Signal Backup Recovery Key russischer

Signal Backup Recovery Key russischer Geheimdienst-Operationen sind jetzt offiziell bestätigt: Das FBI, CISA und der ukrainische Sicherheitsdienst (SSU) haben am 26.–27. Juni 2026 gemeinsam offengelegt, dass FSB-verknüpfte UNC5792 und GRU-verknüpfte UNC4221 diese Keys über gefälschte Support-SMS stehlen — und damit dauerhaften Zugriff auf vollständige Nachrichtenarchive erlangen, auch nach einem Geräte-Reset oder Nummernwechsel. Jede Organisation, die Signal für sensible Kommunikation nutzt, muss heute eine konkrete Maßnahme ergreifen.
Was ist passiert
Signal Backup Recovery Key-Diebstahl ist die neue spezifische Angriffstechnik, die im aktualisierten FBI-und-CISA-Advisory PSA I-062626 (26. Juni 2026) dokumentiert wurde: Russische Geheimdienstakteure, die als UNC5792 (mit dem FSB-Grenzschutz assoziiert) und UNC4221 (mit dem militärischen Nachrichtendienst GRU assoziiert) verfolgt werden, haben ihre Signal-Phishing-Operation gezielt auf Backup Recovery Keys ausgeweitet.
Der Angriff nutzt keine Signal-Schwachstelle aus. Die Ende-zu-Ende-Verschlüsselung von Signal ist intakt. Der Angriff zielt auf die Backup-Schicht ab — den separaten Mechanismus, der die Kontowiederherstellung auf einem neuen Gerät ermöglicht.
Die Taktik: Zielpersonen erhalten eine SMS, die sich als offizieller Signal-Support ausgibt. Die Nachricht warnt vor einem Synchronisierungsfehler, der die Nachrichtenhistorie gefährde. Um die Daten zu „schützen“, werden die Empfänger aufgefordert, die Signal-Einstellungen zu öffnen, ihren Backup Recovery Key zu kopieren und ihn in die Antwort einzufügen. Sobald dieser Key übergeben wird, kann der Angreifer das vollständige Nachrichtenarchiv der Zielperson — alle privaten und Gruppenkonversationen — auf ein von ihm kontrolliertes Gerät wiederherstellen.
Das entscheidende Detail, das das Standard-Incident-Response-Playbook verändert: Das Anlegen eines neuen Signal-Kontos mit derselben Telefonnummer macht einen gestohlenen Backup Recovery Key nicht ungültig. Der Key überlebt die Rotation der Telefonnummer. Betroffene, die das Standard-Zurücksetzen ihres Geräts durchführen, glauben geschützt zu sein — sind es aber nicht. Der Angreifer behält dauerhaft die Möglichkeit, Backup-Archive herunterzuladen, bis die Zielperson explizit einen neuen Key generiert.
Am 27. Juni veröffentlichte der ukrainische SSU eine gemeinsame Bestätigung derselben Kampagne, in der UNC5792 und UNC4221 als verantwortlich identifiziert und die bestätigten Zielkategorien spezifiziert wurden: Regierungsbeamte, Militärpersonal, Politiker, Journalisten und zivilgesellschaftliche Kontakte in der Ukraine, Europa und den USA.
Warum das wichtig ist
Die Ende-zu-Ende-Verschlüsselung ist nicht gebrochen. Die Kryptographie von Signal ist einwandfrei. Aber die Backup-Schicht ist eine separate Angriffsfläche, die in unternehmensinternen Messaging-Sicherheitsrichtlinien selten explizit adressiert wird.
Für DACH-Organisationen, die Signal als sicheren Kanal für Geschäftsführungskommunikation, M&A-Verhandlungen, sensible HR-Themen oder Diskussionen auf Vorstandsebene nutzen: Das Lifecycle-Management des Backup Recovery Keys ist jetzt eine Sicherheitskontrolle, die dokumentiert und durchgesetzt werden muss. Wenn ein Key jemals kompromittiert wurde — und das lässt sich nicht ausschließen, wenn jemand in Ihrem Team in den letzten sechs Monaten eine verdächtige Support-Nachricht erhalten hat — bleibt das historische Nachrichtenarchiv so lange exponiert, bis der Key explizit rotiert wird.
Das Bedrohungsakteurprofil ist hier bedeutsam. UNC5792 und UNC4221 sind keine finanziell motivierten Cyberkriminellen — es handelt sich um Signals-Intelligence-Operationen, die auf sensible Kommunikation hochrangiger Personen abzielen. Wenn Ihre Organisation in Verteidigungs-Lieferketten, kritischer Infrastruktur, Politik oder grenzüberschreitenden M&A-Aktivitäten tätig ist, befinden Sie sich innerhalb des im Advisory beschriebenen Zielprofils.
Für NIS2-regulierte Organisationen, die Signal für interne Kommunikation nutzen: Wenn jemand in einer Schlüsselposition möglicherweise Ziel des Angriffs war, sollte diese Exposition hinsichtlich der Meldepflichten nach Artikel 23 bewertet werden. Ein kompromittierter Backup Key ist ein Datenschutzvorfall — auch wenn keine Schadsoftware installiert wurde und kein Gerät technisch kompromittiert wurde.
Was Sie jetzt tun sollten
- Sofort einen neuen Backup Recovery Key generieren. Signal öffnen → Einstellungen → Konto → Backups → Neuen Recovery Key generieren. Diese eine Aktion macht den alten Key für alle zukünftigen Backup-Downloads ungültig. Sie hat keinen Einfluss auf die Nachrichtenübermittlung, bestehende Kontakte oder die Konversationshistorie auf dem aktuellen Gerät.
- Das Team informieren. Signal sendet keine unaufgeforderten Support-Nachrichten. Jede SMS, die vorgibt, vom Signal-Support zu sein und nach Zugangsdaten, einem Recovery Key oder einer Kontobestätigung fragt, ist ein Angriff. Die Nachricht kann sehr überzeugend wirken — die Aufforderung ist der Indikator.
- Key-Rotation in Offboarding und Incident-Response-Verfahren aufnehmen. Immer wenn ein Gerät übergeben wird, verloren geht oder ein Mitarbeiter das Unternehmen verlässt: den Backup Recovery Key rotieren. Dies sollte in die Standard-Checkliste neben dem Gerät-Zurücksetzen aufgenommen werden.
- Retroaktive Bewertung. Falls jemand in Ihrer Organisation in den letzten sechs Monaten eine verdächtige Signal-Support-SMS erhalten hat und nicht bestätigen kann, dass er nicht reagiert hat, behandeln Sie den alten Key als kompromittiert und rotieren Sie sofort. Bereits exfiltrierte historische Daten können nicht wiederhergestellt werden — aber das Expositionsfenster schließt sich, sobald der Key rotiert wird.
DIESEC Einschätzung
Sichere Messaging-Plattformen lösen ein spezifisches Problem: die Transportverschlüsselung. Sie lösen nicht das vollständige Messaging-Sicherheitsproblem, das Kontowiederherstellungsmechanismen, Geräteverwaltung und den menschlichen Faktor umfasst — den dieser Angriff direkt ausnutzt. Organisationen, die Signal für sensible Kommunikation einsetzen, sollten es als eine Schicht einer Defense-in-Depth-Strategie betrachten, nicht als vollständige Lösung. Das Lifecycle-Management von Backup Keys, Geräterichtlinien und Sensibilisierung für Social-Engineering-Angriffe auf sichere Kanäle müssen explizit definiert sein. Wenn Sie Unterstützung bei der Bewertung Ihrer Secure-Communications-Posture benötigen, kontaktieren Sie das DIESEC-Team.
Quellen: The Hacker News — FBI/CISA-Advisory | The Hacker News — Ukraine-SSU-Bestätigung | FBI PSA I-062626
Veröffentlicht: 2026-07-01 | Kategorie: Nation-State & APT | ~4 Min. Lesezeit

