SIM-Swapping-Angriffe legen weltweit dramatisch zu

IT-Sicherheitsexperten schlagen Alarm: SIM-Swapping-Angriffe nehmen global massiv zu. Kriminelle kapern Mobilfunknummern, um an Bankkonten und Kryptowährungen zu gelangen. Eine neue, hochprofessionelle Angriffswelle macht das Smartphone zur größten Schwachstelle der digitalen Identität.

Der britische Betrugspräventionsdienst Cifas registrierte einen Anstieg der Fallzahlen um über 1.000 Prozent. Auch deutsche Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen eindringlich vor der Methode. Wie skrupellos die Täter vorgehen, zeigte sich erst kürzlich in Dubai: Betrüger nutzten eine lokale Krisensituation unmittelbar aus, um Daten für ihre Attacken abzugreifen.

Banking, WhatsApp und sensible Daten — auf keinem anderen Gerät speichern wir so viele persönliche Informationen wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit einfachen Schritten wirksam absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So kapern Kriminelle Ihre Handynummer

Der Angriff findet nicht auf Ihrem Gerät, sondern beim Mobilfunkanbieter statt. Beim SIM-Swapping nutzen Kriminelle zuvor gestohlene persönliche Daten. Sie kontaktieren den Kundenservice und geben sich als Anschlussinhaber aus – etwa mit der Behauptung, das Handy sei verloren.

Gelingt der Betrug, wird die Rufnummer auf eine vom Angreifer kontrollierte SIM-Karte übertragen. Ihr Smartphone verliert sofort die Netzverbindung. Der Kriminelle empfängt fortan alle Anrufe und SMS. Das ist fatal, denn viele Dienste setzen noch auf SMS-basierte Zwei-Faktor-Authentifizierung (2FA).

Die Täter setzen Einmalpasswörter ab und knacken so E-Mail-Postfächer, Finanzkonten und Social-Media-Profile. Das Opfer bemerkt davon zunächst nichts.

Perfide Taktiken und aktuelle Warnungen

Die Tätergruppen professionalisieren sich rasant. Sie kombinieren hochentwickeltes Social Engineering mit automatisierten Werkzeugen und KI. Aktuelle Ereignisse werden gezielt ausgenutzt, um an Basisdaten zu kommen.

In Dubai versuchten Kriminelle nur Stunden nach einem Raketenangriff, sich als Polizei-Helfer auszugeben. Ihr Ziel: sensible Identifikationsdaten von verunsicherten Bürgern erbeuten. Die örtliche Polizei musste umgehend warnen.

In Deutschland geraten längst nicht mehr nur Prominente oder Krypto-Investoren ins Visier. Vermehrt treffen es Durchschnittsbürger sowie kleine und mittelständische Unternehmen. Die Angreifer agieren schnell, um maximalen finanziellen Schaden anzurichten, bevor das Opfer reagieren kann.

Wettlauf gegen die Zeit: Folgen für Betroffene

Nach einem erfolgreichen SIM-Swap beginnt ein Wettlauf. Die Angreifer fangen SMS-TANs für Banküberweisungen oder den Zugang zu Krypto-Wallets ab. Konten werden innerhalb weniger Minuten leergeräumt.

Laut FBI beliefen sich die gemeldeten Schäden durch diese Masche allein 2024 auf fast 26 Millionen US-Dollar – die Dunkelziffer ist weit höher. Kryptowährungen lassen sich nach einem Diebstahl meist nicht mehr zurückholen.

Droht neben dem finanziellen Verlust auch Identitätsdiebstahl? Ja. Gekaperte E-Mail- und Social-Media-Konten nutzen Kriminelle, um im Namen des Opfers weitere Betrügereien zu starten oder Kredite aufzunehmen. Die Wiederherstellung der digitalen Identität ist ein langwieriger Albtraum.

Da herkömmliche Sicherheits-Updates oft nicht ausreichen, um komplexe Angriffe abzuwehren, empfiehlt dieser kompakte Leitfaden zusätzliche Schutzebenen. Erfahren Sie in den Checklisten, wie Sie automatische Prüfungen aktivieren und eine häufig unterschätzte Sicherheitslücke schließen. Kostenloses Android-Sicherheitspaket jetzt anfordern

So schützten Sie sich wirksam

Der wichtigste Schritt ist die Abkehr von SMS-basierter Zwei-Faktor-Authentifizierung. Nutzen Sie für sensible Konten stattdessen Authenticator-Apps wie Google Authenticator oder Microsoft Authenticator. Diese generieren Codes lokal auf dem Gerät.

Noch mehr Sicherheit bieten physische Sicherheitsschlüssel (Hardware-Token). Zusätzlich sollten Sie bei Ihrem Mobilfunkanbieter ein spezielles Kundenkennwort oder eine PIN einrichten, die bei jedem Service-Kontakt Pflicht ist. Fragen Sie nach einer Portierungssperre.

Was tun im Ernstfall? Wenn Ihr Smartton plötzlich und unerklärlich die Netzverbindung verliert, handeln Sie sofort. Kontaktieren Sie Ihren Mobilfunkanbieter über einen anderen Anschluss, lassen Sie die SIM-Karte sperren und informieren Sie Banken sowie Kreditkarteninstitute.

Branche unter Druck: Suche nach Lösungen

Die Telekommunikationsbranche muss handeln. Die reine Identitätsprüfung durch Callcenter-Mitarbeiter gilt als unzureichend. Internationale Konzerne arbeiten an technischen Lösungen zur Betrugserkennung.

Ein Beispiel: Der japanische Telekomriese NTT DOCOMO ging kürzlich eine Partnerschaft mit dem API-Aggregator Aduna ein. Ziel sind standardisierte Schnittstellen, die es Banken und App-Entwicklern ermöglichen, in Echtzeit zu prüfen, ob eine Rufnummer kürzlich den Besitzer wechselte.

Solche systemischen Ansätze sind nötig, denn der Faktor Mensch bleibt ein Risiko. Solange die Handynummer als primäres Identifikationsmerkmal dient, ist der Anreiz für Kriminelle hoch. Mobile Finanzgeschäfte und Kryptowährungen machen das Smartphone zum lukrativen Ziel.

Wird SMS-basierte Authentifizierung verschwinden?

Experten erwarten einen Paradigmenwechsel. Finanzinstitute und große Online-Plattformen dürften die Unterstützung für SMS-2FA schrittweise einstellen oder stark einschränken. Stattdessen rücken biometrische Verfahren, hardwarebasierte Passkeys und verhaltensbasierte Risikoanalysen in den Vordergrund.

Bis diese neuen Standards flächendeckend etabliert sind, bleibt SIM-Swapping eine akute Bedrohung. Die Kriminellen werden ihre Methoden weiter verfeinern und auf Automatisierung setzen. Verbraucher stehen in der Pflicht, ihre Sicherheitsvorkehrungen zu überprüfen und auf modernere Authentifizierung umzusteigen.