Klöckner, Prien, Graichen: Top-Level-Phishing 04/26
5 Min. Lesezeit
Stand 28. April 2026: Bundestagspräsidentin Julia Klöckner, Bildungsministerin Karin Prien und Bauministerin Verena Hubertz wurden über Signal-Phishing kompromittiert, weil sie einen Verifikations-Code an einen vermeintlich vertrauten Kontakt weiterreichten. Generalbundesanwalt Jens Rommel ermittelt seit Februar wegen Spionageverdachts. Patrick Graichen, früher Staatssekretär für kritische Infrastruktur, postete parallel auf X einen klassischen Geld-für-Likes-Scam und beschuldigte Welt-Chefredakteur Ulf Poschardt fälschlich der Buchvermarktung. Vier Vorfälle, eine Diagnose: Awareness ist im falschen Stockwerk verbaut.
28.04.2026
Das Wichtigste in Kürze
- Rund 300 Konten betroffen, BAW-Ermittlung seit Februar. Generalbundesanwalt Rommel verfolgt Spionageverdacht. BSI und BfV ordnen den Akteur als vermutlich staatlich gesteuert ein. Roderich Henrichmann (PKGr) hat öffentlich Russland als wahrscheinliche Quelle benannt, technische Attribution steht aus.
- Verifikations-Code als Vektor. Klöckner, Prien und Hubertz reichten den 6-stelligen Signal-Code an einen vermeintlich vertrauten Kontakt weiter. Standardvektor seit zwei Jahren in jedem BSI-Awareness-Hinweis.
- Graichen tappt öffentlich in den Geld-für-Likes-Scam. Ein Awareness-Pflichtstoff von 2022 landet auf X mit falscher Beschuldigung gegen Ulf Poschardt und macht aus einem Phishing-Reflex eine Reputations-Niederlage.
- Beschaffungs-Konsequenz für CISOs. Top-50-Konten brauchen 1:1-Coaching pro Quartal mit Live-Demo des aktuellen Vektors, nicht das 25-Minuten-Pflicht-E-Learning der Belegschaft.
Was ist Verifikations-Code-Diebstahl? Beim Account-Takeover über Signal oder WhatsApp registriert ein Angreifer den Account auf einem fremden Gerät. Der Messenger schickt einen 6-stelligen Bestätigungscode per SMS an den eigentlichen Besitzer. Wer diesen Code an einen vermeintlich vertrauten Kontakt weiterreicht, hat den Account übergeben. Schutz: Eine Zwei-Faktor-PIN in den Signal-Einstellungen verhindert die Übernahme auch dann, wenn der Code abgefangen wird.
Was im April passiert ist
Die Signal-Welle läuft seit Februar 2026. Nach Angaben aus Sicherheitskreisen sind in Deutschland rund 300 Konten betroffen, weitere Ziele in den Niederlanden. Der Vektor ist bei den drei Politikerinnen identisch: Eine bekannte Kontaktadresse fragt per Direktnachricht nach dem 6-stelligen Verifikations-Code, der gerade per SMS angekommen ist. Wer den Code weiterreicht, übergibt den Account-Login. Klöckner wurde am Mittwoch öffentlich, Prien und Hubertz folgten am Freitag im Zuge derselben Ermittlung.
Generalbundesanwalt Jens Rommel hat das Verfahren bereits im Februar 2026 unter dem Verdacht geheimdienstlicher Agententätigkeit eröffnet. BSI und Bundesamt für Verfassungsschutz verorten den Akteur im Umfeld eines staatlich gesteuerten Spionageprogramms. Roderich Henrichmann, Mitglied im Parlamentarischen Kontrollgremium, hat öffentlich Russland als wahrscheinliche Quelle benannt. Eine technische Attribution durch die Bundesanwaltschaft steht zum Stand 28. April 2026 noch aus.
Der Graichen-Vorfall lief separat. Er screenshotete eine WhatsApp-Gruppe, in der für Likes auf Influencer-Konten Geldbeträge versprochen wurden und tagte Welt-Chefredakteur Ulf Poschardt in der Annahme, dieser stecke hinter der Aufforderung. Der Mechanismus ist seit Jahren Pflichtstoff in jedem Awareness-Training: ausländische Vorwahl, Mikro-Belohnung, schrittweise Eskalation auf Vorkasse oder Kontodaten. Graichen war jahrelang ressortzuständig für kritische Infrastruktur und Energieversorgung.
Warum Awareness oben dünn wird
Drei Mechanismen erklären den Befund. Auf C-Level wird der Posteingang in 30-Sekunden-Slots zwischen Terminen abgearbeitet. Awareness-Trainings sind auf 25 Minuten Aufmerksamkeit gebaut, die es dort nicht gibt. Der Pre-Filter durch Office-Mitarbeitende fällt weg, sobald eine Nachricht auf das private Smartphone kommt. Genau dort läuft Signal, WhatsApp und ein wachsender Teil politischer Tagesabsprachen. Wer mit der Bundeskanzlerin Kaffee trinkt, hält den Alltagsschwarm-Scam unbewusst für ein Problem niedrigerer Hierarchien.
Die operative Konsequenz spüren Security-Teams seit Jahren. Spear-Phishing-Klick-Raten bei Vorständen liegen in offenen BSI-Stichproben über dem Schnitt der Belegschaft. Die Beschaffungs-Realität geht aber den umgekehrten Weg: Awareness-Budgets fließen in Pflicht-E-Learnings für die Gesamtbelegschaft, weil das compliance-konform abrechenbar ist. Die teuren Konten, die mit Zugang zu Strategiepapieren, Bietergesprächen und Kabinettsvorlagen, bleiben im selben Standard-Modul.
Was CISOs jetzt umstellen müssen
Top-50-Konten als eigene Beschaffung
Awareness für Vorstand, Aufsichtsrat, gesetzlich vertretende Organe und ihre direkten Assistenzen herauslösen. Ein 1:1-Coaching pro Quartal, geliefert von einem externen Pentester mit Live-Demo des aktuellen Vektors auf einem zweiten Smartphone. Dauer 60 Minuten, Inhalte vorab abgestimmt mit aktueller BSI-Lage. Kosten kalkulierbar, Wirkung im Audit dokumentierbar, Compliance-Argument solide.
Verifikations-Code-Policy schriftlich
Zwei-Faktor-PIN bei Signal und WhatsApp für alle Premium-Konten verpflichtend, dazu eine Regel ohne Ausnahme: Kein Verifikations-Code wird per Messenger weitergegeben, nicht an die eigene Assistentin, nicht an den Pressesprecher, nicht an den vermeintlich bekannten Kontakt. Wer fragt, wird durch Rückruf auf eine bekannte Nummer verifiziert. Diese Policy kostet keine Lizenz, sondern Disziplin und gezielte Kommunikation an die Top-50.
Private Social-Posts an die Pressestelle
Sobald ein Vorstandsmitglied auf seinem privaten X- oder LinkedIn-Account einen Sicherheitsvorfall kommentiert oder eine fremde Person beschuldigt, gehört der Vorgang an Corporate Communications. Der Graichen-Tweet war keine Phishing-Niederlage, er war eine Reputations-Niederlage, weil keine zweite Augenpaar-Kontrolle dazwischenstand. Vier-Augen-Prinzip auf privaten Kanälen ist organisatorisch unbequem und bei realer Reichweite die einzige Versicherung gegen Falschbeschuldigungen mit Pressewirkung.
Häufige Fragen
Was war der Angriffsvektor bei der Signal-Welle?
Die Angreifer kontaktierten Ziele aus einem bekannten Adressbuch und baten um den 6-stelligen Verifikations-Code, der bei Neuregistrierung auf einem fremden Gerät per SMS verschickt wird. Wer den Code weiterreichte, hat den Account übergeben. Eine Zwei-Faktor-PIN in den Signal-Einstellungen verhindert genau diesen Übergriff, weil der Login zusätzlich die selbstgewählte PIN benötigt.
Wer steht hinter den Angriffen?
Generalbundesanwalt Jens Rommel ermittelt seit Februar 2026 wegen Spionageverdachts. BSI und Bundesamt für Verfassungsschutz ordnen den Akteur als vermutlich staatlich gesteuert ein. Roderich Henrichmann (PKGr) hat Russland als wahrscheinliche Quelle benannt. Eine offizielle technische Attribution durch die Bundesanwaltschaft steht zum Stand 28. April 2026 aus.
Warum war der Graichen-Tweet ein Sicherheitsvorfall?
Der Tweet enthielt einen Screenshot eines klassischen Geld-für-Likes-Scams plus eine Falschbeschuldigung gegen Welt-Chefredakteur Ulf Poschardt. Der Vorfall zeigt ein Awareness-Defizit bei einer ehemaligen Spitzenposition für kritische Infrastruktur, dazu die Reputations-Folge öffentlicher Schnellschüsse ohne Pressestelle.
Welche Sofortmaßnahme empfiehlt sich für Vorstandsmitglieder?
Erstens die Zwei-Faktor-PIN bei Signal und WhatsApp aktivieren. Zweitens den Reflex abtrainieren, Codes per Messenger weiterzugeben. Drittens jede ungewöhnliche Direktnachricht durch Rückruf auf eine bekannte Nummer verifizieren, niemals durch Antwort auf den ursprünglichen Kanal.
Wie sollten CISOs ihre Awareness-Budgets neu zuschneiden?
Die Top-50-Konten als eigene Beschaffungskategorie behandeln, mit 1:1-Coaching pro Quartal und Live-Demos aktueller Vektoren. Pflicht-E-Learnings der Belegschaft bleiben relevant, ersetzen aber keinen gezielten Schutz für die Konten mit Strategie- und Bieter-Zugang.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
Quelle Titelbild: Pexels / Markus Winkler (px:30885916)
