Mehrere deutsche Politikerinnen und Politiker, darunter die Bundesministerinnen Karin Prien (CDU) und Bettina Hubertz (SPD), sind Berichten zufolge Opfer von Hacks ihrer Signal-Messenger-Konten geworden. Laut einem Bericht des *Spiegel* nutzten die Angreifer eine Sicherheitslücke beim SMS-Dienstleister Twilio aus. Diese Schwachstelle ermöglichte es den Hackern, Signal-Konten unter den Telefonnummern der betroffenen Personen neu zu registrieren, indem sie die für die Verifizierung notwendigen SMS-Codes abfingen. Dadurch erhielten die Täter Zugriff auf Kontaktlisten und möglicherweise auch auf Informationen über Gruppenzugehörigkeiten. Wichtig ist jedoch zu betonen, dass aufgrund der Ende-zu-Ende-Verschlüsselung von Signal und der lokalen Speicherung der Nachrichten, frühere Chat-Verläufe nicht kompromittiert oder einsehbar waren. Das Bundesministerium des Innern (BMI) hat die Vorfälle bestätigt und riet allen Nutzern zu erhöhter Vorsicht. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekräftigte die Empfehlung, eine Mehr-Faktor-Authentifizierung (MFA) für alle sensiblen Online-Dienste zu aktivieren. Dies sei ein wirksamer Schutz gegen derartige Phishing-Versuche und das Abfangen von SMS-Nachrichten. Dieser Vorfall verdeutlicht die Risiken, die mit SMS-basierten Verifizierungsmethoden und potenziellen Schwachstellen in der Telekommunikationsinfrastruktur – wie etwa SIM-Swap-Angriffen oder Sicherheitslücken bei SMS-Anbietern – verbunden sind. Ähnliche Angriffe über Twilio hatten bereits in den USA zahlreiche Prominente und Politiker getroffen, was auf ein wiederkehrendes Muster der Ausnutzung hindeutet. Signal selbst betonte, dass seine eigenen Verschlüsselungsprotokolle und die Anwendungssicherheit nicht verletzt wurden. Die Schwachstelle lag ausschließlich beim externen SMS-Dienstleister Twilio, der die anfängliche Verifizierung bei der Kontoregistrierung durchführt. Die Architektur von Signal gewährleistet, dass Nachrichten ausschließlich auf dem Gerät des Nutzers gespeichert und durch eine starke Ende-zu-Ende-Verschlüsselung geschützt sind. Dieses Design verhindert, dass Dritte, einschließlich Signal selbst, auf den Inhalt von Nachrichten zugreifen können, selbst wenn ein Konto unrechtmäßig neu registriert wird. Betroffene Nutzer wurden umgehend von Signal benachrichtigt. Das Unternehmen hat seitdem Maßnahmen ergriffen, um ähnliche Vorfälle zu verhindern, zum Beispiel durch die Erzwingung einer erneuten Registrierung nach einer bestimmten Zeit der Inaktivität oder bei verdächtigen Aktivitäten. Der Schwerpunkt der Angreifer lag in diesem Kontext primär auf der Erfassung von Metadaten wie Kontaktlisten, die für weitere Social-Engineering-Angriffe oder gezielte Phishing-Kampagnen weiterhin von Wert sein können.