SIM-Swap ist keine futuristische Bedrohung – es passiert täglich, weltweit, und oft mit verheerenden Folgen. Kryptowallets werden geleert, Social-Media-Konten übernommen, Bankkonten kompromittiert. Wer seine digitale Sicherheit ernst nimmt, muss verstehen, wie SIM-Swap funktioniert und wie man sich schützt.
TL;DR: Bei einem SIM-Swap-Angriff überträgt ein Angreifer die eigene Mobilnummer auf eine SIM-Karte unter seiner Kontrolle – oft durch Social Engineering beim Mobilfunkanbieter. Damit sind alle SMS-basierten 2FA-Codes kompromittiert. Schutzmaßnahmen: PIN beim Mobilfunkanbieter setzen, SMS-2FA auf Authenticator-Apps umstellen, sensible Dienste mit virtuellen Nummern trennen.
Was ist ein SIM-Swap-Angriff?
Ein SIM-Swap (auch: SIM-Hijacking, SIM-Porting) ist ein Angriff, bei dem ein Krimineller die eigene Mobilfunknummer auf eine SIM-Karte überträgt, die er kontrolliert. Das Ergebnis: Alle Anrufe und SMS, die an die eigene Nummer gerichtet sind, landen beim Angreifer. Die eigene SIM funktioniert nicht mehr.
Der Angriff nutzt eine legitime Funktion der Mobilfunkanbieter aus: die Möglichkeit, eine Nummer auf eine neue SIM zu übertragen – zum Beispiel, wenn man das Telefon verloren hat oder zur neuen Anbieter wechselt.
Wie SIM-Swap funktioniert
Schritt 1: Daten sammeln Der Angreifer sammelt zuerst persönliche Informationen über das Opfer. Dazu gehören: vollständiger Name, Adresse, Geburtsdatum, letzte vier Ziffern der Kreditkarte oder Kontonummer – Daten, die Mobilfunkanbieter zur Identitätsverifizierung nutzen. Diese Informationen stammen oft aus Datenlecks, Social Media oder gestohlenen Datenbanken.
Schritt 2: Mobilfunkanbieter kontaktieren Der Angreifer ruft den Kundendienst des Mobilfunkanbieters an – oder betritt einen Laden – und gibt sich als das Opfer aus. Mit den gesammelten Daten besteht die Chance, die Identitätsprüfung zu bestehen.
Schritt 3: Nummer übertragen lassen Der Angreifer behauptet, das Telefon verloren zu haben oder eine neue SIM zu benötigen. Er bittet darum, die Nummer auf eine neue SIM zu übertragen. Wenn die Identitätsprüfung gelingt, führt der Mitarbeiter die Übertragung durch.
Schritt 4: Konten übernehmen Mit der kontrollierten Nummer empfängt der Angreifer nun alle SMS – inklusive 2FA-Codes. Er kann sich jetzt über “Passwort vergessen” + SMS-2FA bei E-Mail-Accounts, Kryptowallets, Bankkonten und sozialen Netzwerken einloggen.
Wer ist besonders gefährdet?
Grundsätzlich kann jeder Opfer eines SIM-Swaps werden, aber bestimmte Gruppen sind besonders attraktive Ziele:
Kryptowährungs-Inhaber: Kryptobörsen wie Coinbase, Binance und Kraken nutzen oft SMS-2FA. Wer größere Mengen Krypto hält und SMS-basierte 2FA nutzt, ist ein attraktives Ziel.
Prominente und Influencer: Große Social-Media-Konten haben hohen Wiederverkaufswert. Bekannte Youtuber, Influencer und Persönlichkeiten wurden bereits mehrfach Opfer.
Unternehmer und Geschäftsleute: Wer für geschäftliche Zwecke eine bekannte Nummer nutzt, kann zum Ziel werden – besonders wenn die Nummer auf LinkedIn oder anderen Business-Profilen öffentlich ist.
Personen nach Datenlecks: Wer in großen Datenlecks (z. B. Facebook 2021, T-Mobile 2021) betroffen war, hat möglicherweise bereits alle Daten im Umlauf, die für einen SIM-Swap gebraucht werden.
Warum SMS-2FA trotzdem allgegenwärtig ist
SMS-basierte Zwei-Faktor-Authentifizierung (2FA) ist unsicherer als App-basierte Authenticatoren – und das ist in der Sicherheitscommunity bekannt. Trotzdem setzen viele Dienste darauf, weil:
- Keine zusätzliche App benötigt wird
- Funktioniert auf jedem Telefon, auch ohne Smartphone
- Nutzer sind damit vertraut
- Einfache Implementierung für Entwickler
Die NIST (National Institute of Standards and Technology) hat SMS-2FA bereits 2016 als “veraltet” eingestuft und empfiehlt App-basierte Authenticatoren. In Deutschland und Europa hat sich das bei Banken bereits weitgehend durchgesetzt (chip-basierte TAN-Generatoren, Push-TAN-Apps) – bei anderen Diensten hinkt die Entwicklung jedoch nach.
Reale SIM-Swap-Fälle
SIM-Swap ist kein theoretisches Problem. Einige dokumentierte Fälle zeigen das Ausmaß:
Michael Terpin vs. AT&T (USA, 2018): Ein Investor verlor durch einen SIM-Swap-Angriff Kryptowährungen im Wert von rund 24 Millionen Dollar. Er klagte AT&T auf Schadensersatz. Das Gericht befand teilweise zugunsten des Investors.
Twitter-CEO Jack Dorsey (2019): Dorseys Twitter-Account wurde durch einen SIM-Swap-Angriff übernommen. Der Angreifer sendete über sein Konto rassistische Nachrichten.
Deutsche Bankkunden (mehrfach): Die deutsche Bundesnetzagentur und das BSI (Bundesamt für Sicherheit in der Informationstechnik) haben SIM-Swap-Betrug als wachsendes Problem für deutsche Verbraucher dokumentiert. Besonders betroffen: Nutzer von Online-Banking mit SMS-TAN.
NFT-Sammler (2021–2022): Während des NFT-Booms wurden prominente NFT-Sammler gezielt durch SIM-Swap angegriffen. Wertvolle NFTs wurden auf fremde Wallets übertragen.
Schutzmaßnahmen gegen SIM-Swap
1. PIN oder Passwort beim Mobilfunkanbieter setzen
Die effektivste direkte Schutzmaßnahme: Beim eigenen Mobilfunkanbieter eine zusätzliche PIN oder ein Passwort einrichten, das für Kontoänderungen (inklusive SIM-Transfers) benötigt wird. In Deutschland bieten die großen Anbieter diese Option an:
- Telekom: Kundenkennwort in den Account-Einstellungen hinterlegen
- Vodafone: PIN-Schutz für Service-Anfragen aktivieren
- o2: Kundenschutz-PIN einrichten
- 1&1: Kundenpasswort im Online-Center setzen
Wichtig: Diese PIN muss anders sein als alle anderen Passwörter und sollte sicher verwahrt werden.
2. SMS-2FA durch App-basierte Authenticatoren ersetzen
Überall dort, wo es möglich ist, SMS-2FA durch eine Authenticator-App ersetzen:
- Google Authenticator – einfach, weit verbreitet
- Authy – mit Cloud-Backup (Kompromiss: mehr Angriffsfläche)
- Bitwarden Authenticator – Teil eines Passwortmanagers
- Microsoft Authenticator – gut integriert in Microsoft-Ökosystem
- Aegis Authenticator (Android) – Open Source, lokal gespeichert
App-basierte TOTP-Codes (Time-based One-Time Passwords) sind deutlich sicherer als SMS, weil sie:
- Auf dem lokalen Gerät generiert werden
- Kein Mobilfunknetz benötigen
- Nicht durch SIM-Swap kompromittierbar sind
3. Hardware-Sicherheitsschlüssel für kritische Konten
Für die sensibelsten Konten – Kryptobörsen, E-Mail-Hauptkonto, Passwort-Manager – bieten Hardware-Sicherheitsschlüssel (YubiKey, Google Titan, etc.) den stärksten Schutz. FIDO2/WebAuthn-basierte Authentifizierung ist immun gegen SIM-Swap und Phishing.
Empfohlene Hardware-Keys:
| Produkt | Preis (ca.) | Protokolle | Besonderheit |
|---|---|---|---|
| YubiKey 5 NFC | 55 € | FIDO2, TOTP, OTP | NFC für Mobile |
| Google Titan Security Key | 35 € | FIDO2 | Google-Ökosystem |
| SoloKey 2 | 25 € | FIDO2 | Open Source |
| Nitrokey 3 | 49 € | FIDO2, TOTP | Deutsch, Open Source |
4. Wichtige Dienste von der eigenen Handynummer trennen
Hier kommen virtuelle Nummern ins Spiel: Für Dienste, bei denen eine Handynummer hinterlegt werden muss und SMS-2FA obligatorisch ist, kann eine virtuelle Nummer genutzt werden. Die echte Handynummer ist dann nicht exponiert.
Wichtiger Hinweis: Virtuelle Einwegnummern sind für die initiale Registrierung geeignet. Für dauerhaftes SMS-2FA bei kritischen Konten braucht man entweder eine stabile Miet-Nummer oder – besser – App-basierte 2FA. Mehr zum Unterschied der Nummerntypen gibt es im Artikel Einwegnummer vs. Miet-Nummer.
5. Separate E-Mail-Adresse für Sicherheits-Recovery
Viele Dienste erlauben neben der Handynummer auch eine E-Mail-Adresse für die Konto-Wiederherstellung. Eine dedizierte, wenig bekannte E-Mail-Adresse – die nicht auf der eigenen Website oder in sozialen Netzwerken auftaucht – erhöht die Sicherheit erheblich.
6. Regelmäßige Überprüfung der Kontosicherheit
- Eingeloggte Geräte und aktive Sessions regelmäßig prüfen
- Benachrichtigungen für Login-Aktivitäten aktivieren
- Datenleck-Dienste nutzen (HaveIBeenPwned.com), um zu prüfen, ob die eigene E-Mail in Lecks auftaucht
Sicherheitsvergleich: 2FA-Methoden im Überblick
| Methode | SIM-Swap-Schutz | Phishing-Schutz | Bequemlichkeit | Empfehlung |
|---|---|---|---|---|
| SMS/OTP | Kein Schutz | Kein Schutz | Hoch | Nur für unkritische Dienste |
| App-basiertes TOTP | Vollständig | Teilweise | Mittel | Empfohlen für die meisten Dienste |
| Push-Benachrichtigung | Vollständig | Kein Schutz | Hoch | Gut, aber schwächer als TOTP |
| FIDO2 / Hardware-Key | Vollständig | Vollständig | Mittel | Für kritische Konten |
| Passkeys | Vollständig | Vollständig | Hoch | Zukunftsweisend |
Was tun, wenn man Opfer eines SIM-Swaps wurde?
Sofort: Mobilfunkanbieter anrufen und die unautorizierten Änderungen rückgängig machen lassen. Dabei direkt im Laden erscheinen, wenn möglich – mit Personalausweis.
Parallel: Passwörter für alle wichtigen Konten über einen anderen Kanal (WLAN-Verbindung, anderes Gerät) ändern, bevor der Angreifer die Accounts übernimmt.
Meldung: Polizei und ggf. die Bundesnetzagentur informieren. In Deutschland ist SIM-Swap-Betrug strafbar (§ 263 StGB – Computerbetrug, § 202a StGB – Ausspähen von Daten).
Danach: 2FA-Methoden auf Authenticator-Apps oder Hardware-Keys umstellen, PIN beim Mobilfunkanbieter einrichten.
SIM-Swap und virtuelle Nummern
Eine häufige Frage: Schützen virtuelle Nummern vor SIM-Swap?
Die Antwort ist differenziert. Virtuelle Nummern basieren nicht auf einer physischen SIM-Karte. Es gibt keinen Mobilfunkanbieter, der einen SIM-Transfer durchführen könnte. In diesem Sinne sind virtuelle Nummern immun gegen klassische SIM-Swap-Angriffe.
Allerdings gibt es einen anderen Angriffspunkt: das SMSCode-Konto selbst. Wer Zugang zum SMSCode-Konto erhält, kann auch Nummern buchen und SMS empfangen. Deshalb ist die Absicherung des SMSCode-Kontos selbst wichtig:
- Starkes, einzigartiges Passwort
- App-basierte 2FA für das SMSCode-Konto
- API-Key sicher verwahren
Weitere Informationen zur Sicherheit virtueller Nummern gibt es im Artikel Was ist eine virtuelle Nummer?.
Die echte Handynummer minimieren: Schritt für Schritt
Ein pragmatischer Ansatz zur Reduzierung der Angriffsfläche:
Phase 1 – Sofort umsetzbar (0–30 Minuten):
- PIN beim Mobilfunkanbieter einrichten
- HaveIBeenPwned.com: eigene E-Mail auf Lecks prüfen
- Wichtigste Konten auf TOTP-Authenticator umstellen (E-Mail, Passwort-Manager)
Phase 2 – Diese Woche (1–3 Stunden):
- Alle Dienste mit SMS-2FA identifizieren
- Schritt für Schritt auf App-basierte 2FA umstellen
- Für Dienste, die kein TOTP unterstützen: virtuelle Nummer bei der nächsten Nummer-Änderung verwenden
Phase 3 – Langfristig:
- Hardware-Key für kritische Konten anschaffen
- Separate Recovery-E-Mail anlegen
- Kontoüberprüfungen halbjährlich wiederholen
Realistische Einschätzung der Risiken
SIM-Swap ist eine reale Bedrohung, aber keine allgegenwärtige Gefahr für jeden Durchschnittsnutzer. Wer:
- Keine großen Kryptomengen hält
- Keine prominente öffentliche Präsenz hat
- Nicht in großen Datenlecks betroffen war
…hat ein vergleichsweise geringes Risiko. Trotzdem lohnt sich Prävention:
- PIN beim Mobilfunkanbieter einrichten: kostet nichts, dauert 5 Minuten
- Authenticator-App statt SMS: einmalige Umstellung, deutlich sicherer
- Bewusstsein für Phishing: niemals persönliche Daten telefonisch bestätigen
Für Hochrisiko-Personen (Krypto-Trader, Unternehmer, Influencer) sind zusätzliche Maßnahmen wie Hardware-Keys und komplett separate Sicherheits-E-Mail-Adressen sinnvoll.
Empfohlene Sicherheits-Checkliste
- PIN/Passwort beim Mobilfunkanbieter eingerichtet
- Wichtige Konten auf App-basierte 2FA umgestellt
- Passwortmanager mit einzigartigen Passwörtern für alle Konten
- HaveIBeenPwned: eigene E-Mail auf Lecks geprüft
- Krypto-Konten mit Hardware-Key gesichert (falls relevant)
- Benachrichtigungen für verdächtige Login-Aktivitäten aktiviert
- Keine 2FA-Codes oder Passwörter telefonisch oder per SMS weitergegeben
- Dedizierte Recovery-E-Mail-Adresse angelegt
- SMSCode-Konto mit starkem Passwort und App-2FA gesichert
Fazit
SIM-Swap ist ein ernster Angriff, der mit vergleichsweise einfachen Maßnahmen erheblich erschwert werden kann. Die wichtigsten Schritte: PIN beim Mobilfunkanbieter einrichten, SMS-2FA durch Authenticator-Apps ersetzen, für hochsensible Konten Hardware-Keys verwenden.
Virtuelle Nummern sind ein nützliches Werkzeug im Datenschutz-Arsenal – sie schützen die echte Handynummer vor Exposition und haben keinen SIM, der geswappt werden könnte. Für die initiale Registrierung bei Diensten ist SMSCode eine sinnvolle Option. Die echte Handynummer bleibt geschützt, und SMS-2FA für kritische Dienste wird auf sicherere Methoden umgestellt.
Weitere Anleitungen
- Sicherheit virtueller Nummern
- Was ist eine virtuelle Nummer?
- Datenschutz und virtuelle Nummern
- Virtuelle Nummern kaufen
FAQ
Kann mein Mobilfunkanbieter mich vor SIM-Swap schützen?
Ja, in begrenztem Maße. Durch das Einrichten einer zusätzlichen PIN oder eines Kundenpassworts wird es deutlich schwerer, unautorizierten SIM-Transfers durchzuführen. Einige Anbieter bieten auch “Port Freeze” oder ähnliche Dienste an, die jede Nummernübertragung blockieren bis sie explizit freigegeben wird.
Ist SMS-2FA wirklich so unsicher?
SMS-2FA ist sicherer als gar keine 2FA, aber schwächer als App-basierte TOTP oder Hardware-Keys. Für die meisten Alltagsdienste ist SMS-2FA noch akzeptabel. Für hochsensible Konten (Kryptobörsen, Passwort-Manager, Haupt-E-Mail) sollte auf stärkere Methoden gewechselt werden.
Wie erkenne ich, ob ich Opfer eines SIM-Swaps wurde?
Typische Anzeichen: Das Telefon verliert plötzlich den Netzempfang (kein Signal, keine SMS möglich), obwohl man sich in einer normalen Netzabdeckungszone befindet. Gleichzeitig können keine Anrufe empfangen oder getätigt werden. In diesem Fall sofort den Mobilfunkanbieter kontaktieren.
Können virtuelle Nummern als 2FA für wichtige Konten genutzt werden?
Einwegnummern sind dafür nicht geeignet – sie existieren nur kurz. Miet-Nummern könnten theoretisch genutzt werden, aber App-basierte Authenticatoren sind sicherer und bequemer. Der beste Einsatz virtueller Nummern: Registrierung bei Diensten, bei denen man nicht die echte Handynummer hinterlassen möchte.
Was kostet ein professioneller SIM-Swap-Angriff?
Im kriminellen Untergrundmarkt sind SIM-Swap-Dienstleistungen für wenige hundert Dollar erhältlich. Der potenzielle Gewinn für Angreifer – besonders bei Krypto-Zielen – kann jedoch im fünf- bis sechsstelligen Bereich liegen. Das macht SIM-Swap trotz des Aufwands wirtschaftlich attraktiv für Kriminelle.
Schützt ein VPN vor SIM-Swap?
Nein. Ein VPN verbirgt deine IP-Adresse, hat aber keinen Einfluss auf den SIM-Swap-Vorgang. Der Angriff findet beim Mobilfunkanbieter statt, nicht auf Netzwerkebene. VPN hilft bei anderen Datenschutzproblemen, aber nicht direkt gegen SIM-Swap.
Was ist der Unterschied zwischen SIM-Swap und SIM-Cloning?
Beim SIM-Swap wird die Nummer auf eine neue SIM übertragen – die alte Karte ist danach inaktiv. Beim SIM-Cloning wird die SIM-Karte physisch dupliziert, sodass beide Karten gleichzeitig aktiv sind. SIM-Cloning ist technisch aufwändiger und bei modernen SIM-Karten praktisch unmöglich. SIM-Swap ist die heute relevante Bedrohung.