BSI, Signal-Angriffen

BSI warnt vor Signal-Angriffen: NIS2-Frist erhöht Druck auf HR

07.02.2026 - 10:22:11

Deutsche Behörden warnen vor KI-gestützten Phishing-Angriffen über Messenger. Gleichzeitig stellt die bevorstehende NIS2-Umsetzung Unternehmen vor neue rechtliche Pflichten.

BSI warnt vor Signal-Angriffen: NIS2-Frist erhöht Druck auf HR - Foto: über boerse-global.de
BSI warnt vor Signal-Angriffen: NIS2-Frist erhöht Druck auf HR - Foto: über boerse-global.de

Deutschlands Behörden warnen vor einer neuen Welle hochprofessioneller Cyberangriffe. Das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben am Freitag eine gemeinsame Sicherheitswarnung zu einer raffinierten Phishing-Kampagne herausgegeben. Sie zielt über den Messenger Signal auf Führungskräfte. Gleichzeitig rückt die Umsetzung der EU-Richtlinie NIS2 näher – und stellt Personalabteilungen vor massive Herausforderungen.

Die Bedrohungslage für deutsche Unternehmen hat sich Anfang Februar 2026 deutlich verschärft. Angreifer nutzen zunehmend mobile Messenger und künstliche Intelligenz für ihre Betrugsversuche. Die klassische Warnung vor verdächtigen Links reicht längst nicht mehr aus. Dieser Artikel zeigt die neuen Gefahren, rechtlichen Pflichten und praktischen Verteidigungsstrategien für Arbeitgeber auf.

„Quishing“: Der QR-Code als trojanisches Pferd

Die aktuelle BSI/BfV-Warnung markiert einen gefährlichen Trendwechsel. Zwar bleibt E-Mail ein Hauptangriffsvektor, doch Kriminelle missbrauchen zunehmend vertrauenswürdige Apps. Die aktuelle Kampagne zielt auf Politiker, Militärs und Wirtschaftslenker. Zwei Methoden dominieren: gefälschte „Signal-Support“-Nachrichten, die nach Verifikationscodes fragen, und bösartige QR-Codes, die das Opfer-Konto mit einem Angreifer-Gerät verknüpfen sollen.

Anzeige

Aktuelle Phishing-Kampagnen über Messenger und bösartige QR-Codes zeigen, wie schnell sich Angreifer an neue Kommunikationswege anpassen. Das kostenlose Anti-Phishing-Paket erklärt in einer klaren 4-Schritte-Anleitung, wie Sie CEO-Fraud, Quishing und KI-gestützte Deepfake-Attacken erkennen, technische Schutzmaßnahmen implementieren und realistische Mitarbeiter-Simulationen durchführen. Enthalten sind praxisnahe Vorlagen für Meldewege und Out‑of‑Band-Verifikation, ideal für IT- und HR-Verantwortliche. Anti-Phishing-Paket jetzt herunterladen

Diese Technik, „Quishing“ (QR-Code-Phishing) genannt, ist im Büroalltag besonders tückisch. Herkömmliche E-Mail-Sicherheitssysteme können QR-Codes in PDF-Anhängen oder Bildern oft nicht scannen. Scannt ein Mitarbeiter den Code mit seinem privaten Smartphone, um ein Konto zu „verifizieren“ oder ein „sicheres Dokument“ zu lesen, umgeht er den gesamten Unternehmensschutz.

Die Angriffe setzen auf falsche Dringlichkeit. Bei der Signal-Kampagne werden Opfer gewarnt, ihre Daten zu verlieren, wenn sie nicht sofort handeln – ein klassischer psychologischer Hebel. Für Personal- und IT-Abteilungen bedeutet das: Mitarbeiter müssen lernen, QR-Codes und unerbetene Support-Nachrichten in Apps mit dem gleichen Misstrauen zu behandeln wie externe E-Mails.

Deepfakes: Das Jahr der Identitätsbetrüger

Neben textbasiertem Phishing droht 2026 eine Flut KI-gestützter Identitätsfälschungen. Ein Bericht des Betrugspräventionsunternehmens Nametag aus dem Januar bezeichnet 2026 sogar als das „Jahr der Identitätsbetrugs-Angriffe“. Generative KI-Tools machen es einfach, täuschend echte Deepfakes von Vorständen zu erstellen.

Beim sogenannten „CEO-Fraud 2.0“ klonen Angreifer die Stimme oder das Video-Erscheinungsbild eines Geschäftsführers. Ein typisches Szenario: Ein Mitarbeiter in der Finanzabteilung erhält einen Videoanruf oder eine Sprachnachricht von seinem „Chef“, die zu einer dringenden Überweisung auffordert. Anders als früher, wo schlechte Audioqualität misstrauisch machte, imitieren aktuelle KI-Modelle Tonfall, Sprachrhythmus und sogar deutsche Dialekte täuschend echt.

Zudem wird „Recruiting-Betrug“ zu einem kritischen Risiko für Personalabteilungen. Das FBI und Sicherheitsfirmen warnen vor Bewerbern, die in Videointerviews Deepfake-Overlays nutzen, um eine Stelle zu ergattern – oft mit dem Ziel, in Firmennetzwerke einzudringen. Diese Entwicklung zwingt HR-Teams zu strengeren Identitätsprüfungen bei der Remote-Einstellung, die über einfache Videoanrufe hinausgehen.

NIS2: Die rechtliche Grauzone und Mitarbeiterhaftung

Der rechtliche Rahmen für IT-Sicherheit in Deutschland steckt in einer Übergangsphase. Die deutsche Umsetzung der EU-NIS2-Richtlinie (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) durchläuft Anfang 2026 noch das parlamentarische Verfahren. Doch Rechtsexperten betonen: Die Haftungsrisiken bestehen bereits jetzt.

Die Übergangsfrist für die Registrierung bestimmter kritischer Einrichtungen beim BSI endet am 5. März 2026. Unternehmen, die unter den erweiterten Geltungsbereich von NIS2 fallen – darunter viele mittelständische Zulieferer – müssen nachweisen, dass sie „angemessene technische und organisatorische Maßnahmen“ zur Risikobewältigung getroffen haben. Eine unzureichende Mitarbeiterschulung könnte als Verstoß gegen diese Pflichten gewertet werden.

Aus arbeitsrechtlicher Sicht bleibt die Frage der Mitarbeiterhaftung bei Phishing-Schäden strittig. Deutsche Arbeitsgerichte unterscheiden zwischen einfacher, mittlerer und grober Fahrlässigkeit. Geht ein Mitarbeiter auf einen hochprofessionellen, KI-generierten Betrug herein, wird ein Gericht ihn kaum persönlich haftbar machen. Umgeht er jedoch ausdrückliche Warnungen oder schaltet zwingende Sicherheitsprotokolle wie die Zwei-Faktor-Authentifizierung ab, kann das grobe Fahrlässigkeit sein – und den Weg für Schadenersatzansprüche des Arbeitgebers ebnen.

Praktische Strategien: So wehren sich Personalabteilungen

Um diese sich wandelnden Bedrohungen zu bekämpfen, reichen jährliche Multiple-Choice-Compliance-Tests nicht aus. Eine wirksame Sensibilisierung im Jahr 2026 erfordert ein dynamisches Vorgehen:

  • „Out-of-Band“-Verifikation etablieren: Führen Sie eine verbindliche Regel ein: Jede dringende Bitte um Geld oder Daten – selbst wenn sie per Videoanruf vom Vorstand zu kommen scheint – muss über einen zweiten, separaten Kommunikationskanal bestätigt werden.
  • Mobilrichtlinien aktualisieren: Adressieren Sie in IT-Sicherheitsrichtlinien explizit die Risiken von QR-Codes und Dritt-Messengern. Mitarbeiter sollten anweisen werden, niemals geschäftliche QR-Codes mit privaten Geräten zu scannen.
  • Moderne Angriffe simulieren: Phishing-Simulationen sollten Deepfake-Audio und „Quishing“-Szenarien enthalten, um Mitarbeiter in einer sicheren Umgebung mit diesen Methoden vertraut zu machen.
  • Meldekultur klären: Sorgen Sie für eine „vorwurfsfreie“ Meldekultur. Mitarbeiter, die einen bösartigen Link angeklickt haben könnten, müssen sich sicher fühlen, dies sofort der IT zu melden. Aus Angst vor disziplinarischen Konsequenzen verzögerte Meldungen verursachen oft den größten Schaden.

Wie die jüngste BSI-Warnung zeigt, sind die Angreifer agil und gut ausgestattet. Deutsche Unternehmen müssen sicherstellen, dass ihre Abwehrkultur ebenso anpassungsfähig ist.

PS: KI-Deepfakes und Messenger-Quishing sind längst keine Theorie mehr – sie kosten Unternehmen echte Millionen. Das Anti-Phishing-Paket liefert praxisnahe Checklisten, branchenspezifische Angriffsszenarien und sofort einsetzbare Schulungs-Templates, mit denen HR und IT reale Angriffsverläufe trainieren können. Diese Materialien helfen, psychologische Angriffsmuster zu erkennen und standardisierte Verifikationsprozesse zu etablieren, bevor es zum Schadensfall kommt. Jetzt Anti-Phishing-Guide sichern

@ boerse-global.de
Mach mehr aus deinem Geld: Erfahre live und kostenlos, welche Strategien am besten funktionieren. Jetzt anmelden.