der Bundesverwaltung. Signals angekündigte Sicherheitsupdates und die BSI-Empfehlung für Wire bei-den eine Hinwendung zu „souveränen“ Kommunikationslösungen hin, bei denen der Staat mehr Kontrolle über Identitätsmanagement und Metadaten hat.

Die Entdeckung der Firestarter-Backdoor ist jedoch eine ernüchternde Erinnerung: Softwarebasierte Sicherheit ist nur so stark wie die Hardware, auf der sie läuft. Solange staatliche Gruppen Exploits entwickeln, die Neustarts und Updates überleben, wird die Wartung kritischer Infrastruktur zunehmend manuelle und disruptive Eingriffe erfordern – wie die von CISA und NCSC empfohlenen Hardware-Stromzyklen. Die Cybersicherheitslandschaft des Jahres 2026 ist nicht nur ein Kampf um Daten, sondern ein Kampf um die dauerhafte Kontrolle über die Geräte, die die moderne digitale Peripherie definieren.

de | boerse | 69250704 |