Achtung! - Konten-Übernahme bei Signal!

Eigentlich nutzen wir Signal, weil wir der Überwachung von Meta und Co. entkommen wollen. Doch am 29. April 2026 steht der Dienst unter Beschuss.

Berichte über übernommene Konten häufen sich, und die Erklärungen von Signal zeigen ein altbekanntes, aber immer noch tödliches Problem auf: Die Abhängigkeit von der veralteten SMS-Infrastruktur. Wer heute nicht aufpasst, verliert seinen Account schneller, als er „Verschlüsselung“ sagen kann.

In den letzten Tagen kam es zu einer Welle von Account-Übernahmen. Nutzer stellten plötzlich fest, dass sie von ihrem eigenen Signal-Konto abgemeldet wurden. Kurze Zeit später verschickten ihre Profile dubiose Links oder Spam-Nachrichten an ihre Kontakte.

Laut Signal handelt es sich nicht um einen direkten Hack ihrer Server, sondern um einen gezielten Angriff auf die Verifizierungsschnittstellen. Angreifer nutzen dabei Schwachstellen bei SMS-Dienstleistern aus oder setzen auf hochkomplexes Social Engineering, um an den Registrierungscode der Nutzer zu kommen.

Die technische Lücke: Das SMS-Gateway-Problem

Technisch gesehen ist die Telefonnummer bei Signal Segen und Fluch zugleich. Wenn du Signal auf einem neuen Gerät installierst, wird ein Code per SMS gesendet.

• Supply-Chain-Attacken: Erneut stehen Partner wie Twilio im Fokus. Wenn Angreifer Zugriff auf die Systeme eines SMS-Gateways erhalten, können sie die Verifizierungscodes für bestimmte Nummern abfangen.
• SIM-Swapping: Kriminelle geben sich als der Nutzer aus und lassen die SIM-Karte beim Provider sperren und auf eine neue Karte umleiten.
• VZC System Insight: Sobald der Angreifer den Code hat, kann er dein Konto auf seinem Gerät registrieren. Da Signal keine Cloud-Backups deiner Chats speichert (was gut für die Privatsphäre ist), sieht der Angreifer zwar deine alten Nachrichten nicht, kann aber in deinem Namen neue Unterhaltungen beginnen.

Das ist deshalb so relevant, weil Signal oft für hochsensible Kommunikation genutzt wird. Ein übernommenes Konto ist nicht nur peinlich, sondern eine Gefahr für dein gesamtes soziales und berufliches Umfeld. Wenn deine Kontakte eine Nachricht von „dir“ erhalten, vertrauen sie darauf – und klicken vielleicht auf schädliche Links, die der Angreifer streut.

Was du jetzt tun musst:

• Registrierungssperre aktivieren: Gehe in die Einstellungen > Konto > Registrierungssperre. Erstelle eine PIN. Ohne diese PIN kann niemand dein Konto auf einem neuen Handy anmelden, selbst wenn er den SMS-Code hat.
• Sicherheitsnummern prüfen: Wenn sich der Sicherheitsschlüssel eines Kontakts plötzlich ändert, frage auf einem anderen Weg (Anruf!) nach, ob alles okay ist.
• Zwei-Faktor-Authentifizierung (2FA): Nutze, wo immer möglich, zusätzliche Sicherheitslayer, die nicht auf SMS basieren.

Meine kritische Meinung

Es nervt mich gewaltig, dass wir im Jahr 2026 immer noch über SMS-Sicherheit diskutieren müssen. Signal macht einen tollen Job bei der Verschlüsselung, aber die Bindung an die Telefonnummer ist und bleibt ein archaischer Klotz am Bein. Es wird Zeit für echte, unabhängige Benutzernamen ohne Nummernzwang als Standard.

Meiner Meinung nach ist der aktuelle Vorfall ein Weckruf: Verlasst euch nie blind auf eine einzige App. Wer die Registrierungssperre nicht aktiviert hat, handelt grob fahrlässig. Signal ist immer noch sicherer als WhatsApp, aber unbesiegbar ist niemand. Dass Signal die Angriffe so transparent erklärt, ist lobenswert, ändert aber nichts daran, dass das Vertrauen vieler Nutzer erst einmal einen Knacks hat. Mein Tipp: Checkt heute noch eure PIN-Einstellungen!

Hast du die Registrierungssperre bei Signal bereits aktiviert, oder verlässt du dich bisher allein auf den SMS-Code?