Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 28.06.2026 · 2 min Lesezeit

FBI und CISA warnen: Russische Geheimdienste zielen auf Signal-Backup-Recovery-Keys

Das FBI und CISA haben eine aktualisierte Warnung veröffentlicht, der zufolge russische Geheimdienste nun gezielt Signal-Backup-Recovery-Keys per Phishing abgreifen. Damit können Angreifer Nachrichtenverläufe wiederherstellen und Accounts dauerhaft übernehmen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
FBI und CISA warnen vor russischen Geheimdiensten, die Signal Backup Recovery Keys angreifen, mit verschlüsseltem Smartphone, Recovery Key, Backup Tresor und roten Cyberangriffslinien als IT News Grafik.

Das FBI und CISA haben eine aktualisierte Warnung vor einer Phishing-Kampagne russischer Geheimdienste veröffentlicht. Die Angreifer zielen nun gezielt auf Signal-Backup-Recovery-Keys ab, um Nachrichtenverläufe von Zielpersonen zu kopieren und Accounts dauerhaft zu übernehmen.

Was ist passiert?

Die US-Behörden FBI und CISA haben am 26. und 27. Juni 2026 eine aktualisierte Warnung zu einer laufenden Phishing-Kampagne veröffentlicht, die russischen Geheimdiensten zugeordnet wird. Die Akteure, die unter dem Bezeichner UNC5792 geführt werden, hatten zuvor bereits Signal-Accounts per Phishing ins Visier genommen. Die neue Taktik erweitert den Angriff: Die Phishing-Nachrichten bringen Ziele dazu, ihren Signal Backup Recovery Key preiszugeben. Mit diesem Schlüssel können Angreifer verschlüsselte Backups der Nachrichtenhistorie wiederherstellen und auf einem eigenen Gerät einrichten. Dadurch erhalten sie dauerhaften Lesezugriff auf alle Nachrichten, ohne das Gerät des Opfers physisch zu kompromittieren.

Wer ist betroffen?

Betroffen sind Nutzer von Signal, die Backup-Recovery-Keys verwenden. Die Kampagne richtet sich primär gegen Ziele in der Ukraine, Europa und den USA, darunter Regierungsmitarbeiter, Journalisten, Militärpersonal und Aktivisten. Die Phishing-Nachrichten werden über SMS, E-Mail und gefälschte Support-Seiten verbreitet. Signal-Nutzer in Unternehmen und Organisationen, die den Messenger für sensible Kommunikation einsetzen, sind ebenfalls potenziell betroffen.

Wie kritisch ist das?

Der Angriff ermöglicht Angreifern den dauerhaften Zugriff auf die gesamte Nachrichtenhistorie eines Opfers. Da Signal Ende-zu-Ende-Verschlüsselung bietet, ist der Backup-Recovery-Key der einzige Weg, an verschlüsselte Inhalte zu gelangen, ohne das Gerät direkt zu kompromittieren. Die Kampagne ist Teil einer groß angelegten Spionage-Operation. Die Kritikalität ist hoch für Ziele in sensiblen Positionen. Für Durchschnittsnutzer ist das Risiko geringer, da die Kampagne gezielt arbeitet.

Was sollten Admins jetzt tun?

  1. Mitarbeiter aufklären, dass Signal niemals nach Backup-Recovery-Keys fragt und Phishing-Versuche melden
  2. Signal-Backups nur lokal speichern und Recovery-Keys niemals teilen oder über ungesicherte Kanäle übermitteln
  3. Phishing-Schulungen um Messenger-spezifische Angriffe erweitern
  4. Für sensible Kommunikation zusätzliche Verifizierung der Geräte und Kontaktschlüssel nutzen
  5. Signal auf die neueste Version aktualisieren und Registrierungs-PIN aktivieren

Einordnung für Unternehmen

Für kleine und mittlere Unternehmen ist die Warnung relevant, wenn Signal für interne oder externe Kommunikation mit sensiblen Inhalten eingesetzt wird. Der Angriff zeigt, dass die Sicherung von Messengern nicht nur auf dem Gerät, sondern auch bei der Backup-Verwaltung ansetzt. Security-Awareness-Programme sollten Messenger-Phishing als eigenständiges Thema behandeln. Besonders in Organisationen mit Kontakt zu Journalisten, Behörden oder internationalen Partnern ist erhöhte Wachsamkeit angebracht.

Quellen

  1. The Hacker News: FBI Warns Russian Intelligence
  2. SecurityAffairs: FBI Alert Russian Intelligence
  3. CISA Alerts
Verwandt

Weiter lesen

Alle Artikel →
Cybersecurity Illustration zu Amazon Q Developer, bei der manipulierte Repositories AWS Cloud Zugangsdaten auslesen und über versteckte Skripte an Angreifer exfiltrieren.
28.06.2026 ·2 min

DirtyClone: Neue Linux-Kernel-Lücke ermöglicht lokale Root-Eskalation

Sicherheitsforscher von JFrog haben einen funktionierenden Exploit für die Linux-Kernel-Lücke CVE-2026-43503 veröffentlicht. Die als DirtyClone bezeichnete Schwachstelle ermöglicht lokalen Nutzern die Eskalation auf Root-Ebene ohne Spuren in Kernel-Logs zu hinterlassen.
libssh2 Sicherheitslücke CVE 2026 58050 mit öffentlichem PoC Exploit, Heap Corruption, SSH Modul, rotem Angriffspfad und gebrochenem Schutzschild als professionelle IT News Grafik.
28.06.2026 ·3 min

libssh2: Öffentlicher PoC-Exploit für Heap-Corruption-Lücke CVE-2026-58050

Sicherheitsforscher haben einen Proof-of-Concept-Exploit für die libssh2-Schwachstelle CVE-2026-58050 veröffentlicht. Ein bösartiger SSH-Server kann damit den Heap eines verbindungsaufbauenden Clients korrumpieren. Betroffen sind alle Versionen bis einschließlich 1.11.1.
Cybersecurity Illustration zu Amazon Q Developer, bei der manipulierte Repositories AWS Cloud Zugangsdaten auslesen und über versteckte Skripte an Angreifer exfiltrieren.
28.06.2026 ·2 min

Amazon Q Developer: Manipulierte Repos konnten AWS-Cloud-Zugangsdaten abgreifen

Wiz Research hat eine Schwachstelle in Amazons KI-Coding-Assistent Q Developer offengelegt, die es Angreifern ermöglichte, über manipulierte Git-Repositories Befehle auszuführen und AWS-Zugangsdaten zu stehlen. AWS hat den Fix veröffentlicht.