SIM-Swapping: So schützen Sie Ihre Handynummer vor der Übernahme
Ihre Mobilfunknummer ist längst kein Kommunikationsmittel mehr, sondern ein Ausweis. Banken, Mailanbieter und Behördenportale verlassen sich darauf, dass nur Sie die SMS an diese elf Ziffern empfangen. Genau diese Annahme ist der Angriffspunkt.
Angreifer brauchen erst Ihre Daten, dann Ihre Nummer. Personenprofile bei Datenbrokern löschen lassen!
Die schnelle Antwort: Beim SIM-Swapping überreden Kriminelle Ihren Mobilfunkanbieter, Ihre Rufnummer auf eine fremde SIM oder eSIM zu übertragen. Danach empfangen sie Ihre SMS-Codes und setzen darüber Passwörter zurück. Schutz bringen drei Schritte: ein starkes Kundenkennwort beim Anbieter, der Umstieg von SMS-Codes auf App- oder Hardware-Verfahren und das Löschen Ihrer Personendaten bei Datenbrokern.
Auf einen Blick: SIM-Swapping
- Der Angriff ist Social Engineering, kein Hacking.
- Rohstoff sind Name, Adresse, Geburtsdatum, Rufnummer.
- Warnsignal: plötzlich dauerhaft „Kein Netz".
- SMS-Codes sind das schwächste 2FA-Verfahren.
- Der eSIM-Umzug per App ist der neue Hebel.
- Weniger Datenspuren bedeuten weniger Angriffsfläche.
Was beim SIM-Swapping tatsächlich passiert
SIM-Swapping (auch SIM-Swap oder SIM-Hijacking) beschreibt die feindliche Übernahme einer Mobilfunknummer. Der Angreifer bricht dabei in kein System ein. Er überzeugt schlicht einen Menschen oder ein automatisiertes Portal davon, dass er Sie ist, und lässt Ihre Rufnummer auf einen Datenträger übertragen, den er in der Hand hält. Stellen Sie sich einen Schlüsseldienst vor, der einem Fremden einen Zweitschlüssel für Ihre Wohnung aushändigt, weil dieser Ihren Namen, Ihr Geburtsdatum und Ihre Adresse fehlerfrei aufsagen konnte. Die Tür ist intakt, das Schloss ist intakt, und trotzdem steht jemand im Flur.
Technisch führen im deutschsprachigen Raum drei Wege zum Ziel. Erstens der klassische Ersatzkarten-Antrag, wenn eine SIM angeblich verloren ging. Zweitens die Rufnummernmitnahme, bei der die Nummer zu einem anderen Anbieter portiert wird, oft in Verbindung mit einer neu bestellten Prepaid-Karte. Und drittens, inzwischen am attraktivsten, die eSIM: Wer Zugriff auf das Kundenkonto hat, kann sich in vielen Tarifen binnen Minuten ein neues eSIM-Profil generieren lassen und es per QR-Code auf sein eigenes Gerät ziehen. Es muss kein Brief zugestellt und keine Karte abgeholt werden. Der Umzug einer Identität dauert dann nicht mehr Tage, sondern eine Kaffeepause.
Der Moment, in dem es passiert, ist für Betroffene erstaunlich unspektakulär. Das Telefon verliert das Netz. Kein Alarm, kein Warnton, nur ein stiller Balken, der auf null fällt. Viele halten das für eine Störung des Anbieters und warten ab. Diese Wartezeit ist exakt das Zeitfenster, in dem der Angreifer arbeitet.
Security Alert / Real Talk
Die entscheidende Frage lautet nicht, wie gut Ihr Passwort ist. Sie lautet: Was passiert, wenn jemand auf „Passwort vergessen" klickt? Bei erschreckend vielen Diensten reicht dafür der Empfang einer einzigen SMS. Ihre Nummer ist damit kein zweiter Faktor mehr, sondern ein Generalschlüssel, der an Ihrer stärksten Absicherung vorbeiführt. Wer diese Nummer besitzt, braucht Ihr Passwort gar nicht.
Warum der Angriff mit Ihren Adressdaten beginnt
Ein SIM-Swap ist zu 90 Prozent Vorbereitung und zu 10 Prozent Ausführung. Damit der Anruf bei der Hotline oder die Anmeldung im Kundenportal gelingt, muss der Angreifer eine Identitätsprüfung bestehen. Abgefragt werden typischerweise Name, Geburtsdatum, Anschrift, teilweise Kundennummer, IBAN-Endziffern oder das hinterlegte Kundenkennwort. Kein einziger dieser Werte ist ein Geheimnis im technischen Sinn. Sie alle stehen in Datensätzen, die man kaufen oder in Leak-Sammlungen finden kann.
Hier schließt sich der Kreis zu einem Thema, das viele für harmlos halten: dem kommerziellen Adresshandel. Werbe- und Adressbroker wie Acxiom, AZ Direct, Schober oder Deutsche Post Direkt pflegen Personendatensätze, die genau die Kombination enthalten, die für die Identitätsprüfung gebraucht wird, nämlich Name, Anschrift, Alter oder Geburtsjahr und in vielen Fällen Kontaktdaten. Diese Bestände sind für Marketingzwecke gedacht. Für einen Social Engineer sind sie ein Steckbrief. Kommt aus einem alten Datenleck noch die Mobilfunknummer dazu, ist das Dossier komplett. Denselben Mechanismus haben wir bereits bei KI-gestützten Schockanrufen beschrieben: Nicht die Technik macht den Angriff gefährlich, sondern die Detailtiefe der Vorab-Recherche.
Die logische Konsequenz: Reduzieren Sie den Steckbrief, nicht nur das Passwort. Datenputzer fordert bei über 100 Werbe- und Adressbrokern die Löschung Ihrer Datensätze nach Art. 17 DSGVO an und verkleinert damit exakt jene Informationsbasis, aus der ein glaubwürdiger Identitätsnachweis am Telefon gebaut wird.
Die Rechtslage: Was Anbieter prüfen müssen
Die Identitätsprüfung im Mobilfunk ist in Deutschland kein reines Kulanzthema, sondern reguliert. Auf Grundlage von § 172 Abs. 2 TKG legt die Bundesnetzagentur fest, welche Verfahren zulässig sind, um die Angaben eines Anschlussinhabers auf Richtigkeit zu überprüfen (maßgeblich ist die Verfügung Nr. 94/2021). Zugelassen sind neben der klassischen Vorlage des Ausweises auch alternative Verfahren wie Video-Ident oder die eID-Funktion des Personalausweises, deren Eignung durch akkreditierte Stellen bewertet wird. Für den entsprechenden Konformitätsbewertungsnachweis der eingesetzten Ident-Verfahren hat die Behörde den Anbietern eine Frist bis zum 1. Mai 2027 eingeräumt. Die aktuellen Vorgaben und Fristen dokumentiert die Bundesnetzagentur zu den Identverfahren im Mobilfunk.
Für Sie als Kunde bedeutet das zweierlei. Positiv: Die Hürde für eine Neu-Identifizierung steigt, der reine Zuruf am Telefon wird schwieriger. Realistisch betrachtet gilt aber auch: Die Regulierung adressiert vor allem die Erstidentifizierung beim Vertragsschluss. Der Alltagsprozess, also der Ersatzkarten-Antrag oder die eSIM-Neuausstellung für einen bestehenden Vertrag, läuft weiterhin über Ihr Kundenkonto und die Hotline. Und dort entscheidet nicht der Personalausweis, sondern das, was Sie an Sicherheitsmerkmalen hinterlegt haben. Genau hier liegt Ihr Hebel.
Härtung Teil 1: Ihr Mobilfunkvertrag in 20 Minuten
Die folgenden Punkte betreffen ausschließlich Ihr Verhältnis zum Anbieter, nicht Ihre Online-Konten. Sie werden in dieser Zusammenstellung in keinem Tarifprospekt stehen, weil sie den Bestellprozess bewusst unbequemer machen. Genau das ist beabsichtigt.
- Kundenkennwort setzen, und zwar ein echtes: Telekom, Vodafone und o2 bieten ein Kunden- beziehungsweise Teilnehmerkennwort, das an der Hotline abgefragt wird. Nutzen Sie dafür niemals Geburtsdatum, Postleitzahl oder den Namen eines Familienmitglieds. Diese Werte stehen im Steckbrief. Vergeben Sie eine zufällige Zeichenfolge und legen Sie sie im Passwortmanager ab.
- Eigene E-Mail für das Kundenkonto: Wer Ihr Provider-Konto übernehmen will, greift zuerst die dort hinterlegte E-Mail-Adresse an. Nutzen Sie für das Mobilfunkportal eine Adresse, die Sie nirgendwo sonst verwenden und die in keinem Shop, Newsletter oder Gewinnspiel steht. Eine Alias-Adresse eignet sich dafür ideal.
- Zwei-Faktor-Schutz im Kundenportal aktivieren: Prüfen Sie, ob Ihr Anbieter für das Login eine zusätzliche Absicherung anbietet, und schalten Sie sie ein. Ein Kundenkonto, das nur mit Passwort geschützt ist, ist die kürzeste Strecke zur eSIM-Neuausstellung.
- Benachrichtigungen scharf stellen: Aktivieren Sie alle verfügbaren Meldungen zu Vertrags- und Kontoänderungen. Eine Mail mit dem Betreff „Ihre neue eSIM ist bereit" ist wertlos, wenn sie in einem Postfach landet, das Sie nur alle vier Wochen öffnen. Legen Sie eine Regel an, die solche Absender ganz oben einsortiert.
- Rückwärtssuche und Telefonbucheintrag widersprechen: Ein öffentlich zuordenbarer Eintrag verknüpft Ihre Nummer direkt mit Name und Anschrift und liefert dem Angreifer den letzten fehlenden Baustein gratis. Widersprechen Sie der Aufnahme in Verzeichnisse und der Rückwärtssuche. Wie Sie die Weitergabe Ihrer Rufnummer grundsätzlich eindämmen, zeigt unser Ratgeber zu Werbeanrufen und Rufnummern-Spam.
- Keine Bestätigung am Telefon: Wenn ein angeblicher Anbieter-Mitarbeiter Sie anruft und Kundendaten „zur Verifizierung" abfragt, legen Sie auf und rufen Sie über die offizielle Nummer zurück. Der Rückkanal ist der einzige Prüfmechanismus, der wirklich funktioniert.
Härtung Teil 2: Der 2FA-Umbau in der richtigen Reihenfolge
Die meisten Anleitungen sagen Ihnen, dass Sie SMS-Codes durch eine Authenticator-App ersetzen sollen. Das ist richtig, aber unvollständig, denn es fehlt die Reihenfolge und der wichtigste Zwischenschritt. Das BSI stuft hardwarebasierte Verfahren und Authenticator-Apps als sicherer ein als SMS-Verfahren und rät ausdrücklich davon ab, denselben Apparat für Login und Code-Empfang zu verwenden.
Arbeiten Sie den Umbau in dieser Priorität ab. Die Reihenfolge ist kein Detail, sondern der eigentliche Kniff: Wer bei Social Media anfängt, sichert das Vorzimmer und lässt den Tresorraum offen.
- Das E-Mail-Postfach zuerst. Ihr Hauptpostfach ist der Dreh- und Angelpunkt jeder Passwort-Rücksetzung. Fällt es, fallen alle anderen Konten nach. Sichern Sie es mit einer Authenticator-App oder besser mit einem FIDO2-Sicherheitsschlüssel ab, bevor Sie irgendetwas anderes anfassen.
- Passwortmanager und Cloud-Speicher. Danach folgen die Systeme, die Ihre Zugangsdaten und Dokumente vorhalten. Warum ein kompromittierter Passwortmanager der Super-GAU ist, haben wir im Beitrag zum Passwortmanager als Honeypot ausgeführt.
- Online-Banking und Bezahldienste. Bevorzugen Sie Verfahren, die an ein separates Gerät oder eine Karte gebunden sind, etwa chipTAN oder photoTAN. Eine reine SMS-TAN auf demselben Smartphone, auf dem auch die Banking-App läuft, erfüllt die Idee der Faktortrennung nicht.
- Zuletzt: die SMS-Hintertür schließen. Das ist der Schritt, den fast alle vergessen. Viele Dienste behalten die hinterlegte Mobilfunknummer auch dann als Rücksetz- oder Fallback-Option, wenn Sie längst eine App eingerichtet haben. Der Angreifer nutzt dann einfach nicht die Vordertür, sondern den Notausgang. Gehen Sie in jedem wichtigen Konto explizit in die Sicherheitseinstellungen und entfernen Sie die Telefonnummer als Wiederherstellungsmethode. Erst danach ist der Umstieg tatsächlich vollzogen.
- Recovery-Codes offline sichern. Drucken Sie die Wiederherstellungscodes aus oder notieren Sie sie und legen Sie sie zu Ihren Ausweisdokumenten. Sie sind Ihr Rettungsanker, wenn das Telefon verloren geht, und sie funktionieren ohne Netz.
Ein Sonderfall verdient Aufmerksamkeit: alte Rufnummern. Wird eine Mobilfunknummer gekündigt, wandert sie nach einer Karenzzeit zurück in den Pool und wird neu vergeben. Wer bei alten Diensten noch eine längst aufgegebene Nummer als Wiederherstellungsoption hinterlegt hat, kann seine Konten faktisch an einen wildfremden Menschen verschenken. Prüfen Sie deshalb bei jedem Nummernwechsel Ihre wichtigen Konten aktiv durch.
Steht Ihr Steckbrief schon im Umlauf?
Bevor jemand Ihre Nummer kapert, sammelt er Ihre Daten. Prüfen Sie kostenlos, ob Ihre E-Mail-Adresse bereits in bekannten Leak-Sammlungen auftaucht, und sehen Sie, womit ein Angreifer arbeiten könnte.
Kostenlos E-Mail prüfenDer Notfallplan: Die ersten 60 Minuten
Wenn die Nummer weg ist, zählt Geschwindigkeit mehr als Gründlichkeit. Angreifer arbeiten nach einem festen Muster ab, und jede Minute, die Sie ihnen nehmen, verkleinert den Schaden. Handeln Sie in dieser Reihenfolge und nutzen Sie dafür ein zweites, fremdes Telefon oder einen Festnetzanschluss.
| Zeitfenster | Ihre Aktion | Warum genau jetzt |
|---|---|---|
| Minute 0 bis 5 | Karte sperren über 116 116 oder direkt beim Anbieter | Beendet den SMS-Empfang des Angreifers, solange er noch Codes anfordert. |
| Minute 5 bis 20 | E-Mail-Passwort ändern, alle Sitzungen beenden, SMS-Recovery entfernen | Das Postfach ist die Schaltzentrale für alle weiteren Übernahmen. |
| Minute 20 bis 40 | Bank und Bezahldienste informieren, Konten sperren lassen | Verhindert Überweisungen und die Freigabe neuer Zahlungsempfänger. |
| Minute 40 bis 60 | Anzeige erstatten, Vorgang schriftlich dokumentieren | Das Aktenzeichen ist die Grundlage für Haftungsfragen und Rückbuchungen. |
| Tag 1 bis 3 | Auskunft nach Art. 15 DSGVO beim Anbieter verlangen | Klärt, wer den Tausch wann, über welchen Kanal und mit welchen Daten veranlasst hat. |
Der letzte Punkt ist der, den Betroffene am häufigsten auslassen, und der juristisch am meisten wiegt. Ein Auskunftsersuchen nach Art. 15 DSGVO zwingt den Anbieter, den Vorgang offenzulegen. Zeigt sich dabei, dass die Freigabe ohne belastbare Identitätsprüfung erfolgte, verändert das die Ausgangslage bei der Haftungsfrage erheblich. Formulierungshilfen dafür finden Sie in unserem Musterbrief-Ratgeber zu DSGVO-Anfragen.
Identitätsschutz bei SIM-Swapping: Welchen Vorteil bietet Datenputzer?
Ein Kundenkennwort und eine Authenticator-App schützen den Zugang. Sie ändern aber nichts daran, dass Ihr persönlicher Steckbrief, also die Kombination aus Name, Anschrift, Alter und Kontaktdaten, weiterhin in kommerziellen Datenbanken gepflegt wird und dort für Dritte erreichbar bleibt. Solange dieser Steckbrief existiert, bleibt der Angriff planbar. Deshalb setzen wir eine Ebene früher an, nämlich am Rohstoff.
Datenputzer versendet gebündelt Löschanfragen nach Art. 17 DSGVO an über 100 Werbe-, Adress- und Adtech-Broker und fordert die Löschung jener Datensätze, für deren Verarbeitung keine fortbestehende Rechtsgrundlage besteht. Parallel behält das Darknet-Radar Ihre Kennungen im Blick und meldet, sobald Ihre Daten in neuen Leak-Sammlungen auftauchen. Denn ein frisch geleakter Datensatz ist genau der Auslöser, nach dem Social Engineers suchen. Wer früh weiß, dass sein Profil im Umlauf ist, kann das Kundenkennwort wechseln, bevor jemand es benutzt. Warum die DSGVO Verbraucher im DACH-Raum dabei in eine deutlich bessere Position bringt als anderswo, lesen Sie in unserer Analyse zum EU-Vorteil bei der Datenbroker-Löschung.
Wichtig zur Einordnung: Wir löschen Marketing- und Trackingdaten, keine Bonitäts- oder Auskunfteieinträge. Der Zweck ist nicht Ihre Kreditwürdigkeit, sondern Ihre Auffindbarkeit. Weniger auffindbare Personendaten bedeuten schlechtere Erfolgsaussichten für jeden, der sich am Telefon als Sie ausgeben will.
Häufige Fragen zu SIM-Swapping
Woran erkenne ich, dass meine Nummer gekapert wurde?
Ist eine Authenticator-App wirklich sicherer als SMS?
Ist die eSIM unsicherer als die klassische SIM-Karte?
Was hat mein Adressdatensatz mit SIM-Swapping zu tun?
Wer haftet für den Schaden nach einem SIM-Swap?
Machen Sie sich unsichtbar.
Kein Angreifer kann sich als Sie ausgeben, wenn er nicht weiß, wer Sie sind, wo Sie wohnen und wann Sie geboren wurden. Lassen Sie Ihre Personendaten bei den Werbe- und Adressbrokern löschen und nehmen Sie dem Social Engineering das Drehbuch aus der Hand.
SSL-verschlüsselt, DSGVO-konform & jederzeit kündbar