Bundestag wechselt Signal gegen Wire
Tech & Wissen

Bundestag wechselt Signal gegen Wire

Nach dem russischen Phishing-Angriff auf rund 300 Signal-Konten von Politikern und Beamten wechselt der Bundestag seinen Standard-Messenger. Der Digitalausschuss diskutierte gestern den Fall, das BSI hat Wire Bund bereits zugelassen.

8. Mai 2026, 3:03 Uhr 693 Wörter · 4 Min. Lesezeit
Redaktion: KI-gestützt erstellt und redaktionell geprüft

Wer künftig einen Abgeordneten über den offiziellen Bundestags-Messenger erreichen will, wird nicht mehr auf Signal stoßen. Nach dem russischen Phishing-Angriff auf rund 300 Signal-Konten von Politikern, Beamten und Journalisten empfahl Bundestagspräsidentin Julia Klöckner am 24. April allen Abgeordneten, auf den europäischen Messenger Wire zu wechseln. Am 7. Mai diskutierte der Digitalausschuss den Fall, das BSI hatte seine Zulassung für Wire Bund bereits am 27. April erteilt. Zehn Jahre hat Signal als sicherster Consumer-Messenger gegolten. Nun zeigt sich, wie wenig die Technik nützt, wenn die Angreifer das Verhalten der Nutzer ausnutzen statt die Verschlüsselung zu knacken.

Warum Signal hier keine Schuld trifft

Signal selbst wurde nicht gehackt. Die Verschlüsselung der App gilt weiterhin als sicher. Der Angriff nutzte eine legitime Funktion: die sogenannte verknüpfte Gerätefunktion, mit der sich ein Account auf einem zweiten Gerät anmelden lässt. Russische Angreifer schickten täuschend echte Nachrichten, die offiziellen Signal-Sicherheitswarnungen ähnelten. Wer den enthaltenen QR-Code einscannte oder seinen PIN eingab, erlaubte den Angreifern, ein eigenes Gerät zu verknüpfen. Ab diesem Moment lasen sie alle eingehenden Nachrichten mit, ohne dass die Opfer es merkten.

Das Bundesamt für Sicherheit in der Informationstechnik hatte vor der Methode bereits im März 2025 gewarnt. Dennoch gelang es den Angreifern, nach Erkenntnissen der Sicherheitsbehörden rund 300 Accounts zu kompromittieren. Zu den Betroffenen zählen neben Klöckner, Bundesbildungsministerin Karin Prien (CDU) und Bauministerin Verena Hubertz (SPD) auch Parlamentarier aller Fraktionen, Beamte und Militärangehörige. Die Bundesregierung hat Russland als Urheber benannt.

Was Wire anders macht

Der Kern des Problems bei Signal ist technisch simpel: Accounts werden über Telefonnummern identifiziert. Öffentlich bekannte Mobilnummern von Politikern und Beamten sind der Ausgangspunkt für Spear-Phishing. Wire löst das anders. Die Registrierung läuft über eine E-Mail-Adresse, die für andere Nutzer nicht sichtbar ist. Das erschwert gezieltes Phishing erheblich, weil Angreifer zuerst die Dienstmailadresse ihres Opfers kennen müssen statt nur die dienstlich bekannte Mobilnummer.

Entscheidender für den Einsatz im Regierungsumfeld ist Wire Bund, eine speziell abgesicherte Version, die das BSI am 27. April für Verschlusssachen der Kategorie „Nur für den Dienstgebrauch“ (VS-NfD) zugelassen hat. Wire Bund läuft auf Servern in deutschen Regierungsrechenzentren statt in amerikanischen Clouds. Der Code ist Open Source und damit extern überprüfbar. Wire-CEO Benjamin Schilz formulierte die Logik am 2. Mai so: „Echte digitale Souveränität erfordert das Zusammenspiel unserer zertifizierten Software, der sicheren staatlichen Infrastruktur und korrekter Betriebsverfahren.“

Der Wechsel läuft nicht unwidersprochen

Im Digitalausschuss zeigte sich am 7. Mai eine politisch unerwartete Frontlinie. Bundestagsvizepräsidentin Andrea Lindholz (CSU) forderte ein bundesweites Signal-Verbot für alle Regierungsmitglieder. Die Grünen widersprachen: Konstantin von Notz nannte Lindholz' Vorschlag ein Zeichen für „Mangel an Wissen über Messengerdienste“. Auch der CDU-Abgeordnete Marc Henrichmann betonte, dass ein Messenger-Wechsel das eigentliche Problem nicht löst: „Die eigentliche Schwachstelle war nicht die Technologie.” Schulungen gegen Social Engineering seien wichtiger als eine App-Entscheidung.

Diese Einschätzung teilt das BSI grundsätzlich. Signal bleibt für den Privatgebrauch empfohlen, die Verschlüsselung gilt nach wie vor als sicher. Der Rat des BSI: Nutzer sollen die Liste verknüpfter Geräte in Signal regelmäßig prüfen und unbekannte Einträge sofort entfernen. Ob dieses Verhalten im politischen Alltag zuverlässig umgesetzt wird, bezweifeln viele Experten.

Wire ist in deutschen Behörden keine Neuheit

Der Umstieg des Bundestags klingt nach einer Notfallreaktion, ist es aber nicht vollständig. Wire ist seit 2022 in mehr als 60 deutschen Bundesbehörden im Einsatz, mit über 10.000 registrierten Nutzern, darunter Bundeswehr und Bundesnachrichtendienst. Die Wire Swiss GmbH mit Sitz in Zug und Entwicklungszentrum in Berlin wurde 2012 von ehemaligen Skype-Mitarbeitern gegründet. Janus Friis, Skype-Mitgründer, ist Executive Chairman.

Allerdings weist Schilz darauf hin, dass auch Wire nur so sicher ist wie seine Betriebsumgebung. Die BSI-Zulassung für VS-NfD gilt bis Ende 2028. Danach ist Post-Quanten-Kryptografie Pflicht, ein Standard, der gegen künftige Quantencomputer-Angriffe absichert.

Bis 15. Mai erwartet das BMI neue Sicherheitsrichtlinien

Das Bundesinnenministerium hatte angekündigt, bis zum 15. Mai aktualisierte Sicherheitshinweise für alle Bundesbehörden herauszugeben. Darin dürfte der Umgang mit Messenger-Diensten konkret geregelt werden. Offen ist, ob eine bundesweite Verpflichtung kommt oder ob weiterhin jedes Ministerium selbst entscheiden darf.

Für den Bundestag ist die Richtung gesetzt. Ob der Wechsel das entscheidende Signal an Moskau sendet, dass deutsches politisches Personal nicht mehr so leicht ausspionierbar ist, wird davon abhängen, ob die Nutzer die neuen Regeln auch konsequent anwenden. Technik war nie das Problem.

Quellen (7)
Heise Online · Tagesspiegel · Behörden Spiegel · egovernment.de · taz · connect.de · netzpolitik.org

Kommentare

Weitere Artikel