Signal-Hack trifft Bundestagspräsidentin Klöckner

Das Signal-Konto von Bundestagspräsidentin Julia Klöckner ist von russischen Hackern übernommen worden. Klöckner war Mitglied einer CDU-Präsidiumsgruppe auf Signal, über die auch Kanzler Friedrich Merz kommuniziert. Merz wurde vom Bundesamt für Verfassungsschutz informiert; eine Überprüfung seines Telefons ergab laut Berichten keine Anomalien. Das Bundesamt warnt, dass zahlreiche Signal-Gruppen im deutschen Parlamentsbetrieb derzeit nahezu unbemerkt ausgelesen werden.

Signal ist nicht das Problem

Signal gilt unter IT-Sicherheitsexperten als einer der zuverlässigsten Messenger der Welt. Signalverschlüsselung ist so konstruiert, dass kein Dritter Nachrichten auf dem Übertragungsweg lesen kann, auch kein Geheimdienst. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt den Messenger explizit für vertrauliche Kommunikation in Behörden. Genau deshalb hat Signal sich als bevorzugtes Werkzeug für sensible politische Absprachen etabliert.

Das technische Fundament des Systems ist intakt. Geknackt wurde nicht die Verschlüsselung, sondern die Bereitschaft von Nutzern, auf plausibel klingende Nachrichten hereinzufallen. Die Angreifer schickten über Signal Nachrichten, die täuschend echt wie offizielle Sicherheitshinweise des Messenger-Supports wirkten. Darin wurden Nutzer aufgefordert, ihre Geräte zu verifizieren oder einen Registrierungs-PIN einzugeben. Wer das tat, erlaubte den Hackern, ein weiteres Gerät als sogenanntes verknüpftes Gerät mit dem eigenen Konto zu verbinden. Von diesem Moment an konnten die Angreifer alle Nachrichten mitlesen, ohne dass der Kontoinhaber es bemerkte.

BfV und BSI hatten Bundestagsmitglieder bereits im Februar 2026 in einem 20-seitigen Schreiben ausdrücklich vor dieser Angriffswelle gewarnt. Der Schutz reichte nicht aus.

Wer hinter dem Angriff steckt

Das niederländische Militärgeheimdienst MIVD und der zivile Nachrichtendienst AIVD haben die Kampagne russischen Staatsakteuren zugeschrieben. Deutsche Sicherheitsbehörden teilen diese Einschätzung. BfV und BSI aktualisierten am 17. April 2026 ihre Warnung mit einem Leitfaden für Betroffene. Die Angreifer zielen laut BfV bewusst auf hochrangige Personen aus Politik, Militär und Diplomatie sowie auf investigative Journalisten.

In Deutschland gelten inzwischen mindestens 300 Personen als bekannte Opfer der Kampagne. Angesichts der Dunkelziffer dürfte die tatsächliche Zahl erheblich höher liegen. Betroffen sind neben Klöckner mehrere Mitglieder der SPD-Bundestagsfraktion sowie Journalisten großer Redaktionen.

Was Klöckners Hack bedeutet

Klöckner ist das ranghöchste bekannte Opfer. Als Bundestagspräsidentin steht sie an der Spitze des deutschen Parlaments und kommuniziert auf höchster Ebene mit der Regierungsspitze. Ihr kompromittiertes Konto war Teil einer CDU-Präsidiumsgruppe, zu der auch Bundeskanzler Merz gehört. In solchen Gruppen werden Positionen abgestimmt, bevor sie öffentlich werden. Sensible Themen wie Ukrainepolitik, Verteidigungsausgaben und Koalitionsstrategien können Inhalt dieser Gespräche sein.

Was die Angreifer konkret aus Klöckners Nachrichten gewonnen haben, ist nicht bekannt. Das Schadenpotenzial liegt im Strukturellen: Wenn russische Dienste Echtzeit-Zugang zu politischer Führungskommunikation haben, kennen sie Verhandlungspositionen und Entscheidungsabsichten, bevor diese öffentlich werden. Das ist klassische politische Aufklärung mit einem modernen Werkzeug.

Eine naheliegende Frage lautet, warum die Februarwarnung des BfV keinen ausreichenden Schutz geboten hat. Phishing-Angriffe sind schwer zu verhindern, weil sie an der menschlichen Aufmerksamkeit ansetzen, nicht an technischen Systemen. Selbst informierte Nutzer, die eine solche Warnung gelesen haben, können im konkreten Moment auf eine täuschend echte Nachricht hereinfallen. Das ist keine Entschuldigung, aber eine Erklärung für die strukturelle Schwäche dieser Abwehrstrategie.

Historisches Muster russischer Parlamentsspionage

Der Angriff reiht sich in ein langjähriges Muster russischer Cyberaktivitäten gegen den Deutschen Bundestag ein. 2015 drang eine Gruppe, die westliche Nachrichtendienste der Hackergruppe APT28 zuordneten, in das interne IT-System des Bundestags ein. Damals wurden laut BSI über 16 Gigabyte Daten abgezogen, darunter E-Mails und interne Dokumente von Abgeordneten. Der Unterschied 2026 ist methodisch erheblich: Während der Angriff 2015 ein technischer Einbruch in die IT-Infrastruktur war, müssen die Angreifer heute gar nicht mehr in Systeme eindringen. Sie überreden deren Nutzer, ihnen freiwillig Zugang zu geben. Das ist schwerer zu erkennen, schwerer zu verhindern und kann dauerhaft unentdeckt bleiben, solange keine Überprüfung stattfindet.

Was jetzt passiert

BfV und BSI haben am 17. April 2026 einen aktualisierten Leitfaden veröffentlicht, der konkrete Schritte für Betroffene enthält: das Überprüfen aktiver verknüpfter Geräte, die Deaktivierung unbekannter Sitzungen und die Aktivierung eines Registrierungssperrers. Der Bundestag überprüft alle internen Signal-Gruppen auf möglicherweise kompromittierte Mitglieder. Eine diplomatische Reaktion auf den russischen Angriff hat die Bundesregierung bislang nicht angekündigt. Das BfV geht davon aus, dass die Kampagne anhält.