SIM-Swapping: Fälle explodieren um 1.000 Prozent

Berichte über die Festnahme eines mutmaßlichen Cyberkriminellen in Dubai rücken eine bedrohliche Betrugsmasche in den Fokus: SIM-Swapping. Während Ermittler gegen die Drahtzieher vorgehen, zeigen neue Zahlen aus Großbritannien einen dramatischen Anstieg der Fälle um über 1.000 Prozent. Was einst gezielte Angriffe auf Krypto-Investoren waren, entwickelt sich zur Massenbedrohung für die digitale Identität – und die Telefonnummer als Sicherheitsanker hat ausgedient.

Den Behörden gelang am Wochenende offenbar ein bedeutender Schlag gegen die organisierte Cyberkriminalität. Im Zentrum steht der Brite Danish Zulfiqar, in der Szene als „Meech” oder „Danny” bekannt. Laut Berichten von Fachmedien und dem Blockchain-Analysten ZachXBT wurde Zulfiqar in Dubai festgenommen.

Die Vorwürfe wiegen schwer: US-Behörden bringen ihn mit dem spektakulären Hack auf Gläubiger der Krypto-Firma Genesis in Verbindung, bei dem über 243 Millionen Dollar erbeutet wurden. Die Beweislage scheint erdrückend. Blockchain-Daten zeigen, dass Kryptowährungen im Wert von rund 18,6 Millionen Dollar aus Zulfiqar zugeordneten Wallets in einer einzigen Adresse konsolidiert wurden – ein typisches Muster für behördliche Beschlagnahmungen.

Passend zum Thema SIM‑Swapping: Wenn Angreifer Ihre Telefonnummer übernehmen, sind SMS‑Codes, WhatsApp und Online‑Banking sofort in Gefahr. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen für Android‑Smartphones – mit leicht umsetzbaren Schritt‑für‑Schritt‑Anleitungen für sichere Einstellungen, Authenticator‑Apps, App‑Rechte und Backup‑Strategien. Zusätzlich erhalten Sie eine Checkliste, was bei plötzlichem Netzverlust sofort zu tun ist, damit Kriminelle keinen Zugriff auf Ihre Konten bekommen. Gratis-Sicherheitspaket für Android anfordern

Das US-Justizministerium führt Zulfiqar in seiner Anklageschrift als Schlüsselfigur eines „Social Engineering Enterprise”. Die Gruppe soll gezielt Mitarbeiter von Mobilfunkanbietern und Support-Diensten manipuliert haben, um Zugriff auf Nummern und Konten ihrer Opfer zu erhalten. Eine offizielle Bestätigung der Polizei in Dubai steht noch aus.

Großbritannien meldet 1.055 Prozent mehr Fälle

Die Zahlen sind alarmierend. Die britische Betrugspräventionsbehörde Cifas registrierte 2024 fast 3.000 unauthorisierte SIM-Swaps – ein Anstieg um 1.055 Prozent im Jahresvergleich. Waren es im Vorjahr noch wenige hundert Fälle, sprechen Experten inzwischen von einer industrialisierten Vorgehensweise.

„Die Täter haben ihre Methoden automatisiert”, warnen Sicherheitsanalysten. Statt einzelne Mitarbeiter im Handyshop zu bestechen, nutzen Kriminelle zunehmend Phishing-Kampagnen und Insider-Zugänge, um Nummern massenhaft zu portieren. Die Dunkelziffer dürfte deutlich höher liegen.

Sobald die Täter die Kontrolle über die SIM-Karte haben, können sie SMS-basierte Zwei-Faktor-Authentifizierungen aushebeln. Damit öffnen sich alle Türen:

• E-Mail-Konten und Social-Media-Profile
• Online-Banking und Payment-Apps
• Krypto-Wallets und Handelsplattformen

Von Social Engineering zum totalen Kontrollverlust

Der Genesis-Hack zeigt die Perfidie der Angreifer. Laut Gerichtsdokumenten verließen sie sich nicht auf komplexe Software-Exploits, sondern auf aggressive Manipulation. Sie gaben sich als Support-Mitarbeiter von Google oder Gemini aus und überzeugten Opfer telefonisch, 2FA-Einstellungen zurückzusetzen oder Bildschirminhalte zu teilen.

Diese Taktik ist der Vorläufer für den eigentlichen SIM-Swap. Haben die Täter genug persönliche Daten gesammelt, kontaktieren sie den Mobilfunkanbieter. Sie geben vor, ihre SIM-Karte verloren zu haben, und lassen die Nummer auf eine neue Karte übertragen.

Das Opfer bemerkt den Angriff meist zu spät: Das eigene Handy verliert plötzlich den Netzempfang und zeigt „Nur Notrufe” an. Währenddessen empfangen die Täter auf einem anderen Gerät SMS-Codes für Banküberweisungen.

Indien prescht vor, Europa zögert

Die explosive Zunahme ruft Regulierer weltweit auf den Plan. Besonders aggressiv geht Indien vor. Das Department of Telecommunications führt mit den „Telecommunication Cyber Security Rules 2025″ drastische Maßnahmen ein. Eine zentrale Neuerung: SIM-Binding.

Banking- und Messaging-Apps wie WhatsApp dürfen nur noch funktionieren, wenn die physische SIM-Karte im Gerät steckt und die Nummer verifiziert ist. Wird die SIM entfernt oder übertragen, blockiert die App den Dienst bis zur erneuten Authentifizierung.

In Europa setzt man hingegen auf Aufklärung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor SMS als zweitem Faktor und empfiehlt Authenticator-Apps oder Hardware-Token. Dennoch nutzen laut „Cybersicherheitsmonitor 2025″ nur noch 34 Prozent der Bürger überhaupt eine Zwei-Faktor-Authentifizierung – Tendenz sinkend.

Das Ende der Telefonnummer als Passwort

Die Telefonnummer als Sicherheitsanker im digitalen Raum hat ausgedient. Solange Mobilfunkanbieter die Portierung von Nummern als Service anbieten müssen, bleibt eine menschliche Schwachstelle im System.

Sicherheitsexperten prognostizieren, dass 2026 das Jahr der Passkeys werden könnte. Diese kryptografischen Schlüssel werden lokal auf dem Gerät gespeichert und per Biometrie freigegeben – sie sind immun gegen SIM-Swapping. Bis sich diese Technologie durchsetzt, bleibt nur Wachsamkeit: Wer plötzlich keinen Empfang mehr hat, sollte nicht auf eine Netzstörung hoffen, sondern sofort seinen Mobilfunkanbieter kontaktieren und alle Konten sichern.

PS: Viele Nutzer unterschätzen, wie viel Sicherheit einfache Änderungen bringen. Der Gratis‑Ratgeber erklärt, wie Sie Push‑Authentifizierung, lokale Passkeys, App‑Beschränkungen und sichere Kontowiederherstellung einrichten, damit Ihre Telefonnummer nicht zur einzigen Schutzschicht wird. Ideal für WhatsApp‑, Banking‑ und PayPal‑Nutzer: Schritt‑für‑Schritt‑Anleitungen, konkrete Warnsignale bei laufenden SIM‑Angriffen und eine praktische Checkliste, die Angriffe per SIM‑Swap deutlich erschwert. Download und Checkliste sind kostenlos per E‑Mail verfügbar. Jetzt Android‑Sicherheitsratgeber herunterladen