Security Guide

SIM-Swapping: So schützen Sie Ihre Handynummer vor der Übernahme

Von Kevin Pabst
IT-Security Expert
SIM-Swapping Schutz: Handynummer und Mobilfunk-Chip als Angriffsziel
Bildquelle: Unsplash

Ihre Mobilfunknummer ist längst kein Kommunikationsmittel mehr, sondern ein Ausweis. Banken, Mailanbieter und Behördenportale verlassen sich darauf, dass nur Sie die SMS an diese elf Ziffern empfangen. Genau diese Annahme ist der Angriffspunkt.

Angreifer brauchen erst Ihre Daten, dann Ihre Nummer. Personenprofile bei Datenbrokern löschen lassen!

Die schnelle Antwort: Beim SIM-Swapping überreden Kriminelle Ihren Mobilfunkanbieter, Ihre Rufnummer auf eine fremde SIM oder eSIM zu übertragen. Danach empfangen sie Ihre SMS-Codes und setzen darüber Passwörter zurück. Schutz bringen drei Schritte: ein starkes Kundenkennwort beim Anbieter, der Umstieg von SMS-Codes auf App- oder Hardware-Verfahren und das Löschen Ihrer Personendaten bei Datenbrokern.

Auf einen Blick: SIM-Swapping

  • Der Angriff ist Social Engineering, kein Hacking.
  • Rohstoff sind Name, Adresse, Geburtsdatum, Rufnummer.
  • Warnsignal: plötzlich dauerhaft „Kein Netz".
  • SMS-Codes sind das schwächste 2FA-Verfahren.
  • Der eSIM-Umzug per App ist der neue Hebel.
  • Weniger Datenspuren bedeuten weniger Angriffsfläche.

Was beim SIM-Swapping tatsächlich passiert

SIM-Swapping (auch SIM-Swap oder SIM-Hijacking) beschreibt die feindliche Übernahme einer Mobilfunknummer. Der Angreifer bricht dabei in kein System ein. Er überzeugt schlicht einen Menschen oder ein automatisiertes Portal davon, dass er Sie ist, und lässt Ihre Rufnummer auf einen Datenträger übertragen, den er in der Hand hält. Stellen Sie sich einen Schlüsseldienst vor, der einem Fremden einen Zweitschlüssel für Ihre Wohnung aushändigt, weil dieser Ihren Namen, Ihr Geburtsdatum und Ihre Adresse fehlerfrei aufsagen konnte. Die Tür ist intakt, das Schloss ist intakt, und trotzdem steht jemand im Flur.

Technisch führen im deutschsprachigen Raum drei Wege zum Ziel. Erstens der klassische Ersatzkarten-Antrag, wenn eine SIM angeblich verloren ging. Zweitens die Rufnummernmitnahme, bei der die Nummer zu einem anderen Anbieter portiert wird, oft in Verbindung mit einer neu bestellten Prepaid-Karte. Und drittens, inzwischen am attraktivsten, die eSIM: Wer Zugriff auf das Kundenkonto hat, kann sich in vielen Tarifen binnen Minuten ein neues eSIM-Profil generieren lassen und es per QR-Code auf sein eigenes Gerät ziehen. Es muss kein Brief zugestellt und keine Karte abgeholt werden. Der Umzug einer Identität dauert dann nicht mehr Tage, sondern eine Kaffeepause.

Der Moment, in dem es passiert, ist für Betroffene erstaunlich unspektakulär. Das Telefon verliert das Netz. Kein Alarm, kein Warnton, nur ein stiller Balken, der auf null fällt. Viele halten das für eine Störung des Anbieters und warten ab. Diese Wartezeit ist exakt das Zeitfenster, in dem der Angreifer arbeitet.

Security Alert / Real Talk

Die entscheidende Frage lautet nicht, wie gut Ihr Passwort ist. Sie lautet: Was passiert, wenn jemand auf „Passwort vergessen" klickt? Bei erschreckend vielen Diensten reicht dafür der Empfang einer einzigen SMS. Ihre Nummer ist damit kein zweiter Faktor mehr, sondern ein Generalschlüssel, der an Ihrer stärksten Absicherung vorbeiführt. Wer diese Nummer besitzt, braucht Ihr Passwort gar nicht.

Warum der Angriff mit Ihren Adressdaten beginnt

Ein SIM-Swap ist zu 90 Prozent Vorbereitung und zu 10 Prozent Ausführung. Damit der Anruf bei der Hotline oder die Anmeldung im Kundenportal gelingt, muss der Angreifer eine Identitätsprüfung bestehen. Abgefragt werden typischerweise Name, Geburtsdatum, Anschrift, teilweise Kundennummer, IBAN-Endziffern oder das hinterlegte Kundenkennwort. Kein einziger dieser Werte ist ein Geheimnis im technischen Sinn. Sie alle stehen in Datensätzen, die man kaufen oder in Leak-Sammlungen finden kann.

Hier schließt sich der Kreis zu einem Thema, das viele für harmlos halten: dem kommerziellen Adresshandel. Werbe- und Adressbroker wie Acxiom, AZ Direct, Schober oder Deutsche Post Direkt pflegen Personendatensätze, die genau die Kombination enthalten, die für die Identitätsprüfung gebraucht wird, nämlich Name, Anschrift, Alter oder Geburtsjahr und in vielen Fällen Kontaktdaten. Diese Bestände sind für Marketingzwecke gedacht. Für einen Social Engineer sind sie ein Steckbrief. Kommt aus einem alten Datenleck noch die Mobilfunknummer dazu, ist das Dossier komplett. Denselben Mechanismus haben wir bereits bei KI-gestützten Schockanrufen beschrieben: Nicht die Technik macht den Angriff gefährlich, sondern die Detailtiefe der Vorab-Recherche.

Die logische Konsequenz: Reduzieren Sie den Steckbrief, nicht nur das Passwort. Datenputzer fordert bei über 100 Werbe- und Adressbrokern die Löschung Ihrer Datensätze nach Art. 17 DSGVO an und verkleinert damit exakt jene Informationsbasis, aus der ein glaubwürdiger Identitätsnachweis am Telefon gebaut wird.

Die Rechtslage: Was Anbieter prüfen müssen

Die Identitätsprüfung im Mobilfunk ist in Deutschland kein reines Kulanzthema, sondern reguliert. Auf Grundlage von § 172 Abs. 2 TKG legt die Bundesnetzagentur fest, welche Verfahren zulässig sind, um die Angaben eines Anschlussinhabers auf Richtigkeit zu überprüfen (maßgeblich ist die Verfügung Nr. 94/2021). Zugelassen sind neben der klassischen Vorlage des Ausweises auch alternative Verfahren wie Video-Ident oder die eID-Funktion des Personalausweises, deren Eignung durch akkreditierte Stellen bewertet wird. Für den entsprechenden Konformitätsbewertungsnachweis der eingesetzten Ident-Verfahren hat die Behörde den Anbietern eine Frist bis zum 1. Mai 2027 eingeräumt. Die aktuellen Vorgaben und Fristen dokumentiert die Bundesnetzagentur zu den Identverfahren im Mobilfunk.

Für Sie als Kunde bedeutet das zweierlei. Positiv: Die Hürde für eine Neu-Identifizierung steigt, der reine Zuruf am Telefon wird schwieriger. Realistisch betrachtet gilt aber auch: Die Regulierung adressiert vor allem die Erstidentifizierung beim Vertragsschluss. Der Alltagsprozess, also der Ersatzkarten-Antrag oder die eSIM-Neuausstellung für einen bestehenden Vertrag, läuft weiterhin über Ihr Kundenkonto und die Hotline. Und dort entscheidet nicht der Personalausweis, sondern das, was Sie an Sicherheitsmerkmalen hinterlegt haben. Genau hier liegt Ihr Hebel.

Härtung Teil 1: Ihr Mobilfunkvertrag in 20 Minuten

Die folgenden Punkte betreffen ausschließlich Ihr Verhältnis zum Anbieter, nicht Ihre Online-Konten. Sie werden in dieser Zusammenstellung in keinem Tarifprospekt stehen, weil sie den Bestellprozess bewusst unbequemer machen. Genau das ist beabsichtigt.

Härtung Teil 2: Der 2FA-Umbau in der richtigen Reihenfolge

Die meisten Anleitungen sagen Ihnen, dass Sie SMS-Codes durch eine Authenticator-App ersetzen sollen. Das ist richtig, aber unvollständig, denn es fehlt die Reihenfolge und der wichtigste Zwischenschritt. Das BSI stuft hardwarebasierte Verfahren und Authenticator-Apps als sicherer ein als SMS-Verfahren und rät ausdrücklich davon ab, denselben Apparat für Login und Code-Empfang zu verwenden.

Arbeiten Sie den Umbau in dieser Priorität ab. Die Reihenfolge ist kein Detail, sondern der eigentliche Kniff: Wer bei Social Media anfängt, sichert das Vorzimmer und lässt den Tresorraum offen.

  1. Das E-Mail-Postfach zuerst. Ihr Hauptpostfach ist der Dreh- und Angelpunkt jeder Passwort-Rücksetzung. Fällt es, fallen alle anderen Konten nach. Sichern Sie es mit einer Authenticator-App oder besser mit einem FIDO2-Sicherheitsschlüssel ab, bevor Sie irgendetwas anderes anfassen.
  2. Passwortmanager und Cloud-Speicher. Danach folgen die Systeme, die Ihre Zugangsdaten und Dokumente vorhalten. Warum ein kompromittierter Passwortmanager der Super-GAU ist, haben wir im Beitrag zum Passwortmanager als Honeypot ausgeführt.
  3. Online-Banking und Bezahldienste. Bevorzugen Sie Verfahren, die an ein separates Gerät oder eine Karte gebunden sind, etwa chipTAN oder photoTAN. Eine reine SMS-TAN auf demselben Smartphone, auf dem auch die Banking-App läuft, erfüllt die Idee der Faktortrennung nicht.
  4. Zuletzt: die SMS-Hintertür schließen. Das ist der Schritt, den fast alle vergessen. Viele Dienste behalten die hinterlegte Mobilfunknummer auch dann als Rücksetz- oder Fallback-Option, wenn Sie längst eine App eingerichtet haben. Der Angreifer nutzt dann einfach nicht die Vordertür, sondern den Notausgang. Gehen Sie in jedem wichtigen Konto explizit in die Sicherheitseinstellungen und entfernen Sie die Telefonnummer als Wiederherstellungsmethode. Erst danach ist der Umstieg tatsächlich vollzogen.
  5. Recovery-Codes offline sichern. Drucken Sie die Wiederherstellungscodes aus oder notieren Sie sie und legen Sie sie zu Ihren Ausweisdokumenten. Sie sind Ihr Rettungsanker, wenn das Telefon verloren geht, und sie funktionieren ohne Netz.

Ein Sonderfall verdient Aufmerksamkeit: alte Rufnummern. Wird eine Mobilfunknummer gekündigt, wandert sie nach einer Karenzzeit zurück in den Pool und wird neu vergeben. Wer bei alten Diensten noch eine längst aufgegebene Nummer als Wiederherstellungsoption hinterlegt hat, kann seine Konten faktisch an einen wildfremden Menschen verschenken. Prüfen Sie deshalb bei jedem Nummernwechsel Ihre wichtigen Konten aktiv durch.

Steht Ihr Steckbrief schon im Umlauf?

Bevor jemand Ihre Nummer kapert, sammelt er Ihre Daten. Prüfen Sie kostenlos, ob Ihre E-Mail-Adresse bereits in bekannten Leak-Sammlungen auftaucht, und sehen Sie, womit ein Angreifer arbeiten könnte.

Kostenlos E-Mail prüfen

Der Notfallplan: Die ersten 60 Minuten

Wenn die Nummer weg ist, zählt Geschwindigkeit mehr als Gründlichkeit. Angreifer arbeiten nach einem festen Muster ab, und jede Minute, die Sie ihnen nehmen, verkleinert den Schaden. Handeln Sie in dieser Reihenfolge und nutzen Sie dafür ein zweites, fremdes Telefon oder einen Festnetzanschluss.

Zeitfenster Ihre Aktion Warum genau jetzt
Minute 0 bis 5 Karte sperren über 116 116 oder direkt beim Anbieter Beendet den SMS-Empfang des Angreifers, solange er noch Codes anfordert.
Minute 5 bis 20 E-Mail-Passwort ändern, alle Sitzungen beenden, SMS-Recovery entfernen Das Postfach ist die Schaltzentrale für alle weiteren Übernahmen.
Minute 20 bis 40 Bank und Bezahldienste informieren, Konten sperren lassen Verhindert Überweisungen und die Freigabe neuer Zahlungsempfänger.
Minute 40 bis 60 Anzeige erstatten, Vorgang schriftlich dokumentieren Das Aktenzeichen ist die Grundlage für Haftungsfragen und Rückbuchungen.
Tag 1 bis 3 Auskunft nach Art. 15 DSGVO beim Anbieter verlangen Klärt, wer den Tausch wann, über welchen Kanal und mit welchen Daten veranlasst hat.

Der letzte Punkt ist der, den Betroffene am häufigsten auslassen, und der juristisch am meisten wiegt. Ein Auskunftsersuchen nach Art. 15 DSGVO zwingt den Anbieter, den Vorgang offenzulegen. Zeigt sich dabei, dass die Freigabe ohne belastbare Identitätsprüfung erfolgte, verändert das die Ausgangslage bei der Haftungsfrage erheblich. Formulierungshilfen dafür finden Sie in unserem Musterbrief-Ratgeber zu DSGVO-Anfragen.

Identitätsschutz bei SIM-Swapping: Welchen Vorteil bietet Datenputzer?

Ein Kundenkennwort und eine Authenticator-App schützen den Zugang. Sie ändern aber nichts daran, dass Ihr persönlicher Steckbrief, also die Kombination aus Name, Anschrift, Alter und Kontaktdaten, weiterhin in kommerziellen Datenbanken gepflegt wird und dort für Dritte erreichbar bleibt. Solange dieser Steckbrief existiert, bleibt der Angriff planbar. Deshalb setzen wir eine Ebene früher an, nämlich am Rohstoff.

Datenputzer versendet gebündelt Löschanfragen nach Art. 17 DSGVO an über 100 Werbe-, Adress- und Adtech-Broker und fordert die Löschung jener Datensätze, für deren Verarbeitung keine fortbestehende Rechtsgrundlage besteht. Parallel behält das Darknet-Radar Ihre Kennungen im Blick und meldet, sobald Ihre Daten in neuen Leak-Sammlungen auftauchen. Denn ein frisch geleakter Datensatz ist genau der Auslöser, nach dem Social Engineers suchen. Wer früh weiß, dass sein Profil im Umlauf ist, kann das Kundenkennwort wechseln, bevor jemand es benutzt. Warum die DSGVO Verbraucher im DACH-Raum dabei in eine deutlich bessere Position bringt als anderswo, lesen Sie in unserer Analyse zum EU-Vorteil bei der Datenbroker-Löschung.

Wichtig zur Einordnung: Wir löschen Marketing- und Trackingdaten, keine Bonitäts- oder Auskunfteieinträge. Der Zweck ist nicht Ihre Kreditwürdigkeit, sondern Ihre Auffindbarkeit. Weniger auffindbare Personendaten bedeuten schlechtere Erfolgsaussichten für jeden, der sich am Telefon als Sie ausgeben will.

Häufige Fragen zu SIM-Swapping

Woran erkenne ich, dass meine Nummer gekapert wurde?
Das deutlichste Signal ist ein plötzlicher, dauerhafter Verlust des Mobilfunknetzes ohne erkennbaren Grund, während WLAN weiterhin funktioniert. Verdächtig sind außerdem unerwartete Nachrichten über einen SIM-Tausch, eine eSIM-Bestellung oder eine Rufnummernmitnahme sowie Passwort-Reset-Mails von Diensten, bei denen Sie nichts angefordert haben. Prüfen Sie im Zweifel mit einem zweiten Telefon, ob Ihre Nummer noch erreichbar ist.
Ist eine Authenticator-App wirklich sicherer als SMS?
Ja. Ein Code aus einer Authenticator-App oder von einem FIDO2-Sicherheitsschlüssel ist an Ihr Gerät gebunden und wandert nicht mit der Rufnummer mit. Entscheidend ist allerdings, dass Sie die Rufnummer anschließend auch als Rücksetz- und Fallback-Option aus dem Konto entfernen. Bleibt der SMS-Weg als Notausgang bestehen, nützt die beste App nichts.
Ist die eSIM unsicherer als die klassische SIM-Karte?
Die Technik selbst ist nicht schwächer, im Gegenteil. Riskant ist der Prozess drumherum: Ein eSIM-Profil lässt sich rein digital und binnen Minuten neu ausstellen, ohne Postversand und ohne physische Übergabe. Damit rückt die Sicherheit Ihres Kundenkontos beim Anbieter in den Mittelpunkt. Ein starkes, einzigartiges Passwort plus zusätzliche Absicherung des Portals ist bei eSIM-Tarifen daher Pflicht.
Was hat mein Adressdatensatz mit SIM-Swapping zu tun?
Sehr viel. Der Angreifer muss eine Identitätsprüfung bestehen, und dafür braucht er Name, Anschrift, Geburtsdatum und Rufnummer. Genau diese Kombination wird in der Werbe- und Adresswirtschaft gepflegt und zirkuliert zusätzlich aus alten Datenlecks. Wer diese Datensätze nach Art. 17 DSGVO löschen lässt, entzieht dem Social Engineering einen erheblichen Teil seiner Grundlage.
Wer haftet für den Schaden nach einem SIM-Swap?
Das hängt vom Einzelfall ab und davon, wie sorgfältig der Anbieter geprüft hat. Deshalb ist die Dokumentation so wichtig: Erstatten Sie Anzeige, halten Sie alle Zeitpunkte fest und fordern Sie beim Mobilfunkanbieter schriftlich Auskunft nach Art. 15 DSGVO darüber an, wer den Tausch veranlasst hat und welche Identitätsprüfung stattfand. Stellt sich heraus, dass die Freigabe ohne belastbare Prüfung erfolgte, verbessert das Ihre Position gegenüber Anbieter und Bank deutlich.

Machen Sie sich unsichtbar.

Kein Angreifer kann sich als Sie ausgeben, wenn er nicht weiß, wer Sie sind, wo Sie wohnen und wann Sie geboren wurden. Lassen Sie Ihre Personendaten bei den Werbe- und Adressbrokern löschen und nehmen Sie dem Social Engineering das Drehbuch aus der Hand.

SSL-verschlüsselt, DSGVO-konform & jederzeit kündbar