Anfang Februar 2026 passierte etwas, das in der deutschen Sicherheitslandschaft äußerst selten vorkommt: Das Bundesamt für Sicherheit in der Informationstechnik und der Verfassungsschutz gaben eine gemeinsame Warnung heraus. Der Anlass: Eine Angriffsmethode namens Ghost Pairing, die es Angreifern erlaubt, WhatsApp- und Signal-Nachrichten in Echtzeit mitzulesen – ohne Schadsoftware, ohne die Verschlüsselung zu knacken, ohne dass das Opfer etwas bemerkt. Dieser Artikel erklärt, wie der Angriff funktioniert, wer dahintersteckt und welche konkreten Maßnahmen Sie heute noch ergreifen sollten. Denn Ghost Pairing betrifft nicht nur Politiker und Journalisten – es betrifft potenziell jeden der 53 Millionen WhatsApp-Nutzer in Deutschland.

Was am 6. Februar 2026 passierte

Am 6. Februar 2026 veröffentlichten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) einen gemeinsamen Sicherheitshinweis mit der höchsten Bedrohungsstufe. Das allein ist bemerkenswert: Eine gemeinsame Warnung beider Behörden signalisiert, dass die Bedrohung über gewöhnliche Cyberkriminalität hinausgeht und nachrichtendienstliche Dimensionen hat.

Die Behörden sprachen von einem „wahrscheinlich staatlich gesteuerten Cyberakteur“, der Phishing-Angriffe über Messenger-Dienste durchführt. Im Visier: Personen aus Politik, Militär, Diplomatie und investigativem Journalismus in Deutschland und Europa. In den Wochen vor der Warnung waren Journalisten mehrerer deutscher Redaktionen gezielt über Signal angegriffen worden – darunter Mitarbeiter von netzpolitik.org, Correctiv, Die Zeit und dem Tagesspiegel. Auch der österreichische Standard war betroffen.

Doch der eigentliche Grund zur Sorge liegt nicht bei den politischen Zielen. Denn parallel zur staatlichen Spionagekampagne hatte das BSI bereits im Januar 2026 vor einer verwandten Betrugsmasche gewarnt, die sich an ganz normale Bürger richtet: Ghost Pairing. Im Dezember 2025 hatten Sicherheitsforscher von Gen Digital (dem Mutterkonzern von Norton und Avast) in Tschechien eine Kampagne aufgedeckt, bei der Alltagsnutzer systematisch über WhatsApp angegriffen wurden. Das Besondere: Die Angreifer benutzten ein wiederverwendbares Kit, das ohne technisches Fachwissen einsetzbar ist. Die Methode, die ursprünglich für Geheimdienstoperationen entwickelt wurde, ist damit im Arsenal gewöhnlicher Cyberkrimineller angekommen.

Warum diese Warnung jeden betrifft

In Deutschland nutzen rund 53 Millionen Menschen WhatsApp – 85 Prozent aller Internetnutzer. Signal wird von etwa 11 Prozent der Bevölkerung regelmäßig verwendet. Die GhostPairing-Methode ist als fertiges Kit auf dem Schwarzmarkt erhältlich und erfordert kein Hacker-Wissen.

Jedes kompromittierte Konto wird automatisch zur Phishing-Quelle für alle Kontakte des Opfers.

So funktioniert Ghost Pairing – Schritt für Schritt

Die „Verknüpfte Geräte“-Funktion als Einfallstor

WhatsApp und Signal bieten eine praktische Funktion: Sie können Ihr Konto mit zusätzlichen Geräten verknüpfen – etwa einem Desktop-Computer oder Tablet. Bei WhatsApp sind bis zu vier zusätzliche Geräte möglich, bei Signal Desktop und iPad. Das Verknüpfen geschieht über einen QR-Code oder einen achtstelligen Kopplungscode. Jedes verknüpfte Gerät erhält danach alle Nachrichten in Echtzeit.

Technisch passiert dabei Folgendes: Beim Verknüpfen erhält das neue Gerät eigene Verschlüsselungsschlüssel und baut eigene verschlüsselte Sitzungen mit allen Kontakten auf. Der Absender einer Nachricht verschlüsselt diese anschließend nicht einmal, sondern mehrfach – einmal für jedes Gerät des Empfängers. WhatsApp überträgt beim Koppeln zudem ein verschlüsseltes Bündel der Nachrichten der letzten Wochen, Signal seit 2024 sogar die gesamte Chathistorie.

Genau diese Funktion missbrauchen die Angreifer. Sie bringen ihre Opfer dazu, unwissentlich ein fremdes Gerät mit dem eigenen Messenger-Konto zu verknüpfen. Aus Sicht der App geschieht alles regulär – es wird keine Sicherheitslücke ausgenutzt und keine Schadsoftware installiert. Der Angriff nutzt die App exakt so, wie sie vorgesehen ist. Das macht Ghost Pairing für herkömmliche Sicherheitssoftware vollständig unsichtbar: Kein Virenscanner schlägt an, kein Netzwerk-Monitor erkennt verdächtigen Datenverkehr, keine Firewall blockiert die Verbindung. Die Google Threat Intelligence Group formulierte es so: Es bestehe ein „hohes Risiko, dass eine Kompromittierung über längere Zeiträume unbemerkt bleibt“.

Ein typischer Angriff in 60 Sekunden

Variante WhatsApp (Massenangriff über Kopplungscode): Sie erhalten eine Nachricht von einem Kontakt, den Sie kennen – dessen Konto aber bereits kompromittiert ist. Die Nachricht lautet: „Hey, ich habe gerade ein Foto von dir in den lokalen Nachrichten gefunden!“ mit einem Link. Der Link führt zu einer täuschend echten Facebook-Anmeldeseite auf einer Domain wie photobox.life oder yourphoto.life. Die Seite bittet Sie, Ihre Telefonnummer „zur Verifizierung“ einzugeben. Im Hintergrund löst der Angreifer eine WhatsApp-Gerätekopplung aus. WhatsApp generiert einen achtstelligen Code, der auf der Fake-Seite als vermeintliche „Sicherheitsbestätigung“ angezeigt wird. Sobald Sie diesen Code in WhatsApp eingeben, ist das Gerät des Angreifers mit Ihrem Konto verknüpft. Der gesamte Vorgang dauert unter einer Minute.

Variante Signal (gezielte Spionage über QR-Code): Der Angreifer kontaktiert Sie unter glaubwürdigem Vorwand – etwa als „Signal Support“ oder „Signal Security ChatBot“. Oder er schickt Ihnen eine scheinbare Einladung zu einer Signal-Gruppe. In Wahrheit enthält der QR-Code oder Link keine Gruppeneinladung, sondern eine Gerätekopplungs-URI. Ein einziges Scannen genügt.

Was der Angreifer danach kann

  • Alle eingehenden und ausgehenden Nachrichten in Echtzeit mitlesen – Einzelchats und Gruppenchats
  • Chatverlauf der letzten Wochen einsehen (WhatsApp: bis 45 Tage, Signal: gesamte Historie)
  • Fotos, Videos und Sprachnachrichten herunterladen
  • Kontaktliste einsehen
  • Nachrichten in Ihrem Namen versenden – Ihre Kontakte sehen diese als von Ihnen geschrieben

Besonders gefährlich: Der Angreifer kann Nachrichten in Ihrem Namen versenden. Für Ihre Kontakte sehen diese Nachrichten exakt so aus, als hätten Sie sie geschrieben. Genau das nutzen die Angreifer aus: Sie verschicken denselben Phishing-Köder an Ihre Kontakte, und der Angriff breitet sich wie ein Schneeball aus. Ein kompromittiertes Konto in einer Familien-Chatgruppe mit 20 Mitgliedern kann innerhalb weniger Stunden ein Dutzend weitere Konten kompromittieren – weil die Nachricht von einem vertrauten Absender kommt.

Was der Angreifer dagegen nicht kann: Er kann über ein verknüpftes Gerät in der Regel nicht Ihr Passwort ändern, die Zwei-Faktor-Authentifizierung deaktivieren oder andere Geräte entfernen. Diese Account-Verwaltungsfunktionen sind dem Hauptgerät vorbehalten. Das ist für den Angreifer allerdings kein Nachteil, sondern ein Vorteil: Sie behalten die volle Kontrolle über Ihr Konto und bemerken den Mitlesenden nicht.

Warum Ihre Verschlüsselung Sie nicht schützt

Hier liegt das eigentliche Paradoxon von Ghost Pairing: Die Ende-zu-Ende-Verschlüsselung von WhatsApp und Signal funktioniert einwandfrei – und schützt trotzdem nicht.

Ende-zu-Ende-Verschlüsselung garantiert, dass Nachrichten auf dem Transportweg nicht abgehört werden können. Nur die Endgeräte der Kommunikationspartner können die Nachrichten entschlüsseln. Aber bei Ghost Pairing wird das Angreifer-Gerät zu einem legitimen Endgerät. Aus Sicht des Systems ist es ein autorisiertes, verknüpftes Gerät. WhatsApp und Signal generieren für dieses Gerät eigene Verschlüsselungsschlüssel und liefern alle Nachrichten verschlüsselt an – genau wie an jedes andere verknüpfte Gerät.

Die Verschlüsselung wird also nicht „gebrochen“ im technischen Sinne. Sie wird irrelevant gemacht, weil der Angreifer als autorisierter Empfänger behandelt wird. Ihr Smartphone läuft weiter wie gewohnt. Keine Fehlermeldungen, keine Störungen, keine Warnhinweise. Der Angreifer liest still mit – im schlimmsten Fall wochenlang, ohne dass Sie oder Ihre Kontakte etwas bemerken.

Viele Nutzer wiegen sich in falscher Sicherheit: „Meine Nachrichten sind verschlüsselt, also bin ich geschützt.“ Diese Annahme ist verständlich, aber falsch. Verschlüsselung schützt vor Dritten, die den Datenverkehr abfangen – vor Internetanbietern, Geheimdiensten, Hackern, die sich in Ihr WLAN einklinken. Sie schützt nicht davor, dass ein Angreifer als autorisiertes Gerät an Ihrem Konto andockt. Das ist ein fundamentaler Unterschied, den die Messenger-Anbieter ihren Nutzern bisher nicht ausreichend vermittelt haben.

Ein weiteres Problem: Bei Signal ändert sich die sogenannte Safety Number nicht, wenn ein neues Gerät verknüpft wird, da alle Geräte denselben Identity Key teilen. Ihre Kontakte erhalten also keinerlei automatische Warnung, dass ein neues Gerät mitliest. Bei WhatsApp kann sich der erweiterte Sicherheitscode ändern, aber die Benachrichtigung darüber ist nicht prominent und muss zudem erst manuell aktiviert werden – was die wenigsten Nutzer tun.

Merkmal Klassisches Phishing Ghost Pairing
Angriffsziel Passwort stehlen Gerätekopplung missbrauchen
Schadsoftware nötig Oft ja Nein
Opfer wird ausgesperrt Ja – merkt es sofort Nein – merkt nichts
2FA / Zwei-Faktor-Schutz Hilft teilweise Hilft nicht
Virenscanner erkennt es Teilweise Nein
Dauer des Zugriffs Bis Passwort geändert Bis Gerät manuell entfernt

Wer steckt dahinter – vom Kreml bis zum Darknet

Staatliche Spionage: Russlands Cyberarmee

Die Angriffe auf Messenger-Konten sind kein Werk einzelner Hacker. Die Google Threat Intelligence Group dokumentierte im Februar 2025 im Bericht „Signals of Trouble“, dass mindestens fünf russische Hackergruppen die Linked-Devices-Funktion von Signal systematisch ausnutzen.

Die Einheit APT44, besser bekannt als Sandworm und dem russischen Militärgeheimdienst GRU zugeordnet, ging besonders brachial vor: Sie verknüpfte Signal-Konten auf Smartphones, die auf dem Schlachtfeld in der Ukraine erbeutet worden waren, mit eigener Infrastruktur. Die Gruppe UNC4221 entwickelte ein maßgeschneidertes Phishing-Kit, das die ukrainische Artillerie-Leitapp „Kropyva“ imitiert, um Signal-Konten ukrainischer Soldaten zu kompromittieren. Star Blizzard, eine dem russischen Inlandsgeheimdienst FSB zugeordnete Gruppe, visierte über gefälschte WhatsApp-Gruppeneinladungen NGOs und Diplomaten an. Gegen zwei ihrer Mitglieder haben die USA Haftbefehle erlassen und ein Kopfgeld von zehn Millionen Dollar ausgesetzt.

Doch nicht nur Russland ist aktiv. Die chinesische APT-Gruppe GREF vertrieb trojanisierte Signal-Apps über den Google Play Store, die automatisch ein Spionage-Gerät mit dem Signal-Konto des Nutzers verknüpften – betroffen waren Nutzer in Deutschland, den Niederlanden, Polen und weiteren EU-Ländern. Iranische Akteure der Gruppe APT42 nutzten WhatsApp-Phishing, um Dissidenten und israelische Diplomaten auszuspionieren.

Kriminelle Industrialisierung: GhostPairing als fertiges Angriffskit

Der entscheidende Wendepunkt kam im Dezember 2025. Sicherheitsforscher von Gen Digital entdeckten, dass die Methode nicht mehr nur Geheimdiensten vorbehalten ist. Die in Tschechien aufgedeckte GhostPairing-Kampagne nutzte ein wiederverwendbares Angriffs-Kit – ein standardisiertes Werkzeug, das verschiedene kriminelle Akteure kaufen und einsetzen können. Die Einstiegshürde für Cyberkriminelle ist damit drastisch gesunken. Die CISA, die amerikanische Cybersicherheitsbehörde, warnte im November 2025 vor Spyware-Kampagnen gegen Messenger-Nutzer. Indiens CERT-In gab eine „High Severity“-Warnung heraus. Kanada, die EU und die NSA folgten mit eigenen Warnungen.

Die Akteure hinter Ghost Pairing

Die Bedrohung lässt sich in zwei Kategorien einteilen: Staatliche Gruppen aus Russland, China und dem Iran betreiben gezielte Spionage gegen hochrangige Ziele. Parallel nutzen organisierte Cyberkriminelle dieselbe Methode für Identitätsdiebstahl, Betrug und Erpressung gegen die breite Bevölkerung.

Die Grenzen zwischen beiden Welten verschwimmen zunehmend. Die internationale Reaktion zeigt das Ausmaß: Die USA (CISA und NSA), Kanada, Indien, die EU-Cybersicherheitsbehörde CERT-EU und Deutschland haben Warnungen herausgegeben – ein Ausmaß, das bei einer reinen Phishing-Methode beispiellos ist.

Die Zahlen: Messenger-Betrug in Deutschland

Die BSI/BfV-Warnung fällt in eine Zeit, in der Messenger-basierter Betrug in Deutschland ohnehin auf Rekordniveau liegt. Im Jahr 2024 registrierte die Polizei mehr als 50.000 Fälle von Messenger-Betrug mit einem Gesamtschaden von über 25 Millionen Euro. Der durchschnittliche Schaden pro Opfer liegt bei über 800 Euro. Die Dunkelziffer ist erheblich: Laut der BKA-Dunkelfeldstudie werden nur etwa 20 Prozent aller Cybercrime-Fälle angezeigt – die tatsächliche Zahl der Betroffenen dürfte also bei einer Viertelmillion oder mehr liegen.

Gleichzeitig sinkt die Wachsamkeit der Bevölkerung. Der BSI-Cybersicherheitsmonitor 2025 zeigt einen beunruhigenden Trend: Nur noch 44 Prozent der Deutschen nutzen eine Zwei-Faktor-Authentifizierung – ein Rückgang von 50 Prozent im Vorjahr. Ein Viertel der Bevölkerung informiert sich nach eigener Aussage nie über Cybersicherheit. Und 60 Prozent der Empfänger erkennen KI-generierte Phishing-Mails nicht als solche. Die Angreifer werden also besser, während die Verteidigung nachlässt.

Im Bereich Messenger-Phishing verzeichnete Kaspersky für Deutschland 2024 rund 37,5 Millionen blockierte Phishing-Angriffe – ein Plus von fast 16 Prozent gegenüber dem Vorjahr. Phishing per SMS und Messenger stieg um 24 Prozent. Die Qualität der Angriffe hat sich durch den Einsatz generativer KI drastisch verbessert: keine Rechtschreibfehler mehr, perfekte Personalisierung, natürliche Sprache. Das BSI spricht davon, dass KI-generierte Phishing-Nachrichten „fast nicht mehr von echter Kommunikation zu unterscheiden“ seien.

Der Selbsttest – Sind Sie betroffen?

Die gute Nachricht: Sie können in weniger als 30 Sekunden prüfen, ob ein fremdes Gerät mit Ihrem Messenger-Konto verknüpft ist. Tun Sie es jetzt.

So prüfen Sie Ihre verknüpften Geräte

WhatsApp auf Android: Öffnen Sie WhatsApp, tippen Sie auf das Drei-Punkte-Menü oben rechts und wählen Sie „Verknüpfte Geräte“.

WhatsApp auf iPhone: Öffnen Sie WhatsApp, tippen Sie auf „Einstellungen“ unten rechts und dann auf „Verknüpfte Geräte“.

Signal auf Android: Öffnen Sie Signal, tippen Sie auf das Drei-Punkte-Menü, dann „Einstellungen“ und „Verknüpfte Geräte“.

Signal auf iPhone: Öffnen Sie Signal, tippen Sie auf Ihr Profilbild oben links und dann auf „Verknüpfte Geräte“.

Sehen Sie dort ein Gerät, das Sie nicht kennen? Einen Browser oder Desktop, den Sie nie verknüpft haben? Dann handeln Sie sofort – die Anleitung dafür finden Sie im Abschnitt „Notfallplan“ weiter unten.

Zusätzliche Warnsignale, die auf ein kompromittiertes Konto hindeuten können: ungewöhnlich schneller Batterieverbrauch, erhöhter Datenverbrauch, Nachrichten, die als gelesen markiert sind, obwohl Sie sie nicht geöffnet haben, und Kontakte, die über merkwürdige Nachrichten von Ihrem Konto berichten.

Doch Vorsicht: Das Fehlen dieser Anzeichen bedeutet nicht, dass Sie sicher sind. Ghost Pairing wurde gerade deshalb als besonders gefährlich eingestuft, weil es im Alltag kaum erkennbare Spuren hinterlässt. Die einzig zuverlässige Methode bleibt die regelmäßige, manuelle Kontrolle der verknüpften Geräte.

6 Maßnahmen, die Sie heute noch umsetzen sollten

1. Verknüpfte Geräte prüfen und Unbekanntes entfernen

Kontrollieren Sie jetzt die Liste Ihrer verknüpften Geräte (Anleitung oben). Entfernen Sie jedes Gerät, das Sie nicht zweifelsfrei zuordnen können. Im Zweifel: Alle entfernen und die eigenen Geräte neu verknüpfen.

2. Zwei-Faktor-Authentifizierung aktivieren

Bei WhatsApp heißt die Funktion „Verifizierung in zwei Schritten“ (Einstellungen, Konto, Verifizierung in zwei Schritten). Sie legen eine sechsstellige PIN fest, die bei jeder Neuregistrierung Ihrer Nummer abgefragt wird.

Bei Signal aktivieren Sie die „Registrierungssperre“ (Einstellungen, Konto, Registrierungssperre) und richten eine Signal-PIN ein. Wichtig: Die Registrierungssperre läuft nach sieben Tagen Inaktivität ab – Sie müssen Signal also regelmäßig nutzen.

3. Niemals QR-Codes oder Kopplungscodes aus Nachrichten verwenden

Die wichtigste Regel: Scannen Sie niemals einen QR-Code, der Ihnen per Nachricht, E-Mail oder auf einer Webseite präsentiert wird und angeblich der „Verifizierung“ oder „Sicherheitsüberprüfung“ dient. Signal und WhatsApp fragen Sie niemals per Nachricht nach Ihrer PIN oder einem Verifizierungscode. Wer das tut, ist ein Betrüger.

4. Verdächtige Nachrichten über einen anderen Kanal verifizieren

Wenn ein Kontakt Ihnen einen ungewöhnlichen Link schickt – besonders mit Texten wie „Schau mal, ich habe ein Foto von dir gefunden“ oder „Bist du das auf dem Bild?“ – klicken Sie nicht. Rufen Sie den Kontakt stattdessen an oder schreiben Sie per SMS. Sein Konto könnte kompromittiert sein.

5. Apps aktuell halten

Signal hat im Februar 2025 gehärtete Versionen veröffentlicht, die eine Warnung anzeigen, wenn ein externer Link versucht, ein Gerät zu koppeln. Stellen Sie sicher, dass Sie mindestens Signal iOS 7.47 oder Android 7.33.2 verwenden. Halten Sie auch WhatsApp und Ihr Betriebssystem auf dem neuesten Stand.

6. Wöchentliche Routine etablieren

Machen Sie die Kontrolle der verknüpften Geräte zur Gewohnheit – einmal pro Woche, am besten an einem festen Tag. Bei WhatsApp werden inaktive Geräte nach 14 Tagen automatisch abgemeldet. Bei Signal gibt es diesen Automatismus nicht – hier müssen Sie selbst aktiv werden.

Sicherheitsfunktion WhatsApp Signal
2FA / PIN aktivieren Einstellungen, Konto, Verifizierung in zwei Schritten Einstellungen, Konto, PIN ändern
Registrierungssperre Nicht verfügbar (Passkeys als Alternative) Einstellungen, Konto, Registrierungssperre
Verknüpfte Geräte prüfen Drei-Punkte-Menü, Verknüpfte Geräte Einstellungen, Verknüpfte Geräte
Auto-Logout inaktiver Geräte Nach 14 Tagen automatisch Nicht automatisch – manuell prüfen
Gehärteter Kopplungsschutz Biometrische Authentifizierung Warnung bei externem QR-Scan (seit Feb. 2025)
Passkeys Verfügbar (seit 2025) Nicht verfügbar

Notfallplan – Was tun, wenn Sie betroffen sind

Die ersten 10 Minuten

Wenn Sie ein unbekanntes Gerät in Ihrer Liste entdeckt haben oder vermuten, dass Ihr Konto kompromittiert wurde, handeln Sie in dieser Reihenfolge:

Schritt 1 – Beweissicherung: Machen Sie zuerst Screenshots der Liste verknüpfter Geräte – bevor Sie etwas ändern. Dokumentieren Sie den Gerätetyp, den Zeitpunkt der letzten Aktivität und alles, was Ihnen auffällt. Diese Screenshots sind wichtig für eine spätere Strafanzeige.

Schritt 2 – Fremde Geräte entkoppeln: Tippen Sie in der Liste „Verknüpfte Geräte“ auf jedes unbekannte Gerät und wählen Sie „Abmelden“ (WhatsApp) bzw. „Entkoppeln“ (Signal). Im Zweifelsfall entfernen Sie alle Geräte und verknüpfen nur die eigenen neu.

Schritt 3 – Account sichern: Aktivieren Sie sofort die Zwei-Faktor-Authentifizierung (falls noch nicht aktiv) und ändern Sie Ihre PIN. Bei Signal: Registrierungssperre einschalten.

Schritt 4 – Kontakte warnen: Informieren Sie Ihre engsten Kontakte – aber über einen anderen Kanal (Telefon, SMS, E-Mail), nicht über den möglicherweise kompromittierten Messenger.

Hier eine Nachricht, die Sie per SMS oder E-Mail an Ihre Kontakte senden können:

„Wichtige Warnung: Mein WhatsApp-/Signal-Konto wurde möglicherweise kompromittiert. Falls Sie in den letzten Tagen ungewöhnliche Nachrichten von mir erhalten haben – insbesondere mit Links, QR-Codes oder Bitten um persönliche Daten – öffnen Sie diese bitte nicht und löschen Sie sie. Bitte prüfen Sie auch bei sich selbst unter Einstellungen, Verknüpfte Geräte, ob dort unbekannte Geräte auftauchen.“

Anzeige und Meldung

Erstatten Sie Strafanzeige bei der Polizei – entweder persönlich bei Ihrer lokalen Dienststelle oder online über die Onlinewache Ihres Bundeslandes (zu finden unter polizei.de). In Frage kommen die Straftatbestände Ausspähen von Daten (Paragraph 202a StGB, bis drei Jahre Freiheitsstrafe), Abfangen von Daten (Paragraph 202b StGB) und Computerbetrug (Paragraph 263a StGB, bis fünf Jahre). Wichtig: Das Ausspähen von Daten ist ein Antragsdelikt – Sie müssen die Strafverfolgung innerhalb von drei Monaten nach Kenntnis beantragen.

Melden Sie den Vorfall zusätzlich dem BSI unter bsi.bund.de und dem Messenger-Dienst selbst (WhatsApp: support@whatsapp.com, Signal: support.signal.org). Ihre Meldung hilft den Behörden, das Lagebild zu verbessern und weitere Warnungen auszusprechen. Auch anonyme Meldungen beim BSI sind möglich.

Ihre Checkliste für den Ernstfall

  1. Screenshots anfertigen (Beweissicherung)
  2. Unbekannte Geräte entkoppeln
  3. PIN ändern und 2FA aktivieren
  4. Kontakte über alternativen Kanal warnen
  5. Strafanzeige bei der Polizei erstatten
  6. Vorfall an BSI und Messenger-Dienst melden

Was die Politik tun muss – und was Signal und WhatsApp ändern sollten

Die gemeinsame Warnung von BSI und Verfassungsschutz ist richtig und wichtig. Aber sie kommt spät: Die Google Threat Intelligence Group hatte die Bedrohung bereits ein Jahr zuvor, im Februar 2025, detailliert dokumentiert. Die NSA warnte ihre Mitarbeiter im selben Monat intern. Kanada, die USA und die EU-Cybersicherheitsbehörde CERT-EU reagierten ebenfalls Anfang 2025. Deutschland brauchte ein Jahr länger.

Doch die eigentliche Verantwortung liegt bei den Messenger-Anbietern selbst. Weder WhatsApp noch Signal zeigen eine prominente Benachrichtigung an, wenn ein neues Gerät verknüpft wird. Bei Signal ändert sich die Safety Number nicht, wenn ein Gerät hinzugefügt wird – Ihre Kontakte erhalten also keinerlei Warnung. Bei WhatsApp musste eine tatsächliche Sicherheitslücke in der Linked-Device-Synchronisation (CVE-2025-55177) erst gepatcht werden, nachdem die CISA sie in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen hatte.

Was sich ändern muss: Eine deutliche Push-Benachrichtigung bei jeder neuen Geräteverknüpfung, eine zusätzliche Bestätigungsabfrage mit zeitlicher Verzögerung, und eine automatische Benachrichtigung an die Kontakte des Nutzers – ähnlich wie bei der Änderung der Sicherheitsnummer.

Auf regulatorischer Seite zeichnet sich immerhin Bewegung ab. Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft, das verschärfte Meldepflichten bei Sicherheitsvorfällen vorschreibt – über 30.000 Unternehmen in Deutschland sind betroffen. Unternehmen, die WhatsApp oder Signal für geschäftskritische Kommunikation nutzen, müssen Sicherheitsmaßnahmen nachweisen. Der Cyber Resilience Act, seit Dezember 2024 in Kraft, verpflichtet Softwarehersteller ab 2027 zu Cybersicherheit „by design“. Und die neue EU-Produkthaftungsrichtlinie erfasst erstmals Software als Produkt und macht Hersteller für Sicherheitsmängel haftbar – ohne Haftungsobergrenze. Ihre Umsetzungsfrist läuft im Dezember 2026 ab.

Die Frage, ob die „Verknüpfte Geräte“-Funktion ohne zusätzliche Sicherheitsabfragen als „angemessen“ im Sinne dieser Gesetze gelten kann, wird voraussichtlich in den kommenden Jahren gerichtlich geklärt werden. Das Urteil im Fall NSO Group gegen WhatsApp – 167 Millionen Dollar Schadenersatz für die Kompromittierung von 1.400 Konten – hat bereits gezeigt, dass Gerichte Messenger-Anbieter zunehmend in die Pflicht nehmen.

FAQ: Die häufigsten Fragen zu Ghost Pairing

1. Was genau ist Ghost Pairing?

Ghost Pairing ist eine Angriffsmethode, bei der die reguläre „Verknüpfte Geräte“-Funktion von WhatsApp oder Signal missbraucht wird. Angreifer bringen Opfer dazu, unwissentlich ein fremdes Gerät mit dem eigenen Messenger-Konto zu koppeln. Danach können sie alle Nachrichten in Echtzeit mitlesen, ohne dass das Opfer etwas bemerkt.

2. Bin ich als Privatperson überhaupt gefährdet?

Ja. Die staatlich gesteuerten Angriffe richteten sich ursprünglich gegen Politiker und Journalisten. Aber seit Dezember 2025 ist die Methode als wiederverwendbares Kit für Cyberkriminelle verfügbar. Jedes kompromittierte Konto wird zudem automatisch zur Phishing-Quelle für alle Kontakte – der Angriff verbreitet sich über Vertrauensbeziehungen.

3. Schützt mich die Ende-zu-Ende-Verschlüsselung?

Nein. Die Verschlüsselung funktioniert technisch einwandfrei. Aber das Angreifer-Gerät wird durch die Kopplung zu einem legitimen Empfänger. Die App verschlüsselt Nachrichten künftig auch für dieses Gerät – genau wie für Ihr eigenes Tablet oder Ihren Desktop.

4. Kann der Angreifer auch alte Nachrichten lesen?

Teilweise. Bei WhatsApp werden beim Verknüpfen eines neuen Geräts die Nachrichten der letzten rund 45 Tage übertragen. Bei Signal wird seit 2024 die gesamte Nachrichtenhistorie synchronisiert, Medien allerdings nur für 45 Tage.

5. Wie lange kann ein Angreifer unbemerkt mitlesen?

Bei WhatsApp werden verknüpfte Geräte nach 14 Tagen Inaktivität automatisch abgemeldet. Solange der Angreifer das Gerät aber aktiv nutzt, bleibt die Verbindung unbegrenzt bestehen – bis Sie sie manuell entfernen. Bei Signal gibt es kein automatisches Timeout.

6. Kann ich erkennen, ob jemand mitliest?

Direkte Anzeichen gibt es kaum – das ist das Gefährliche an Ghost Pairing. Prüfen Sie regelmäßig die Liste Ihrer verknüpften Geräte. Indirekte Hinweise können erhöhter Batterie- und Datenverbrauch sein, als gelesen markierte Nachrichten, die Sie nicht geöffnet haben, oder Kontakte, die über seltsame Nachrichten von Ihrem Konto berichten.

7. Was ist der Unterschied zum „Enkeltrick“ per WhatsApp?

Beim klassischen WhatsApp-Enkeltrick gibt sich ein Betrüger als Familienmitglied aus und bittet um Geldüberweisung – das Opfer merkt den Betrug spätestens bei der Zahlung oder wird von Bankmitarbeitern gewarnt. Bei Ghost Pairing hingegen wird Ihr eigenes Konto kompromittiert: Der Angreifer liest still mit und kann in Ihrem Namen schreiben, ohne dass Sie davon wissen. Ghost Pairing ist deutlich schwerer zu erkennen und potenziell deutlich schädlicher, weil der Angreifer Zugang zu Ihrer gesamten Kommunikation und Ihrem Kontaktnetzwerk erhält.

8. Welche Straftatbestände greifen bei Ghost Pairing?

In Deutschland sind vor allem das Ausspähen von Daten (Paragraph 202a StGB, bis drei Jahre Freiheitsstrafe), das Abfangen von Daten (Paragraph 202b StGB, bis zwei Jahre) und Computerbetrug (Paragraph 263a StGB, bis fünf Jahre, in schweren Fällen bis zehn Jahre) relevant. Bei staatlich gesteuerten Angriffen greift zusätzlich die geheimdienstliche Agententätigkeit (Paragraph 99 StGB, bis zehn Jahre in schweren Fällen). Wer die GhostPairing-Kits herstellt oder verbreitet, macht sich zudem nach Paragraph 202c StGB (Vorbereiten des Ausspähens) strafbar. Wichtig: Das Ausspähen von Daten ist ein Antragsdelikt – Sie müssen innerhalb von drei Monaten nach Kenntnis der Tat einen Strafantrag stellen.

Stand: Februar 2026 | Dieser Artikel wurde auf Basis der gemeinsamen Sicherheitswarnung von BSI und BfV vom 6. Februar 2026, des Google-Threat-Intelligence-Berichts „Signals of Trouble“, der GhostPairing-Analyse von Gen Digital sowie weiterer Fachquellen recherchiert. Er ersetzt keine individuelle Sicherheitsberatung. Für technische Fragen wenden Sie sich an das BSI (bsi.bund.de), für strafrechtliche Fragen an Ihre örtliche Polizeidienststelle.