Ein Messenger, der sich mit Verschlüsselung, Datenschutz und politischer Unabhängigkeit einen Ruf als sicherer Ort aufgebaut hat, muss plötzlich vor Phishing warnen. Das klingt wie eine technische Randnotiz. Ist es aber nicht. Es ist eine ökonomische Erinnerung daran, dass Sicherheit im digitalen Alltag nicht gratis zu haben ist – schon gar nicht, wenn ein System immer dort endet, wo der Mensch auf einen Link klickt.
Signal reagiert damit auf gezielte Angriffe, die in den vergangenen Wochen für Aufsehen sorgten. Nach Angaben des Unternehmens zielten sie auf ausgewählte Nutzerinnen und Nutzer, offenbar mit Bezug zu staatlich unterstützten Akteuren. Eine eindeutige öffentliche Zuschreibung ist in solchen Fällen selten; vieles deutet jedoch auf russische Kampagnen hin. Genau diese Unsicherheit ist Teil des Problems: Angriffe müssen nicht massenhaft sein, um teuer zu werden. Wer Journalisten, Aktivisten, Diplomaten oder Unternehmensmitarbeiter ins Visier nimmt, greift oft nicht Datenmengen an, sondern Entscheidungszentren.
Wirtschaftlich ist das relevanter, als es auf den ersten Blick wirkt. Phishing ist längst nicht mehr der plumpe Massenbetrug mit schlecht formulierten Mails. Es ist ein Billigwerkzeug mit hoher Rendite. Der FBI Internet Crime Complaint Center meldete für 2023 Schäden von 12,5 Milliarden Dollar durch Internetkriminalität; Phishing und ähnliche Betrugsformen gehören zu den häufigsten Einstiegstoren. Das ist kein Spezialproblem einzelner Nutzer, sondern ein permanenter Kostenblock für Unternehmen, Behörden und Infrastrukturbetreiber. Jede zusätzliche Sicherheitsstufe bedeutet Aufwand, Support, Schulung und Reibung. Aber genau diese Reibung ist oft billiger als der Schaden nach dem Klick.
Signal zeigt damit auch ein unbequemes Paradox: Je besser ein Messenger technisch abgesichert ist, desto mehr wandert das Risiko an die Oberfläche der Nutzung. Ende-zu-Ende-Verschlüsselung schützt den Inhalt der Kommunikation. Sie schützt aber nicht vor der perfekten Fälschung des Absenders, vor der sozialen Manipulation im Chat oder vor Geräten, die bereits kompromittiert sind. Das ist die wenig beachtete Wahrheit hinter vielen Sicherheitsdebatten: Nicht die Kryptografie versagt zuerst, sondern die Gewohnheit. Die größte Schwachstelle sitzt häufig nicht im Protokoll, sondern am Schreibtisch.
Man könnte nun einwenden, dass stärkere Warnungen den Datenschutzgedanken untergraben oder Nutzer bevormunden. Dieser Einwand hat Gewicht. Zu viele Sicherheitsprodukte übersetzen jedes Risiko in eine Warnkaskade, bis niemand mehr hinsieht. Auch die digitale Ökonomie kennt das Gesetz der abgestumpften Aufmerksamkeit. Wer ständig Alarm ruft, erzieht sein Publikum im Zweifel zur Ignoranz. Gerade deshalb müssen Warnungen präzise, sparsam und nachvollziehbar sein. Nicht mehr Lärm, sondern bessere Einordnung ist gefragt.
Doch die Gegenposition geht nur halb auf. Denn die Alternative wäre nicht mehr Freiheit, sondern mehr Verschiebung der Kosten auf die Opfer. In der Praxis zahlen oft die Falschen: kleine Teams ohne eigene IT-Abteilung, NGOs, Redaktionen, Start-ups, mittelständische Firmen. Sie tragen die Folgekosten von Angriffen, die oft von professionellen, teils staatlich nahen Akteuren ausgehen. Das ist auch ein Wettbewerbsproblem. Wer digitale Sicherheit als Privatsache behandelt, subventioniert am Ende die Angreifer. Dass ein kostenloser Messenger wie Signal hier stärker eingreifen muss, ist deshalb kein Zeichen von Schwäche. Es ist das Eingeständnis, dass Sicherheit ohne Schutz vor sozialer Manipulation nur die halbe Miete ist.
Eine zweite, weniger offensichtliche Einsicht: Je stärker sich sichere Kommunikation in den Alltag verlagert, desto wertvoller werden nicht die Daten selbst, sondern der Zugang zu Vertrauen. Phishing attackiert genau diesen Vertrauensvorschuss. Es ist kein technisches Randthema, sondern eine Form von Vertrauensraub mit äußerst niedrigen Eintrittskosten. Im Wirtschaftssprech: Der Angreifer externalisiert seine Risiken, der Angegriffene internalisiert die Kosten. Das ist eine hübsch schiefe Marktordnung.
Signal sollte also nicht nur warnen, sondern den Nutzerinnen und Nutzern klarmachen, dass Sicherheit ein Prozess bleibt. Wer in einer digitalen Umgebung arbeitet, in der Absendernamen, Links und Geräte gestohlen oder imitiert werden können, braucht mehr als ein blaues Häkchen und den guten Willen einer App. Die eigentliche Lehre aus den Angriffen ist ernüchternd: Der sichere Messenger ist nicht der, der niemals gestört wird, sondern der, der den Störversuch rechtzeitig sichtbar macht. Alles andere ist nostalgische Technikromantik.
Und die unbequeme Konsequenz lautet: Wer heute digitale Kommunikation nutzt, muss einen Teil der Bequemlichkeit aufgeben, wenn er nicht den Schaden anderer mitbezahlen will. Phishing ist kein Betriebsunfall des Netzes, sondern seine billigste Form von Krieg – und genau deshalb wird der Preis für Naivität weiter steigen.