Bundesanwaltschaft ermittelt: Spionage über Signal

Generalbundesanwalt Jens Rommel ermittelt wegen Spionageverdachts. Auslöser ist eine koordinierte Phishing-Kampagne gegen Signal-Nutzer in Deutschland, die über Monate hinweg läuft und nun die Bundesregierung selbst erreicht hat. Neben Bundestagspräsidentin Julia Klöckner sind nach Informationen des Handelsblatts auch Bauministerin Verena Hubertz (SPD) und Bildungsministerin Karin Prien (CDU) betroffen. Die Bundesregierung hat Russland als mutmaßlichen Urheber benannt. Mit der Übernahme durch den Generalbundesanwalt verlässt der Fall die Verfassungsschutzebene und erreicht die höchste Stufe strafrechtlicher Strafverfolgung in Deutschland.

Wie der Angriff funktioniert

Signal selbst ist nicht gehackt worden. Die Schwachstelle ist eine legitime Funktion des Messengers: die sogenannte verknüpfte Gerätefunktion. Über sie lässt sich ein Account auf einem zweiten Gerät anmelden, was für berufliche Nutzung auf Smartphones und Notebooks praktisch ist. Die Angreifer missbrauchen diesen Mechanismus, indem sie ihren Opfern täuschend echte Nachrichten schicken, die offiziellen Signal-Sicherheitsmitteilungen ähneln. Wer darauf klickt und einen QR-Code einscannt oder einen PIN eingibt, erlaubt den Angreifern, ein eigenes Gerät als verknüpftes Gerät zu registrieren. Ab diesem Moment können sie alle eingehenden Nachrichten mitlesen.

Das Bundesamt für Sicherheit in der Informationstechnik hatte bereits im März 2025 vor der Technik gewarnt. Das Bundesamt für Verfassungsschutz geht davon aus, dass die eigentliche Dunkelziffer deutlich über den bisher bekannten Fällen liegt. Mindestens 300 Betroffene in Deutschland sind den Behörden bekannt, darunter Parlamentarier aller Bundestagsfraktionen, Beamte, Militärangehörige und Journalisten.

Warum Ministerinnen ein anderes Gewicht haben

Bundestagspräsidentin Klöckner war als Angriffsziel heikel, weil sie Mitglied einer CDU-Präsidiumsgruppe auf Signal ist, in der auch Kanzler Friedrich Merz kommuniziert. Die neuen Fälle verschieben das Ausmaß nochmals: Ministerinnen führen Signal-Gruppen mit Staatssekretären, Referatsleitern und externen Beratern. Was in solchen Gruppen besprochen wird, berührt direkt Ressortpolitik, Kabinettsentscheidungen und laufende Verhandlungen.

Ob Prien und Hubertz aktiv ausgespäht wurden oder ob die Kampagne auf ihre Kontaktlisten und Chatverläufe zugegriffen hat, ist nicht öffentlich bekannt. Auch ist unklar, wie lange der Zugriff bestand, bevor er entdeckt wurde. Aus Sicherheitskreisen heißt es, die Angreifer agierten in vielen Fällen wochenlang unbemerkt, weil ein verknüpftes Gerät in der Signal-App nicht prominent angezeigt wird.

Russland als staatlicher Akteur

Die Bundesregierung hat die Angriffe offiziell Russland zugeordnet. Eine finale Attribution durch Sicherheitsbehörden ist selten: Sie erfordert nachrichtendienstliche Erkenntnisse, die nicht öffentlich gemacht werden können. Dass die Bundesregierung diesen Schritt dennoch geht, ist politisch bedeutsam. Es signalisiert, dass die Erkenntnislage eindeutig genug ist, um sie öffentlich zu vertreten.

Vergleichbare Kampagnen wurden seit Winter 2025 in Großbritannien und den Niederlanden beobachtet. Die niederländische Regierung hat Russland ebenfalls als Urheber benannt. Das Muster ist konsistent: Phishing-Nachrichten über Signal, Zielgruppe Politiker, Beamte und Journalisten, Ziel die Übernahme von Konten und das Mitlesen interner Kommunikation. Die Kampagne richtet sich explizit gegen NATO-Mitglieder.

Was die Ermittlungen bedeuten

Der Generalbundesanwalt ist nach deutschem Recht für Staatsschutzdelikte zuständig, also für Straftaten, die sich gegen den Bestand oder die Sicherheit der Bundesrepublik richten. Spionage nach Paragraf 99 des Strafgesetzbuches ist ein solches Delikt. Dass Rommel die Ermittlungen übernommen hat, ist keine Routineentscheidung: Sie setzt voraus, dass ein anfänglicher Verdacht besteht, der den Tatbestand der geheimdienstlichen Agententätigkeit erfüllt.

Praktische Konsequenzen für die Verdächtigen (in diesem Fall russischen Staatsbediensteten) sind gering, solange diese sich außerhalb Deutschlands aufhalten. Der Wert der Ermittlungen liegt woanders: Sie schaffen Rechtssicherheit für mögliche spätere Auslieferungsbegehren, sie erlauben Behörden den Zugriff auf technische Beweismittel und sie senden ein politisches Signal gegenüber Moskau.

Wie die Bundesregierung reagiert

Das Bundesinnenministerium hat nach Bekanntwerden der Fälle eine Überprüfung der Kommunikationsrichtlinien für Regierungsmitglieder angekündigt. Bisher gibt es keine bundesweite Verpflichtung, Signal nur über verwaltete Geräte mit aktivierter Gerätebindung zu nutzen. Genau das wäre die technische Gegenmaßnahme: Wenn ein Gerät an ein Nutzerkonto gebunden und nur über eine gesicherte Unternehmensinfrastruktur registrierbar ist, lässt sich das Verknüpfen fremder Geräte verhindern.

Das BSI empfiehlt Signal weiterhin für vertrauliche Kommunikation und hält die Verschlüsselung für sicher. Die Empfehlung gilt allerdings mit der Einschränkung, dass Nutzer ihre verknüpften Geräte regelmäßig prüfen und unbekannte Einträge sofort entfernen. Bis zum 15. Mai will das Bundesinnenministerium aktualisierte Sicherheitshinweise für alle Bundesbehörden herausgeben.