USSD-Codes: Zwischen unverzichtbarem Werkzeug und Sicherheitsrisiko

Die einfachen Zahlenkombinationen auf dem Smartphone-Display sind ein Relikt aus der Anfangszeit des Mobilfunks – doch sie erleben ein erstaunliches Comeback. Während Apps und schnelle Datennetze den Alltag bestimmen, bleiben USSD-Codes („Quick Codes") die heimliche Basis für Hardware-Diagnose, Netzmanagement und vor allem Finanzdienstleistungen. Aktuelle Analysen aus dem Frühjahr 2026 zeigen: Die Technologie ist unverzichtbar – aber auch brandgefährlich.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Versteckte Diagnose-Menüs im Smartphone

USSD-Codes stellen eine direkte Verbindung zwischen dem Handy und dem Netz des Anbieters oder der Geräte-Hardware her. Anders als normale Apps arbeiten sie auf der Signalisierungsebene von GSM und neueren Netzen – und funktionieren selbst ohne aktive Datenverbindung. Ein wichtiger Unterschied: Während USSD-Codes eine Netzverbindung benötigen, um Dienste des Anbieters abzufragen, werden sogenannte MMI-Codes (Man-Machine-Interface) direkt vom Gerät verarbeitet und rufen interne Diagnose-Menüs auf.

Die Hersteller nutzen diese Codes seit Jahren für Testzwecke. Bei aktuellen Samsung-Geräten mit One UI 8.5 etwa öffnet die Eingabe von #0## ein verstecktes Hardware-Diagnose-Menü. Damit lassen sich Sensoren, Touchscreen und Kameramodule überprüfen – ein Segen für Techniker und ambitionierte Nutzer.

Doch der trend geht zur Einschränkung. Der einstige Standard-Code ##4636## für Netzsignalstärke und Akkuzustand wurde in vielen aktuellen Software-Versionen deaktiviert oder hinter Sicherheitsschichten versteckt. Der Grund: zu viele versehentliche Systemeingriffe durch Normalnutzer. Stattdessen verweisen Techniker nun auf Alternativen wie *#0011## für Echtzeit-Informationen zu Funkmasten und Signalqualität.

Auch Apple bleibt beim Thema verhalten. Der Code 3001#12345# aktiviert den „Field Test Mode" – ein detailliertes technisches Menü für Netzwerktechniker, das für Durchschnittsnutzer eher ungeeignet ist.

Die dunkle Seite: Wie Betrüger USSD-Codes missbrauchen

Die größte Schwäche der USSD-Technologie: Sie ist weder verschlüsselt noch authentifiziert. Das macht sie zum idealen Einfallstor für Cyberkriminelle. Eine Warnung des indischen Innenministeriums vom Dezember 2025 machte auf eine besonders perfide Betrugsmasche aufmerksam: Unautorisierte Anrufweiterleitung.

Die Täter nutzen Social Engineering, um ihre Opfer zur Eingabe von Codes wie 21 zu bewegen. Die Folge: Alle eingehenden Anrufe werden auf eine vom Angreifer kontrollierte Nummer umgeleitet. So können Kriminelle Zwei-Faktor-Authentifizierungs-Anrufe (2FA) und Sicherheitswarnungen von Banken abfangen – und Konten übernehmen, ohne dass Schadsoftware nötig ist.

Ein weiteres Problem: USSD-Codes arbeiten unterhalb der normalen Anwendungssicherheit. Sie lassen sich in bösartige Weblinks, QR-Codes oder NFC-Tags einbetten. Auf älteren Geräten können sie sogar automatisch ausgeführt werden. Für Unternehmen bedeutet das ein ernstes Risiko: Stille SIM-Karten-Deaktivierung oder das Auslesen von Gerätekennungen sind möglich.

Hacker nutzen Sicherheitslücken unterhalb der App-Ebene gezielt aus, um private Daten und Konten auszuspähen. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit 5 einfachen Schritten gegen solche Angriffe absichern. Gratis-Sicherheits-Ratgeber jetzt herunterladen

Auch das veraltete SS7-Signalisierungsprotokoll bleibt eine Schwachstelle. Eine Analyse der Telekom-Sicherheit vom Januar 2026 zeigt: Obwohl 4G- und 5G-Netze besseren Schutz bieten, setzen viele Betreiber für die netzübergreifende Kommunikation weiterhin auf alte Signalisierungswege. Angreifer nutzen diese Lücken, um Firewalls zu umgehen und USSD-Protokolle zu manipulieren.

Besonders brisant: Eine Studie vom Februar 2025 zum USSD-Banking in Subsahara-Afrika ergab, dass einige Finanzplattformen internationale Authentifizierungsstandards nicht erfüllten. Teilweise reichte eine einzige PIN für sensible Transaktionen – ein gefundenes Fressen für Betrüger in Regionen, in denen mobiles Bezahlen längst Alltag ist.

Milliarden-Transaktionen per Zahlenkombination

Trotz aller Sicherheitsbedenken: USSD ist das Rückgrat der finanziellen Inklusion weltweit. Der „State of the Industry Report on Mobile Money" der GSMA vom März 2026 zeigt beeindruckende Zahlen: Mehr als zwei Billionen Euro flossen 2025 durch mobile Geldbörsen. Das entspricht einer Verdopplung des Transaktionsvolumens innerhalb von nur vier Jahren.

Der Grund liegt auf der Hand: USSD-Dienste brauchen kein Internet. In vielen Schwellenländern sind sie die einzige Brücke zu Finanzdienstleistungen für Menschen ohne zuverlässigen Datenzugang. Ein Bericht aus dem Juli 2025 zum nigerianischen Finanzsektor belegt den Erfolg: Der Anteil der Bevölkerung mit Zugang zu Finanzdienstleistungen stieg von 56 auf 64 Prozent – maßgeblich getrieben durch Mobile Money und USSD-Plattformen. Allein in der ersten Jahreshälfte 2024 wurden in Nigeria USSD-Transaktionen im Wert von umgerechnet rund 2,6 Milliarden Euro abgewickelt – bei über 252 Millionen einzelnen Transaktionen.

Die GSMA zählte Ende 2025 weltweit 2,3 Milliarden registrierte Mobile-Money-Konten. Aus einfachen Überweisungen ist ein komplexes Ökosystem geworden: Mikroversicherungen, staatliche Zahlungen und tägliche Lohnauszahlungen laufen über die mobilen Plattformen. Diese „Mobile-First"-Infrastruktur gilt zunehmend als Fundament der digitalen Grundversorgung in Regionen ohne traditionelles Bankennetz.

Die Zukunft: Sicherheit statt Abschaltung

Die Strategie für USSD im Jahr 2026 lautet nicht Abschaffung, sondern Absicherung. Entwickler verknüpfen die alten Codes zunehmend mit externen APIs, um datenreichere und interaktivere Erlebnisse zu schaffen – und gleichzeitig Sicherheitslücken zu schließen. Sitzungs-Timeouts, maskierte sensible Informationen und SIM-Swap-Erkennung gehören inzwischen zum Standardrepertoire der Dienstanbieter.

Die Bedrohung durch KI-gestützte Social Engineering-Angriffe hat die Branche aufgeschreckt. Untersuchungen aus dem Spätherbst 2025 zeigen: Angriffe, die USSD-Codes für Kontoübernahmen nutzen, waren mit generativer KI deutlich erfolgreicher. Samsung reagierte mit einer neuen Funktion in One UI: „Suspected Voice Phishing Call Alerts" warnen Nutzer vor betrügerischen Anrufen, bevor sie schädliche Codes eingeben.

Parallel dazu zeichnet sich ein grundlegender Wandel ab: weg von SMS-basierten 2FA- und USSD-PINs, hin zu passwortlosen Authentifizierungsverfahren. Branchenberichte vom November 2025 zeigen, dass Organisationen vermehrt auf identitätsbasierte Lösungen setzen, die eine Kombination aus Gerät, SIM-Karte und Netzwerkdaten prüfen. Ziel ist es, menschliche Fehler zu minimieren und die „riskanten Berührungspunkte" zu eliminieren, die Angreifer durch die veralteten Protokolle ausnutzen.

Der Spagat zwischen finanzieller Teilhabe und Sicherheit wird die Branche noch lange beschäftigen. Während 5G und künftige 6G-Netze auf verschlüsselte IP-basierte Kommunikation setzen, wird USSD als notwendige Backup-Technologie erhalten bleiben. Experten erwarten, dass der Fokus für den Rest des Jahres 2026 auf der Harmonisierung internationaler Sicherheitsstandards und der Implementierung von Zero-Trust-Architekturen liegen wird – zum Schutz der Milliarden Nutzer, die täglich auf diese einfachen Textbefehle angewiesen sind.

de | wissenschaft | 69400228 |