Eigentlich wollten sie nur eine entspannte Kreuzfahrt verbringen. Stattdessen fand sich ein Paar aus England plötzlich in einem Albtraum wieder: Ihre Handys hatten plötzlich keinen Empfang mehr, ihre Bankkonten waren leergeräumt – und als Krönung wurden Kredite auf ihren Namen aufgenommen – einer sogar in Höhe von 25.000 Pfund. Hintergrund: Ein Krimineller hatte ihre Mobilfunknummer gekapert – mit einer Methode, die immer häufiger vorkommt und immense Schäden anrichtet: SIM-Swapping.
Was ist SIM-Swapping und wie ist die Bedrohungslage?
SIM-Swapping (engl. für Austauschen) ist eine Betrugsmasche, bei der Kriminelle die Kontrolle über die Mobilfunknummer eines Opfers übernehmen. Der Trick: Die Täter lassen sich bei einem Mobilfunkanbieter eine neue SIM-Karte mit der Nummer des Opfers ausstellen – und deaktivieren damit die bisherige. Sobald die neue SIM-Karte aktiv ist, landen alle Anrufe, SMS und Zwei-Faktor-Authentifizierungs-Codes beim Täter.
Was harmlos klingt, kann dramatische Konsequenzen haben. Denn viele Dienste – etwa Online-Banking, Shopping-Portale, E-Mail-Provider oder soziale Netzwerke – nutzen das Mobiltelefon als Sicherheitsanker. Wer die Kontrolle über eine Handynummer hat, kann Passwörter zurücksetzen, Konten übernehmen, auf fremde Kosten einkaufen – und im schlimmsten Fall ganze Existenzen gefährden.
Bislang schätzen Mobilfunkanbieter in Deutschland die Gefahr durch SIM-Swapping allerdings noch als gering ein. Laut einer Untersuchung von Heise Online haben die Mobilfunkanbieter Telekom, 1&1 und Telefónica (o2) im Jahr 2024 keine nennenswerte Zunahme von SIM-Swapping-Fällen festgestellt. Die Telekom berichtete von einer kurzzeitigen Phishing-Welle im Juni, bei der versucht wurde, Kunden über gefälschte SMS zur Preisgabe von Daten zu verleiten. Dank interner Sicherheitsmaßnahmen seien jedoch keine erfolgreichen Angriffe bekannt geworden. Auch 1&1 und Telefónica bestätigten, dass SIM-Swapping im Verhältnis zur Gesamtzahl der Kunden ein Randphänomen bleibt. Beide Unternehmen betonen, dass sie kontinuierlich ihre Sicherheitsstandards anpassen und eng mit Strafverfolgungsbehörden zusammenarbeiten, um ihre Kunden zu schützen. Die Polizei Warendorf in Nordrhein-Westfalen hatte im Mai 2024 vor SIM-Swapping gewarnt, nachdem mehrere Anzeigen eingegangen waren. Allerdings handelte es sich dabei um vereinzelte Fälle, und es gab keine Hinweise auf eine größere Betrugswelle. Das Bundeskriminalamt (BKA) und das Landeskriminalamt Niedersachsen bestätigten ebenfalls, dass SIM-Swapping derzeit keine größere Relevanz entfaltet.
So gehen die Täter vor
Für einen erfolgreichen SIM-Swap reicht es nicht aus, nur die Telefonnummer zu kennen. Die Kriminellen sammeln gezielt persönliche Informationen über ihre Opfer – etwa Geburtsdaten, Adressen, Kundennummern oder sogar Ausweiskopien. Diese Daten erlangen sie über Phishing, Datenlecks, Social Engineering oder über öffentlich einsehbare Quellen im Internet.
Mit diesen Informationen geben sie sich beim Mobilfunkanbieter als der rechtmäßige Kunde aus. In manchen Fällen nutzen sie sogar gehackte Kundenportale, um online eine Ersatz-SIM zu bestellen. Ist der Anbieter nicht ausreichend wachsam, wird die alte SIM-Karte deaktiviert – und die neue aktiviert. Ab diesem Moment ist das Opfer vom Mobilfunknetz abgeschnitten, während die Täter Zugriff auf sensible Dienste erhalten.
Das Smartphone dient bei vielen Online-Transaktionen zur Verifizierung
Nataliya / stock.adobe.com
Was macht SIM-Swapping so gefährlich?
Der eigentliche Wert liegt nicht in der Telefonnummer selbst, sondern in dem, was sie absichert. Viele Banken und Online-Dienste setzen beim Login oder bei Transaktionen auf SMS-Codes zur Verifizierung. Sobald diese Codes bei den Betrügern landen, sind Tür und Tor offen. Die Täter können Konten plündern, E-Mails lesen, Bestellungen tätigen oder Identitätsdiebstahl begehen.
Wie bei dem englischen Paar kann das innerhalb kürzester Zeit zu einem finanziellen Desaster führen – und der Schaden lässt sich oft nur schwer oder gar nicht rückgängig machen.
Wie kann man sich schützen?
- Wachsam mit persönlichen Daten umgehen:
So wenig wie möglich preisgeben – besonders in sozialen Netzwerken. Angaben wie Geburtsdatum, Adresse oder sogar der Name des Haustiers können für Kriminelle wertvolle Puzzleteile sein. - Zwei-Faktor-Authentifizierung absichern:
Wenn möglich, besser Authenticator-Apps oder Sicherheitsschlüssel verwenden statt SMS-Codes. Diese sind deutlich schwerer zu kompromittieren. - Kontoaktivitäten regelmäßig überprüfen:
Verdächtige SMS oder E-Mails, plötzlicher Netzverlust oder ungewöhnliche Kontoaktivitäten sollten immer ernst genommen und sofort überprüft werden. - Mobilfunkanbieter sensibilisieren:
Bei vielen Anbietern kann man eine zusätzliche PIN für Vertragsänderungen einrichten oder den Kundenservice über erhöhte Sicherheitswünsche informieren. - Datenschutz ernst nehmen:
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) weist regelmäßig darauf hin, wie wichtig starke Authentifizierungsverfahren sind – nicht nur für Anbieter, sondern auch für Nutzer. Wer etwa seine Daten gut schützt, erschwert Angreifern den Zugang massiv.
