Phishing-Alarm 2026: BfV und BSI warnen — so schützen Sie Ihr Unternehmen vor Signal- und Microsoft-365-Angriffen

IT-Sicherheitsexperte analysiert Phishing-Warnmeldungen auf Bildschirmen in einem Münchner Büro
Jens Jens FischerInformationstechnologie
4 Min. Lesezeit 8. April 2026

Das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben eine gemeinsame Sicherheitswarnung herausgegeben: Staatlich gesteuerte Phishing-Angriffe richten sich gezielt gegen Signal-Nutzer in Behörden, Militär und Medien. Gleichzeitig trifft das Phishing-Kit „EvilTokens" Hunderte deutsche Unternehmen. Was Firmen jetzt tun müssen.

Zwei aktive Phishing-Kampagnen treffen Deutschland

Seit Februar 2026 warnen BfV und BSI vor einer koordinierten Phishing-Kampagne, die über die Signal-Messaging-App läuft. Die Angreifer — mutmaßlich staatlich gesponsert — nutzen Social Engineering, um Politikern, Militärpersonal, Diplomaten und investigativen Journalisten Zugang zu ihren Accounts zu entlocken. Besonders tückisch: Es wird keine Malware eingesetzt. Stattdessen missbrauchen die Täter legitime Plattformfunktionen wie „Gerät verknüpfen".

Parallel dazu ist das Phishing-as-a-Service-Kit „EvilTokens" aktiv, das laut dem Portal The Hacker News seit Mitte Februar 2026 zum Verkauf steht. Über 340 Microsoft-365-Organisationen in fünf Ländern — darunter Deutschland — wurden bereits kompromittiert. Betroffene Branchen: Bau, Immobilien, Fertigung, Finanzdienstleistungen, Gesundheitswesen, Recht und öffentliche Verwaltung.

Warum diese Angriffe so gefährlich sind

Traditionelle Phishing-Mails sind oft leicht erkennbar: schlechtes Deutsch, verdächtige Absenderadressen, drängende Aufforderungen. Die aktuellen Kampagnen arbeiten anders.

Signal-Phishing über Geräteverknüpfung: Der Angreifer schickt dem Opfer einen QR-Code oder einen Link, der aussieht wie eine offizielle Signal-Einladung. Wer darauf klickt, verknüpft ungewollt sein Gerät mit dem des Angreifers — dieser liest ab sofort alle Nachrichten mit, in Echtzeit und ohne Datenverschlüsselung zu brechen.

EvilTokens gegen Microsoft 365: Das Kit generiert täuschend echte Anmeldeseiten und stiehlt „Device Code Tokens" — Zugangstokens, die normalerweise für die Geräteanmeldung ohne Browser gedacht sind. Sind diese Tokens erbeutet, kann der Angreifer auf das gesamte Microsoft-365-Konto zugreifen, ohne Passwort oder Zweifaktor-Authentifizierung zu kennen.

Die Kombination aus technischer Raffinesse und breiter Streuung macht die aktuelle Bedrohungslage nach Einschätzung von Cybersicherheitsexperten außergewöhnlich ernst.

Was Unternehmen sofort umsetzen sollten

Die gemeinsame Warnung von BSI enthält konkrete Handlungsempfehlungen. Hier eine praxisnahe Zusammenfassung:

Sofortmaßnahmen:

  • Überprüfen Sie alle aktiven Geräteverknüpfungen in Signal (App → Einstellungen → Verknüpfte Geräte) und entfernen Sie unbekannte Einträge.
  • Erzwingen Sie für alle Microsoft-365-Konten die Überprüfung aktiver OAuth-Tokens und widerrufen Sie verdächtige Sitzungen im Azure Active Directory.
  • Schulen Sie Mitarbeiter gezielt zu Device-Code-Phishing — dieser Angriffsvektor ist in der Unternehmens-IT noch wenig bekannt.

Strukturelle Maßnahmen:

  • Implementieren Sie FIDO2-basierte hardwaregestützte Authentifizierung (z. B. YubiKey) als zweiten Faktor — diese kann Device-Code-Angriffe effektiv stoppen.
  • Führen Sie ein Monitoring verdächtiger OAuth-Aktivitäten in Microsoft 365 ein (Sentinel, Defender for Cloud Apps).
  • Erstellen Sie ein Incident-Response-Playbook speziell für kompromittierte Messenger-Apps.

Für kleinere Unternehmen: Wenn interne IT-Ressourcen fehlen, ist die Beauftragung eines externen IT-Sicherheitsberaters die effektivste Sofortmaßnahme. Ein erfahrener IT-Experte kann innerhalb weniger Stunden eine Bestandsaufnahme Ihrer Angriffsfläche liefern.

Welche Branchen besonders gefährdet sind

Die BfV-Warnung nennt explizit: Regierungsstellen, Militärpersonal, Diplomaten und investigative Journalisten als Hauptziele der Signal-Kampagne. Für EvilTokens zeigt die Datenlage ein breiteres Bild: Besonders häufig betroffen sind Unternehmen, die viele externe Partner über Microsoft 365 einbinden — also Baufirmen, Kanzleien, Immobilienmakler und Finanzdienstleister.

Mittelständische Unternehmen sind dabei besonders exponiert: Sie haben oft sensitive Kundendaten und schwächere Sicherheitsinfrastruktur als Konzerne, sind aber für Angreifer lukrativere Ziele als Privatpersonen.

Was ein IT-Sicherheitsexperte für Sie tun kann

Ein qualifizierter IT-Sicherheitsberater geht über die Implementierung technischer Schutzmaßnahmen hinaus:

  • Schwachstellenanalyse: Identifikation offener Angriffsvektoren in Ihrer bestehenden Infrastruktur
  • Notfallreaktion: Bei einem aktiven Angriff kann schnelles Handeln Datenverluste minimieren
  • Compliance: Viele Branchen (Gesundheit, Recht, Finanzen) haben gesetzliche Meldepflichten bei Datenpannen gemäß DSGVO — ein Experte hilft, diese zu erfüllen
  • Mitarbeiterschulungen: Der menschliche Faktor bleibt der häufigste Einfallsvektor — regelmäßige Awareness-Trainings sind nachweislich wirksam

Besonders relevant: Gemäß DSGVO müssen Datenpannen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Ohne vorbereitete Prozesse wird diese Frist häufig versäumt — mit empfindlichen Bußgeldern als Folge.

Was kostet ein Phishing-Angriff im Durchschnitt?

Die finanziellen Schäden durch Phishing sind erheblich und steigen kontinuierlich. Laut dem IBM Cost of a Data Breach Report 2025 kostet eine durchschnittliche Datenpanne in Deutschland Unternehmen 4,3 Millionen Euro — Phishing ist dabei die häufigste Einstiegsursache, verantwortlich für über 16 Prozent aller Vorfälle.

Die direkten Kosten umfassen: forensische Untersuchungen, Systemwiederherstellung, Benachrichtigung betroffener Kunden und Meldung an die zuständige Datenschutzbehörde. Dazu kommen indirekte Kosten wie Reputationsschaden, Kundenverlust und mögliche DSGVO-Bußgelder.

Gerade für kleine und mittlere Unternehmen kann ein einziger erfolgreicher Phishing-Angriff existenzgefährdend sein. Die Kosten für präventive IT-Sicherheit sind im Vergleich dazu gering: Eine umfassende Sicherheitsüberprüfung durch einen externen Experten kostet typischerweise einen Bruchteil dessen, was ein Angriff an Schaden verursacht.

Wie erkenne ich, ob mein System bereits kompromittiert wurde?

Nach einer möglichen Kompromittierung gibt es typische Warnsignale:

  • Ungewöhnliche Anmeldungen in Microsoft 365 oder Google Workspace (andere Standorte, unbekannte Geräte)
  • E-Mails, die ohne Ihr Wissen versendet wurden
  • Unbekannte OAuth-Apps in der Berechtigungsübersicht Ihres Accounts
  • Signal zeigt unbekannte verknüpfte Geräte
  • Kollegen berichten, sie hätten von Ihnen seltsame Nachrichten erhalten

Im Verdachtsfall: Trennen Sie das betroffene System sofort vom Netzwerk und kontaktieren Sie einen IT-Sicherheitsexperten. Handeln Sie nicht erst, wenn Sie Gewissheit haben — bei einer aktiven Kompromittierung zählt jede Minute.

Fazit: Phishing 2026 ist kein E-Mail-Problem mehr

Die aktuellen Angriffe zeigen, dass Phishing längst über gefälschte E-Mails hinausgegangen ist. QR-Codes, Messenger-Apps, OAuth-Tokens — die Angriffsvektoren werden vielfältiger und subtiler. Unternehmen, die ihre Sicherheitsstrategie noch an klassischen Spam-Filtern ausrichten, sind strukturell unzureichend geschützt.

Angesichts der konkreten Warnungen von BfV und BSI ist jetzt der richtige Zeitpunkt, eine IT-Sicherheitsüberprüfung durchzuführen — bevor ein Angriff Ihre Systeme erreicht. Ein IT-Sicherheitsexperte auf Expert Zoom kann Ihr Unternehmen kurzfristig analysieren und konkrete Schutzmaßnahmen empfehlen.

Unsere Experten

Vorteile

Schnelle und präzise Antworten auf alle Ihre Fragen und Hilfsanfragen in über 200 Kategorien.

Tausende von Nutzern haben eine Zufriedenheit von 4,9 von 5 für die Beratung und Empfehlungen unserer Assistenten erhalten.

Expert Zoom

Wie funktioniert es?Wer sind unsere Experten?ZeitschriftNachrichten

Kontaktieren Sie uns

E-Mail
Folgen Sie uns
DatenschutzbestimmungenNutzungsbedingungen