SMS- und SIM-Sicherheit: So funktionieren SIM-Swap-Angriffe

Cybersicherheit25. März 2026·8 Minuten Lesezeit

Im Januar 2024 wurde das offizielle X-Konto (Twitter) der SEC gekapert. Ein gefälschter Beitrag über die Zulassung von Bitcoin-ETFs bewegte die Märkte um Milliarden von Dollar. Der Angriffsvektor? Ein SIM-Tausch – der Angreifer überzeugte einen Mobilfunkanbieter, die Telefonnummer der SEC auf seine SIM-Karte zu übertragen, und setzte diese dann zum Zurücksetzen des Kontopassworts ein.

Ihre Telefonnummer ist nicht nur eine Möglichkeit, Sie zu erreichen. Es ist ein Skelettschlüssel für Ihre E-Mails, Bankkonten, Krypto-Wallets und sozialen Medien. Und es ist erschreckend einfach zu stehlen.

Wie SIM-Swap-Angriffe funktionieren

Ein SIM-Swap-Angriff ist eine Form des Identitätsdiebstahls, bei dem ein Angreifer Ihre Telefonnummer übernimmt. Hier ist der Prozess:

Schritt 1: Persönliche Informationen sammeln

Der Angreifer sammelt Ihre persönlichen Daten – Name, Adresse, Geburtsdatum, die letzten vier Ziffern Ihrer Sozialversicherungsnummer – über Datenschutzverletzungen, soziale Medien oder Datenbroker-Websites. Diese Informationen reichen oft aus, um Sicherheitsfragen des Netzbetreibers zu beantworten.

Schritt 2: Kontaktieren Sie den Spediteur

Der Angreifer ruft Ihren Mobilfunkanbieter an (oder besucht ein Geschäft) und gibt sich als Sie aus. Sie behaupten, dass sie ihr Telefon verloren haben oder eine neue SIM-Karte benötigen. Anhand der gesammelten persönlichen Daten bestehen sie eine Identitätsprüfung.

Schritt 3: Nummer übernehmen

Der Mobilfunkanbieter überträgt Ihre Nummer auf die SIM-Karte des Angreifers. Sie verlieren sofort den Service. Der Angreifer erhält jetzt alle Ihre Anrufe und Textnachrichten – einschließlich SMS-Bestätigungscodes.

Von hier aus setzt der Angreifer mithilfe der SMS-basierten Passwortwiederherstellung die Passwörter für Ihre E-Mail-, Bank- und Kryptokonten zurück. Der gesamte Vorgang dauert unter 30 Minuten.

SMS-Abfangmethoden

SIM-Austausch ist nicht die einzige Möglichkeit, SMS zu kompromittieren. Angreifer verfügen über mehrere Tools:

SS7-Protokollausnutzung

SS7 (Signaling System 7) ist das Protokoll, das Telefonnetze weltweit verbindet. Es wurde 1975 mit null Sicherheit entworfen. Angreifer, die sich Zugang zum SS7-Netzwerk verschaffen (oft durch korrupte Telekommunikationsmitarbeiter oder durch den Kauf von Zugang), können:

SMS-Nachrichten in Echtzeit abfangen
Telefonstandorte weltweit verfolgen
Anrufe an andere Nummern umleiten

Im Jahr 2017 nutzten Kriminelle SS7-Angriffe, um deutsche Bankkonten zu belasten, indem sie SMS-2FA-Codes abfingen. Das ist nicht theoretisch – es geschieht in großem Maßstab.

Malware auf Ihrem Telefon

Mobile Malware kann eingehende SMS-Nachrichten direkt von Ihrem Telefon lesen. Einige Varianten:

SMS-Berechtigungen während der Installation anfordern
Überlagerung gefälschter Bildschirme in Banking-Apps
Nachrichten stillschweigend an den Angreifer weiterleiten

Gefälschte Basisstationen (IMSI-Catcher)

Geräte wie Stingrays geben sich als Mobilfunkmasten aus und zwingen in der Nähe befindliche Telefone dazu, eine Verbindung herzustellen. Sobald die Verbindung hergestellt ist, kann der Angreifer Anrufe und SMS-Nachrichten abfangen. Diese Geräte kosten nur 1.000 US-Dollar und können mit Open-Source-Software erstellt werden.

Warum SMS 2FA nicht sicher genug ist

Viele Dienste verwenden immer noch standardmäßig SMS für die Zwei-Faktor-Authentifizierung. Darum ist das gefährlich:

SMS ist nicht verschlüsselt – Nachrichten werden im Klartext über das Trägernetzwerk übertragen
SIM-Tausch ist einfach – Netzbetreiber wurden wegen Fahrlässigkeit bei Tauschangriffen verklagt
SS7 ist defekt – und kann nicht repariert werden, ohne die gesamte globale Telefoninfrastruktur zu ersetzen
Wiederherstellungscodes gehen an SMS – selbst wenn Sie eine Authentifizierungs-App verwenden, fällt die Kontowiederherstellung oft auf SMS

NIST (das U.S. National Institute of Standards and Technology) rät seit 2016 von der SMS-basierten Authentifizierung ab. Dennoch bieten die meisten Banken immer noch nur SMS an.

Die Alternative? Authenticator-Apps (Google Authenticator, Authy) oder Hardware-Sicherheitsschlüssel (YubiKey). Lesen Sie unseren vollständigen 2FA-Leitfaden für Einrichtungsanweisungen.

Reale SIM-Swap-Hüllen

SEC Twitter-Hack (2024)

Das X-Konto der U.S. Securities and Exchange Commission wurde per SIM-Tausch gekapert. Ein gefälschter Bitcoin-ETF-Genehmigungsbeitrag wurde veröffentlicht, was zu massiver Marktvolatilität führte.

Kryptodiebstahl im Wert von 400 Millionen US-Dollar (2023)

Ein koordinierter SIM-Swap-Angriff zielte auf Krypto-Investoren ab und leerte durch SMS 2FA geschützte Wallets. Das FBI verhaftete den Ring, aber die meisten Gelder wurden nicht zurückgefordert.

Jack Dorseys Twitter (2019)

Der Account des CEO von Twitter wurde durch einen SIM-Tausch gekapert. Wenn der CEO eines Technologieunternehmens nicht sicher ist, ist es niemand.

So schützen Sie sich

1. Legen Sie eine PIN für Ihr Mobilfunkanbieterkonto fest

Rufen Sie Ihren Mobilfunkanbieter an und legen Sie eine PIN oder einen Passcode fest, der bei allen Kontoänderungen angegeben werden muss. Dies ist der wichtigste Schritt:

T-Mobile: Konto-PIN in den Einstellungen
AT&T: Zusätzlicher Sicherheitspasscode
Verizon: Konto-PIN
Die meisten Anbieter: Rufen Sie den Kundendienst an, um eine Sicherheits-PIN anzufordern

2. Zu Authentifizierungs-Apps wechseln

Ersetzen Sie SMS 2FA nach Möglichkeit durch eine Authentifizierungs-App. Codes werden auf Ihrem Gerät generiert und niemals über das Netzwerk übertragen.

Empfohlene Apps: Google Authenticator, Authy (mit Cloud-Backup), Microsoft Authenticator. Für maximale Sicherheit verwenden Sie einen YubiKey Hardwareschlüssel.

3. Nummernsperre/Port-Freeze aktivieren

Die meisten Mobilfunkanbieter bieten eine Funktion an, die verhindert, dass Ihre Nummer ohne persönliche Überprüfung mit einem amtlichen Ausweis mitgenommen wird. Jetzt aktivieren.

4. Verwenden Sie eine separate Nummer für Finanzkonten

Erwägen Sie die Verwendung einer Google Voice-Nummer oder einer sekundären Prepaid-SIM-Karte ausschließlich für Bank- und Finanzdienstleistungen. Geben Sie diese Nummer nicht öffentlich weiter.

5. Entfernen Sie Ihre Nummer aus öffentlichen Profilen

Ihre Telefonnummer in sozialen Medien erleichtert Social Engineering. Entfernen Sie es aus öffentlichen Profilen und deaktivieren Sie Datenbroker-Websites wie Whitepages, Spokeo und BeenVerified.

6. Achten Sie auf Anzeichen eines SIM-Tauschs

Wenn eines dieser Symptome bei Ihnen auftritt, handeln Sie sofort:

Plötzlicher Verlust des Mobilfunksignals
Meldungen „SIM nicht bereitgestellt“ oder „Kein Dienst“
Unerwartete E-Mails des Mobilfunkanbieters zu Kontoänderungen
Kann keine Anrufe tätigen oder SMS senden

Wenn dies passiert: Rufen Sie sofort Ihren Mobilfunkanbieter von einem anderen Telefon aus an. Ändern Sie dann die Passwörter für Ihre E-Mail-Adresse und sichern Sie Ihre Konten.

FAQ

Was ist ein SIM-Swap-Angriff?

Ein SIM-Swap-Angriff liegt vor, wenn ein Krimineller Ihren Mobilfunkanbieter davon überzeugt, Ihre Telefonnummer auf eine von ihm kontrollierte SIM-Karte zu übertragen. Sobald sie Ihre Nummer haben, erhalten sie Ihre Anrufe, Textnachrichten und SMS-Bestätigungscodes.

Kann jemand mein Telefon per SMS hacken?

Ja. Angreifer können bösartige Links per SMS versenden (Smishing), Schwachstellen im SS7-Protokoll ausnutzen, um Nachrichten abzufangen, oder SIM-Swap-Angriffe nutzen, um Ihre Nachrichten vollständig umzuleiten. Aus diesem Grund wird SMS für die Zwei-Faktor-Authentifizierung nicht empfohlen.

Woher weiß ich, ob meine SIM-Karte ausgetauscht wurde?

Das offensichtlichste Anzeichen ist der plötzliche Verlust des Mobilfunkempfangs – kein Signal, keine Anrufe, keine SMS. Möglicherweise erhalten Sie auch unerwartete Benachrichtigungen von Ihrem Mobilfunkanbieter über Kontoänderungen. Wenden Sie sich in diesem Fall umgehend über ein anderes Telefon an Ihren Mobilfunkanbieter.