Passwort-Manager und Signal: Doppelangriff auf IT-Sicherheit

ETH Zürich deckt kritische Lücken in Cloud-Vaults auf, während deutsche Behörden vor Phishing auf Signal warnen. Unternehmen müssen ihre Verteidigung neu aufstellen.

Die IT-Sicherheitslandschaft für Unternehmen erlebt eine Zangenbewegung. Am Dienstag, den 17. Februar 2026, veröffentlichten Forscher der ETH Zürich eine Studie mit schwerwiegenden Schwachstellen in führenden Cloud-Passwort-Managern. Diese Enthüllung folgt nur knapp zwei Wochen nach einer gemeinsamen Warnung des BSI und des BfV vor staatlich gesteuerten Phishing-Angriffen auf den Messenger Signal. Für Sicherheitsverantwortliche ist die Botschaft klar: Angreifer zielen nicht mehr nur auf menschliche Fehler, sondern untergraben gezielt die Kernwerkzeuge für Identitätsschutz und sichere Kommunikation.

ETH-Studie: Grundlegende Lücken in Passwort-Tresoren

Die Forscher der ETH Zürich legten am 17. Februar eine bahnbrechende Untersuchung vor. Sie fanden 25 kritische Sicherheitslücken in drei der größten Cloud-basierten Passwort-Manager: Bitwarden, LastPass und Dashlane. Die Schwachstellen betreffen das Herzstück dieser Dienste – die sogenannte „Zero-Knowledge“-Architektur, die die Privatsphäre der Nutzer garantieren soll.

Laut dem Bericht könnten böswillige oder kompromittierte Server die Verschlüsselung umgehen. So wäre ein unbefugter Zugriff auf gespeicherte Passwörter und Tresordaten möglich. Das Forschungsteam konzentrierte sich auf ein „böswilliges Server“-Szenario. Es zeigte, wie ein manipulierter Dienst die Client-Server-Kommunikation angreifen kann, um sensible Daten abzugreifen. Dieser Ansatz stellt eine bedeutende Abkehr von traditionellen Bedrohungsmodellen dar, die meist von einem vertrauenswürdigen Server ausgehen.

Die Konsequenzen für Unternehmen sind gravierend. Viele Firmen setzen standardmäßig auf diese Tools, um komplexe Zugangsdaten zu verwalten und Passwort-Wiederverwendung zu verhindern. Die ETH-Forscher betonten, dass Anbieter zwar begonnen haben, die Probleme zu beheben. Doch die Existenz solch grundlegender Schwächen stellt die Annahme infrage, dass verschlüsselte Tresore auch bei einem kompromittierten Anbieter sicher sind.

Sicherheitsexperten raten Unternehmen nun, ihre Abhängigkeit von Cloud-Tresoren für hochsensible Zugangsdaten zu überdenken. Zusätzliche Sicherheitsebenen wie hardwarebasierte Sicherheitsschlüssel bleiben gegen diese spezifischen Server-Angriffe wirksam.

BSI-Warnung: Gefälschter Signal-Support im Anmarsch

Die Enthüllungen zu den Passwort-Managern treffen auf eine bereits angespannte Lage. Seit dem 6. Februar warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Verfassungsschutz (BfV) vor einer ausgeklügelten Phishing-Kampagne gegen Signal-Nutzer. Die Angriffe werden mutmaßlich staatlich gesteuerten Cyber-Akteuren zugeschrieben.

Die Kampagne nutzt raffinierte Social-Engineering-Taktiken. Angreifer kontaktieren oft hochrangige Personen aus Politik, Journalismus und Wirtschaft. Sie geben sich als „Signal-Support“ oder ein „Sicherheits-ChatBot“ aus. In den Nachrichten wird ein angebliches Sicherheitsproblem oder drohender Datenverlust behauptet.

Zur „Lösung“ des erfundenen Problems fordern die Angreifer ihre Opfer auf, einen QR-Code zu scannen oder eine Bestätigungs-PIN einzugeben. In Wirklichkeit aktiviert der QR-Code die „Verbundene Geräte“-Funktion. So kann sich der Angreifer mit dem Signal-Konto des Opfers verbinden. Ist die Verbindung hergestellt, hat der Angreifer Echtzeit-Zugriff auf alle aktuellen und vergangenen Chats. Die Ende-zu-Ende-Verschlüsselung wird damit umgangen, indem der Angreifer selbst zum legitimen Endpunkt der Kommunikation wird.

Wie Fachportale wie BornCity und Golem berichteten, nutzen die Angriffe keine technischen Schwachstellen in der Signal-App selbst aus. Stattdessen manipulieren sie das Vertrauen der Nutzer in Autoritäten. Das BSI betont, dass die Täter täuschend echte Profile mit offiziell wirkenden Logos und Sprache verwenden, um die Wachsamkeit ihrer Opfer zu senken.

Strategiewechsel: Vom Wissen zum defensiven Verhalten

Die Gleichzeitigkeit dieser beiden Bedrohungen – technische Lücken in vertrauenswürdigen Tools und hochwertiges Social Engineering – erfordert eine Neubewertung der Unternehmensstrategie. Herkömmliche Awareness-Schulungen, die oft auf Tippfehler in E-Mails achten, sind gegen die Bedrohungen des Jahres 2026 nicht mehr ausreichend.

Neudefinition von Vertrauen in Infrastruktur

Die ETH-Ergebnisse zeigen: „Dem Tool vertrauen“ ist keine ausreichende Verteidigungsstrategie mehr. Unternehmen müssen auch in ihrer Sicherheitsinfrastruktur auf „Defense-in-Depth“ setzen.
* Aufteilung von Zugangsdaten: Experten raten, kritische Infrastruktur-Keys nicht im selben Cloud-Tresor wie Standard-Logins zu speichern.
* Härtung der Client-Seite: Firmen sollten ihre Passwort-Manager auf die höchsten Sicherheitseinstellungen konfigurieren. Dazu gehören maximale KDF-Iterationen und strikte Timeout-Richtlinien.

Abwehr von „Quishing“ und Support-Betrug

Die Signal-Kampagne unterstreicht den Aufstieg von „Quishing“ (QR-Code-Phishing) und Support-Impersonation. Da diese Angriffe oft auf Mobilgeräten stattfinden, wird der „menschliche Firewall“ zur primären Verteidigungslinie.
* Verifizierungsprotokolle: Unternehmen etablieren strikte „Out-of-Band“-Verifikation. Erhält ein Mitarbeiter eine Sicherheitswarnung, soll er die Nachricht ignorieren und stattdessen den internen IT-Support kontaktieren oder direkt die offiziellen Einstellungen des Dienstes aufrufen.
* QR-Code-Hygiene: Sicherheitsschulungen müssen QR-Codes nun mit demselben Misstrauen behandeln wie E-Mail-Anhänge. Mitarbeiter lernen: Legitimer Support wird niemals verlangen, einen QR-Code zur „Problembehebung“ zu scannen.

Übrigens — wer seine Organisation jetzt gegen die Kombination aus technischer Exploit-Gefahr und ausgeklügeltem Phishing wappnen will, findet konkrete Handlungsanweisungen in einem gratis E‑Book zur Unternehmens-Cybersicherheit. Der Leitfaden erklärt aktuelle Angriffsmethoden (inkl. Quishing und Linked‑Device-Angriffe), priorisiert sofort umsetzbare Schutzmaßnahmen und hilft bei der Vorbereitung auf Meldepflichten wie NIS2. Jetzt kostenloses Cyber-Security-E‑Book herunterladen

Regulatorischer Druck und NIS2-Compliance

Diese Entwicklungen haben auch erhebliche regulatorische Bedeutung. Die NIS2-Richtlinie ist in Deutschland seit Ende 2024 vollständig umgesetzt. Sie verpflichtet Unternehmen zu strengeren Meldepflichten bei signifikanten Cyber-Vorfällen.

Die Involvierung des BSI in die Signal-Warnung unterstreicht: Phishing ist kein Kavaliersdelikt mehr, sondern eine Frage der nationalen Sicherheit. Für Unternehmen in kritischen Sektoren (KRITIS) könnte ein erfolgreicher Phishing-Angriff auf sensible Kommunikation Meldepflichten und mögliche Bußgelder nach sich ziehen, falls Fahrlässigkeit nachgewiesen wird.

Rechtsexperten weisen darauf hin, dass sich der in NIS2 geforderte „Stand der Technik“ mit der Bedrohungslage weiterentwickelt. Im Februar 2026 könnte die Unkenntnis über „Linked Device“-Angriffe oder die Nutzung ungepatchter Passwort-Manager bereits als Versäumnis gewertet werden.

Ausblick 2026: Zero-Trust wird unverzichtbar

Für das restliche Jahr 2026 erwarten Branchenbeobachter eine weitere Verschmelzung von technischen Exploits und Social Engineering. Das von der ETH Zürich beschriebene „böswillige Server“-Konzept könnte Nachahmer bei anderen Cloud-Kollaborationstools inspirieren. Anbieter werden ihre „Zero-Knowledge“-Versprechen durch strenge externe Audits belegen müssen.

Gleichzeitig wird der Einsatz von KI im Phishing eskalieren. Während die aktuelle Signal-Kampagne auf textbasierte Täuschung setzt, prognostizieren Analysten den baldigen Einsatz von Voice-Deepfakes. Diese könnten verwendet werden, um „Linked Device“-Anfragen zu autorisieren und die Angriffe noch überzeugender zu machen.

Die Lehre dieser Woche für Führungskräfte ist eindeutig: Sicherheitstools sind unverzichtbar, aber nicht unfehlbar. Die Schutzstrategie für 2026 erfordert einen skeptischen, verifizierenden Ansatz für jede digitale Interaktion – egal, ob sie von einem Fremden in einem Messenger oder aus dem Tresor der eigenen Firmengeheimnisse kommt.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.