Was ist SIM-Swapping?

SIM-Swapping ist eine Form des Identitätsbetrugs, bei der ein Angreifer einen Mobilfunkanbieter dazu bringt, die Telefonnummer des Opfers auf eine SIM-Karte oder ein eSIM-Profil unter der Kontrolle des Angreifers zu übertragen. Nach der Übertragung kann der Angreifer die Anrufe und SMS-Nachrichten des Opfers empfangen, einschließlich Einmal-Passcodes, die für die Anmeldung und die Wiederherstellung des Kontos verwendet werden.

Es wird auch als SIM-Hijacking oder in einigen Fällen als Port-Out-Betrug. Die Begriffe sind verwandt, aber nicht immer identisch. Bei einem SIM-Swap wird die Nummer auf eine andere SIM-Karte desselben Anbieters übertragen. Bei einem Port-Out wird die Nummer zu einem anderen Anbieter übertragen. Für das Opfer ist die Auswirkung oft dieselbe: Verlust des Dienstes und Verlust der Kontrolle über die SMS-basierte Überprüfung.

Wie ein SIM-Swapping-Angriff funktioniert

Ein SIM-Austausch beginnt in der Regel, bevor das Telefon den Dienst verliert. Der Angreifer sammelt zunächst persönliche Daten. Diese können aus Phishing, Infostealer-Malware, geknackten Datenbanken oder öffentlichen Beiträgen in sozialen Medien stammen. Ziel ist es, genügend Informationen zu sammeln, um Sicherheitsfragen des Anbieters zu beantworten oder sich überzeugend als die Zielperson auszugeben.

Anschließend kontaktiert der Angreifer den Mobilfunkanbieter und behauptet, das Telefon sei verloren gegangen, beschädigt oder ersetzt worden. Wenn der Anbieter dem Antrag zustimmt, wird die Nummer einer SIM oder eSIM zugewiesen, die der Angreifer kontrolliert. Das Telefon des Opfers verliert dann den Mobilfunkdienst.

An diesem Punkt beginnt der Angreifer mit dem Zurücksetzen von Passwörtern, fängt SMS-Codes ab und versucht, sich bei E-Mail, Bankgeschäften, sozialen Medien, Cloud-Diensten oder Geschäftstools anzumelden. Was den Angriff so gefährlich macht, ist nicht die SIM-Karte selbst. Die eigentliche Gefahr besteht darin, dass die Telefonnummer oft als Identitätsnachweis betrachtet wird.

Warum SIM-Swapping für Unternehmen wichtig ist

SIM-Tausch ist wichtig, weil eine Telefonnummer oft mit hochwertigen Konten verbunden ist. Wenn ein Angreifer die Nummer eines Mitarbeiters, Finanzleiters, Administrators oder einer Führungskraft übernimmt, kann er möglicherweise die SMS-basierte Zwei-Faktor-Authentifizierung umgehen und wichtige Anmeldedaten zurücksetzen.

Dies stellt ein unmittelbares Geschäftsrisiko dar. Eine kompromittierte Nummer kann dazu führen, dass geschäftliche E-Mails kompromittiert werden, unbefugte Überweisungen getätigt werden, Cloud-Konten offengelegt werden oder der Zugriff auf interne Verwaltungskonsolen erfolgt. Es kann auch die Reaktion auf einen Vorfall verlangsamen, da die Teams den Ausfall zunächst als ein Problem des Netzbetreibers und nicht als eine laufende Kontoübernahme betrachten könnten.

Bei regulierten Unternehmen berührt das Problem auch die Einhaltung von Vorschriften und die Unternehmensführung. Wenn Kundendaten oder interne Systeme offengelegt werden, weil ein schwacher Authentifizierungsfluss von einer gekaperten Nummer abhing, kann der Vorfall zu mehr als einem IT-Problem werden. Er kann zu einem rechtlichen, betrieblichen und rufschädigenden Problem werden.

Risiken in der realen Welt und praktische Szenarien

Ein häufiges Szenario beginnt mit einem Finanz- oder Geschäftskundenkonto. Ein Angreifer sammelt persönliche Informationen aus durchgesickerten Daten und öffentlichen Profilen und überredet dann den Betreiber, die Nummer zu verlegen. Innerhalb weniger Minuten setzt der Angreifer ein E-Mail-Passwort zurück, fängt den SMS-Code ab und erhält Zugriff auf die Mailbox. Von dort aus kann er nach Rechnungen, Zahlungsfreigaben, Cloud-Anmeldungen oder Passwortrücksetzungsnachrichten von anderen Diensten suchen.

Ein anderes Szenario zielt auf Kryptowährungen oder Bankkonten ab. Europol beschreibt SIM-Swapping als eine Kontoübernahmeverfahren verwendet, um die Kontrolle über die mobile Identität eines Opfers zu erlangen. Kriminelle nutzen SIM-Swapping, um Verifizierungsnachrichten abzufangen und Guthaben abzuziehen oder Geldbörsen zu übernehmen. Der finanzielle Schaden kann schwerwiegend sein, vor allem, wenn das Opfer den Verlust des Dienstes zu spät bemerkt.

Ein drittes Szenario betrifft die SaaS-Verwaltung. Wenn ein IT-Administrator eine SMS-basierte Verifizierung für ein Cloud-Dashboard oder ein Registrar-Konto verwendet, kann ein SIM-Tausch die Tür für Domänenänderungen, die Erstellung privilegierter Benutzer oder die Unterbrechung von Diensten öffnen. Aus diesem Grund sollte SIM-Swapping als Identitäts- und Zugangsrisiko und nicht nur als Problem des Telekommunikationsbetrugs behandelt werden.

Anzeichen für einen SIM-Swapping-Angriff

Das deutlichste Warnzeichen ist ein plötzlicher Verlust des Mobilfunkdienstes ohne eine normale Erklärung. Wenn ein Telefon unerwartet kein Signal zeigt, keine Anrufe tätigen kann oder in einem Gebiet mit normaler Netzabdeckung keine SMS mehr empfängt, kann dies ein Hinweis auf eine Nummernübertragung sein.

Andere Anzeichen treten in der Regel zur gleichen Zeit auf. Sie erhalten möglicherweise E-Mails über die Zurücksetzung von Passwörtern, Anmeldeversuche oder Kontoänderungen, die Sie nicht beantragt haben. Kollegen berichten möglicherweise über seltsame Nachrichten von Ihrer Nummer. Authenticator-Fallback-Texte kommen möglicherweise nicht mehr an.

Diese Zeichen sind wichtig, weil die Reaktionszeit entscheidend ist. Sobald der Angreifer die Nummer kontrolliert, kann das Zeitfenster, um die Übernahme des Kontos zu stoppen, kurz sein.

Strategien zur Prävention und Schadensbegrenzung

Die beste langfristige Lösung besteht darin, die Abhängigkeit von SMS für wichtige Authentifizierungsvorgänge zu verringern. Verwenden Sie für sensible Konten nach Möglichkeit App-basierte Authentifikatoren, Passkeys oder Hardware-Sicherheitsschlüssel anstelle von SMS.

Fügen Sie auf Betreiberebene eine PIN oder einen Port-Schutz für das Mobilfunkkonto hinzu und erkundigen Sie sich, welche Schutzmaßnahmen gegen Port-Out oder SIM-Wechsel verfügbar sind. Innerhalb des Unternehmens sollten Sie die Identitätshygiene verschärfen. Verwenden Sie eindeutige Passwörter, Passwort-Manager, minimale Privilegien und starke Wiederherstellungskontrollen. Behandeln Sie Änderungen der Telefonnummer als hochriskante Ereignisse. Überprüfen Sie, welche Dienste noch SMS-Fallback für Verwaltungsbenutzer zulassen, und entfernen Sie diese, wo möglich.

CAPTCHA hat auch eine enge, aber nützliche Rolle. SIM-Swapping beginnt oft mit Datenerfassung, Phishing, Kontoerfassung oder Angriffen auf Zugangsdaten. Ein datenschutzfreundliches CAPTCHA für die Anmeldung, das Zurücksetzen und die Registrierung kann dazu beitragen, den automatisierten Missbrauch zu verlangsamen, der die frühen Stadien des Identitätsdiebstahls nährt. Für europäische Organisationen, ist captcha.eu erfüllt diese Rolle als GDPR-konforme, datenschutzorientierte Kontrolle, die die Bot-Abwehr unterstützt, ohne zum Hauptidentitätsfaktor zu werden.

Was ist zu tun, wenn ein SIM-Tausch stattfindet?

Wenn der Verdacht auf einen SIM-Tausch besteht, setzen Sie sich sofort mit dem Anbieter in Verbindung und melden Sie nicht autorisierte SIM- oder Nummernübertragungsaktivitäten. Dann sollten Sie sich schnell um die Identität kümmern: Setzen Sie zuerst die Passwörter für E-Mails zurück, widerrufen Sie aktive Sitzungen, deaktivieren Sie die SMS-basierte Wiederherstellung, wo dies möglich ist, wechseln Sie die Token und überprüfen Sie die Anmeldeprotokolle für Cloud-, Finanz- und Verwaltungstools.

Wenn die betroffene Nummer einem Mitarbeiter mit privilegiertem Zugang gehört, eskalieren Sie schnell. Gehen Sie davon aus, dass der Angreifer möglicherweise bereits versucht hat, Passwörter für mehrere Dienste zurückzusetzen. Benachrichtigen Sie das interne Sicherheitsteam, bewahren Sie Protokolle auf und prüfen Sie, ob Genehmigungen, Zahlungsanforderungen oder Posteingangsregeln während des Zeitraums, in dem der Angriff stattfand, geändert wurden.

Das Ziel ist die Eindämmung. Die Wiederherstellung des Dienstes allein reicht nicht aus, wenn der Angreifer die Nummer bereits verwendet hat, um sich anderweitig Zugang zu verschaffen.

Zukünftiger Ausblick

Der SIM-Austausch entwickelt sich zusammen mit den Identitätssystemen und der mobilen Infrastruktur. Durch die Einführung der eSIM entfällt die physische Karte, aber das Betrugsrisiko wird dadurch nicht beseitigt. Sie verlagert einen größeren Teil des Kontrollprozesses in digitale Arbeitsabläufe, was bedeutet, dass Betreiberprozesse, Identitätsprüfungen und Back-End-Sicherheit noch wichtiger werden.

Die Angreifer werden auch immer besser im Social Engineering und in der BSI-Dokumente die wiederholte Verwendung von SIM-Swapping bei den jüngsten Kontoübernahmeaktivitäten. Gleichzeitig bewegen sich die Unternehmen in Richtung einer Phishing-resistenten Authentifizierung, was den langfristigen Wert des Rufnummern-Hijackings für kritische Konten verringern dürfte.

Die praktische Richtung ist klar. Unternehmen sollten Handynummern als bequeme Kommunikationsmittel behandeln, nicht als sicheren Identitätsnachweis.

Fazit

Durch den SIM-Austausch wird eine vertrauenswürdige Telefonnummer zu einem Angriffspfad. Sobald ein Krimineller diese Nummer kontrolliert, können SMS-Codes und Kontowiederherstellungsabläufe gegen das Opfer arbeiten, anstatt es zu schützen. Für Unternehmen ist das tatsächliche Risiko größer als der Verlust eines Anschlusses. Es umfasst die Übernahme von E-Mails, Cloud-Zugang, Zahlungsbetrug und Betriebsunterbrechungen.

Der beste Schutz ist vielschichtig. Verschieben Sie wichtige Konten weg von der SMS-basierten Verifizierung. Fügen Sie Schutzmaßnahmen des Anbieters hinzu. Achten Sie auf plötzlichen Serviceverlust und verdächtige Rücksetzaktivitäten. Sichern Sie öffentlich zugängliche Datenströme gegen Bots und Identitätsmissbrauch. In diesem Modell können datenschutzfreundliche CAPTCHA den Außenbereich unterstützen, während stärkere Authentifizierungs- und Wiederherstellungskontrollen den Kernbereich schützen.

FAQ – Häufig gestellte Fragen

Was ist SIM-Swapping in einfachen Worten?

SIM-Swapping ist eine Betrugsmethode, bei der ein Angreifer einen Mobilfunkanbieter dazu bringt, Ihre Telefonnummer auf eine von ihm kontrollierte SIM-Karte oder eSIM zu übertragen. Sobald dies geschehen ist, können sie Ihre Anrufe und SMS-Nachrichten, einschließlich Anmeldecodes, empfangen.

Ist SIM-Swapping dasselbe wie Port-Out-Betrug?

Nicht ganz. Bei einem SIM-Wechsel bleibt die Nummer in der Regel beim gleichen Anbieter, wird aber auf eine andere SIM oder eSIM übertragen. Beim Port-Out-Betrug wird die Nummer auf einen anderen Anbieter übertragen. In beiden Fällen kann der Angreifer Anrufe und SMS abfangen.

Warum ist SIM-Swapping für Unternehmen gefährlich?

Angreifer können damit die SMS-basierte Zwei-Faktor-Authentifizierung umgehen, Passwörter zurücksetzen und auf E-Mail-, Finanz- und Cloud-Systeme zugreifen, die mit der Telefonnummer eines Mitarbeiters verknüpft sind. Dies kann zu Betrug, Datenpreisgabe und Betriebsunterbrechungen führen.

Wie können Unternehmen das Risiko des SIM-Austauschs verringern?

Verwenden Sie nach Möglichkeit eine Phishing-resistente Authentifizierung, entfernen Sie SMS-Fallback für sensible Konten, fügen Sie PIN- oder Port-Schutz auf Betreiberebene hinzu und überwachen Sie plötzliche Dienstausfälle oder verdächtige Aktivitäten zur Wiederherstellung von Konten.

Kann CAPTCHA helfen, SIM-Tausch zu verhindern?

Nicht direkt. CAPTCHA hält einen Anbieter nicht davon ab, eine Nummer zu verschieben. Es kann jedoch automatisiertes Phishing, Angriffe mit Anmeldedaten und Kontomissbrauch reduzieren, die Angreifern oft helfen, Daten zu sammeln oder ungeschützte Anmelde- und Wiederherstellungsabläufe auszunutzen. Dies macht es zu einer nützlichen unterstützenden Kontrolle, nicht zu einer primären Verteidigung.