SIM-Swap-Angriff: Wie Hacker Ihre Telefonnummer kapern
Ihre Telefonnummer ist der Schlüssel zu Ihrem Geld. Ihre Bank, Ihr E-Mail-Anbieter und Ihre Kryptobörse vertrauen ihr, um Ihre Identität zu bestätigen, üblicherweise per SMS mit einem Code. Bei einem SIM-Swap-Angriff wird dieser Schlüssel gestohlen und an einen Fremden weitergegeben, oft in dem Moment, in dem Sie bemerken, dass die Anzeige Ihres Netzes auf „Kein Netz“ gefallen ist. Bis Sie wieder online sind, kann ein Angreifer Ihre Passwörter zurückgesetzt und Ihre Konten leergeräumt haben. Für Kryptobesitzer ist der Schaden noch größer – sobald die Coins ein Wallet verlassen haben, kann sie niemand mehr zurückholen.
Dieser Leitfaden erklärt, was ein SIM-Swap-Angriff ist, wie er Schritt für Schritt funktioniert, warum er zum beliebtesten Werkzeug für den Diebstahl von Kryptowährung geworden ist und welche wenigen Änderungen ihn tatsächlich stoppen.
Was ein SIM-Swap-Angriff ist und warum er funktioniert
Ein SIM-Swap-Angriff ist eine Form des Kontoübernahmebetrugs, die eine Schwachstelle der Zwei-Faktor-Authentifizierung ausnutzt: die SMS . Ihre SIM-Karte (Subscriber Identity Module) ist der kleine Chip, der Ihre Mobilfunknummer mit Ihrem Telefon verknüpft. Bei einem SIM-Swap greift der Angreifer nicht auf Ihr Gerät zu. Stattdessen überzeugt er Ihren Mobilfunkanbieter, Ihre Nummer auf eine neue, ihm gehörende SIM-Karte zu übertragen. Sobald dieser Tausch abgeschlossen ist, erreichen alle Anrufe und SMS, die für Sie bestimmt sind, einschließlich Sicherheitscodes, stattdessen sein Telefon.
Das ist der Punkt, den viele missverstehen. Es handelt sich nicht um einen Telefonhack und auch nicht um einen geknackten Verschlüsselungsalgorithmus. Es ist ein Angriff auf den Kundenservice. Die ausgenutzte Schwachstelle ist der Mensch beim Mobilfunkanbieter und die falsche Annahme, dass die Kontrolle über eine Telefonnummer die Identität beweist. Vereinfacht gesagt: Bei einem SIM-Swap überredet jemand ein Unternehmen, Ihre Nummer preiszugeben, und nutzt diese dann, um sich unberechtigten Zugriff auf alle damit geschützten Dienste zu verschaffen. Sicherheitsforscher stufen SIM-Swap-Betrug aus gutem Grund als Identitätsdiebstahl ein. Der Angreifer ist nicht nur auf Ihr Geld aus; er besitzt für eine gewisse Zeit Ihre gesamte digitale Identität, die über einen einzigen, gewöhnlichen Mobilfunkanschluss läuft, den Sie für Ihren eigenen gehalten haben.
Wie ein SIM-Swap-Angriff funktioniert – Schritt für Schritt
Fast jeder Fall folgt denselben drei Schritten, und keiner davon erfordert fortgeschrittene Hacking-Kenntnisse. Es braucht Geduld und eine überzeugende Geschichte.
Schritt 1: Sammeln Ihrer persönlichen Daten
Zunächst erstellt der Angreifer ein Profil von Ihnen. Er sammelt persönliche Informationen aus alten, im Darknet verkauften Datenlecks, aus Phishing-E-Mails, die Sie zur Preisgabe Ihrer Daten verleiten sollen, und aus Ihren Social-Media-Profilen. Ein Geburtstag hier, der Name eines Haustiers dort, die letzten vier Ziffern einer Visitenkarte aus einer geleakten Datenbank – und schon hat er genug persönliche Details, um sich am Telefon wie Sie zu geben. Je mehr Sie öffentlich gepostet haben, desto günstiger ist dieser Schritt. Die meisten dieser persönlichen Daten sind gar nicht erst gestohlen worden. Sie wurden vor Jahren bei einem längst vergessenen Datenleck geleakt, und der Angreifer setzt die verstreuten Teile lediglich zu einem überzeugenden Ganzen zusammen.
Schritt 2: Sich gegenüber dem Mobilfunkanbieter als Sie ausgeben
Als Nächstes geben sie sich gegenüber Ihrem Mobilfunkanbieter als Sie aus. Manchmal geschieht dies durch einen Anruf mit einer einstudierten Geschichte über ein verlorenes oder kaputtes Handy. Manchmal betreten sie ein Geschäft mit einem gefälschten Ausweis. Im schlimmsten Fall besticht oder rekrutiert der Angreifer einfach einen Mitarbeiter des Anbieters, wodurch die gesamte Verteidigung auf einen einzigen unehrlichen Insider reduziert wird. Dies ist Social Engineering, kein Code, und es funktioniert, weil die Kundendienstmitarbeiter darauf geschult sind, hilfsbereit zu sein und die Warteschlange abzuarbeiten.
Schritt 3: Der Tausch und die Übernahme
Sobald der Mobilfunkanbieter die neue SIM-Karte aktiviert hat – der entscheidende Moment des Angriffs –, ist Ihr Telefon nicht mehr erreichbar. Nun hat der Angreifer die Kontrolle über Ihre Nummer. Er ruft Ihr E-Mail- oder Exchange-Konto auf, klickt auf „Passwort vergessen“ und lässt sich den Reset-Code per SMS zusenden. Diese SMS fängt er ab, setzt das Passwort zurück und erhält so Zugriff. Nachdem er die Kontrolle über Ihr E-Mail-Konto erlangt hat, verschafft er sich Zugriff auf alle damit verbundenen Konten. Die vollständige Kontoübernahme kann innerhalb von Minuten erfolgen – lange bevor die meisten Nutzer bemerken, warum ihr Telefon plötzlich nicht mehr funktioniert.
Warum SIM-Swaps eine Maschine für Kryptodiebstahl sind
Zahlreiche Angriffe können ein Bankkonto leerräumen, doch Banken können betrügerische Überweisungen rückgängig machen. Bei Kryptowährungen ist das anders, und genau deshalb ist ein SIM-Swap in diesem Finanzbereich so verheerend.
SMS-2FA ist der einzige Schwachpunkt.
Die meisten Kryptobörsen ermöglichen es Nutzern weiterhin, ihr Konto mit einem per SMS versendeten Code zu schützen. Das fühlt sich sicher an, bis man erkennt, dass die gesamte Verteidigung auf einer einzigen Annahme beruht: dass nur man selbst die SMS empfängt. Ein SIM-Swap macht diese Annahme zunichte. Ein abgefangener Code setzt das Login zurück, und die SMS-Zwei-Faktor-Authentifizierung, die eigentlich als Sicherheitsnetz gedacht war, wird zur offenen Tür. Der Angreifer benötigt Ihr Passwort nicht, wenn er es über Ihre Nummer zurücksetzen kann. Schlimmer noch: Derselbe Trick hebelt das Passwort selbst aus, da viele Börsen die Wiederherstellung eines vergessenen Passworts per SMS ermöglichen. Der SMS-Code ist keine zusätzliche Sicherheitsmaßnahme; er ist die einzige, und der SIM-Swap hält den Schlüssel dazu. Selbst Institutionen werden Opfer: 2024 wurde das X-Konto der SEC durch einen SIM-Swap gehackt und für die Veröffentlichung einer gefälschten Bitcoin-ETF-Zulassung missbraucht, was den Markt kurzzeitig erschütterte.
Unumkehrbar durch Design
Eine Bank kann eine Überweisung einfrieren und eine Abbuchung rückgängig machen. Eine Blockchain kann das nicht. Sobald ein Angreifer Ihre Coins auf eine von ihm kontrollierte Wallet transferiert hat, ist die Transaktion endgültig – ohne Rückbuchung und ohne Unterstützung. Diese Unwiderruflichkeit ist ein Merkmal von Kryptowährungen – doch sie verwandelt einen SIM-Swap von einem Schreckmoment in einen permanenten Verlust. Deshalb haben es Angreifer gezielt auf bekannte Krypto-Besitzer abgesehen. Die Dollarbeträge verdeutlichen das Ausmaß des Schadens.
| Fall | Jahr | Menge | Wie es geschah |
|---|---|---|---|
| Michael Terpin gegen AT&T | 2018 | 24 Millionen US-Dollar | Rufnummer portiert, Kryptokonten leergeräumt |
| Raubüberfall am Tag der FTX-Insolvenz | 2022 | etwa 400 Millionen Dollar | SIM-Kartentausch während des Zusammenbruchs der Börse |
| Bitcoin-Diebstahl in Washington DC | 2024 | 4.100 BTC, etwa 263 Millionen US-Dollar | Social Engineering und SIM-Karten-Tausch, 9 Verurteilungen |
| Opfer eines Schiedsverfahrens bei T-Mobile | 2020 | 33 Millionen Dollar vergeben | Sicherheitslücke beim Netzbetreiber, wiederholte Austausche |
| SEC X-Kontoübernahme | 2024 | Marktbewegender Fake-Beitrag | SIM-Kartentausch des Agenturkontos |
Wie häufig sind SIM-Swap-Angriffe tatsächlich?
Die ehrliche Antwort ist ein Paradoxon. Rein zahlenmäßig sind diese Angriffe selten, aber pro Opfer sind sie katastrophal, und die offiziellen Zahlen unterschätzen die Kryptoverluste erheblich.
Betrachten wir zunächst die gemeldeten Gesamtzahlen. Das Internet Crime Complaint Center des FBI verzeichnete 2024 982 Anzeigen wegen SIM-Swapping mit einem Schaden von rund 26 Millionen US-Dollar, verglichen mit einem Höchststand von fast 72,6 Millionen US-Dollar im Jahr 2022. Microsoft merkt an, dass SIM-Swapping bei weniger als 0,3 % aller Identitätsangriffe zum Einsatz kommt – ein verschwindend geringer Anteil im Vergleich zu herkömmlichem Phishing. Angesichts dieser Zahlen könnte man vielleicht mit den Schultern zucken.
| Jahr | Gemeldete Verluste durch SIM-Swap (FBI IC3) |
|---|---|
| 2022 | 72,6 Millionen US-Dollar |
| 2023 | 48,8 Millionen US-Dollar |
| 2024 | 26,0 Millionen US-Dollar (982 Beschwerden) |
Schauen wir genauer hin. Im selben Jahr, in dem die offiziellen Verluste durch SIM-Swap-Betrug bei rund 26 Millionen US-Dollar lagen, wurden in einem einzigen Fall in Washington D.C. Bitcoin im Wert von etwa 263 Millionen US-Dollar transferiert, und der FTX-Raub erbeutete rund 400 Millionen US-Dollar. Beide Fälle werden nicht als SIM-Swap-Betrug erfasst, da die Ermittler sie unter den allgemeineren Kategorien Betrug oder Diebstahl einordnen. Die Schlussfolgerung ist nicht, dass der Angriff harmlos ist. Er ist vielmehr ungewöhnlich, gezielt und zielt auf Menschen mit echtem Geld ab, insbesondere auf Kryptowährungen, wo ein einziger Erfolg tausend Fehlschläge aufwiegen kann. Im Durchschnitt kostete jeder gemeldete SIM-Swap-Betrug im Jahr 2024 sein Opfer rund 26.000 US-Dollar – und das sind nur die Fälle, die überhaupt als SIM-Swap-Betrug registriert wurden. Die großen Krypto-Diebstähle, die sich auf zig oder hunderte Millionen US-Dollar belaufen, werden in völlig anderen Statistiken geführt.
Warnzeichen eines SIM-Swap-Angriffs
Sie erhalten üblicherweise eine Warnung, dass ein SIM-Kartenwechsel stattfindet, und die Zeitmessung beginnt mit dem Moment, in dem die SIM-Karte eintrifft. Hier zählen Minuten, nicht Stunden.
Das wichtigste Anzeichen ist ganz einfach: Ihr Handy verliert ohne ersichtlichen Grund den Empfang. Der Akku ist voll, es gibt keine Störung beim Mobilfunkanbieter, alle um Sie herum haben Empfang, nur Ihres nicht. In der Innenstadt ist das kein gewöhnlicher Fehler. Behandeln Sie es als Alarmsignal. Weitere Anzeichen zeigen sich auf allen Geräten, die noch funktionieren. Sie werden von einem Konto ausgesperrt, das Sie gestern noch benutzt haben. Sie erhalten eine SMS zum Zurücksetzen Ihres Passworts, die Sie nie angefordert haben. Ihr Mobilfunkanbieter schickt Ihnen eine E-Mail zur „Bestätigung“ einer neuen SIM-Karte, die Sie nicht bestellt haben. Wenn Sie eines dieser Anzeichen auf Ihren anderen Mobilgeräten bemerken, gehen Sie davon aus, dass jemand gerade versucht, die Kontrolle über Ihre Mobilfunknummer zu übernehmen. Handeln Sie schnell, denn der Angreifer ist bereits aktiv.
Wie Sie SIM-Swapping verhindern und sich schützen können
Man kann einen entschlossenen Kriminellen nicht daran hindern, ein Callcenter per Social Engineering zu manipulieren, aber man kann die eigene Telefonnummer für ihn wertlos machen. Eine einzige Änderung ist weitaus wichtiger als alle anderen.
Geld sparen mit SMS
Ein Schritt ist wichtiger als alle anderen: Verwenden Sie keine SMS mehr als zweiten Faktor für sensible Daten. Melden Sie sich stattdessen bei Börsen, Banken und E-Mail-Konten über eine Authentifizierungs- App oder, noch besser, über einen Hardware-Sicherheitsschlüssel an, den ein Angreifer persönlich stehlen müsste. Das ist keine Randerscheinung mehr. Ende 2024 rieten FBI und CISA der Öffentlichkeit dringend davon ab, SMS-Codes zu verwenden, und die neuesten Richtlinien des NIST zur Identitätsprüfung auf Bundesebene stufen SMS nicht mehr als ausreichend für sensible Konten ein. Wenn ein Dienst nur SMS anbietet, investieren Sie Ihr Geld lieber in einen Anbieter, der eine App oder einen Schlüssel unterstützt. Der Grund dafür ist einfach: Ein Authentifizierungscode ist nur auf Ihrem Gerät gespeichert. Ein Hardware-Schlüssel lässt sich weder kopieren noch telefonisch erpressen. Beides geht verloren, wenn Ihre Nummer gestohlen wird. Der Tausch führt also letztendlich zu einer Nummer, die nichts mehr freischaltet.
Sichern Sie den Mobilfunkanbieter und Ihre Fußabdrücke.
Schützen Sie Ihre Nummer zusätzlich. Fügen Sie eine SIM-PIN oder eine Nummernsperrung bei Ihrem Mobilfunkanbieter hinzu, damit ein Tausch ohne diese nicht möglich ist. Viele Anbieter bieten dies mittlerweile kostenlos an, beispielsweise den SIM-Schutz von Verizon, der Änderungen blockiert, bis Sie ihn deaktivieren. Verwenden Sie ein starkes, einzigartiges Passwort und einen Passwort-Manager, damit ein einzelner Datenverlust nicht alles freigibt. Und prahlen Sie nicht mit Ihren Kryptowährungen, denn öffentliches Prahlen ist genau das, was Angreifer anlockt. Unauffällige Wallets werden deutlich seltener gehackt als solche, die ihre Kryptowährungen öffentlich zur Schau stellen.
Was tun bei einem SIM-Karten-Tausch?
Wie schwerwiegend ein SIM-Swap-Betrug wird, hängt von der Geschwindigkeit ab. Handeln Sie daher in der richtigen Reihenfolge. Rufen Sie zunächst von einem anderen Telefon aus Ihren Mobilfunkanbieter an, um die SIM-Karten-Übernahme zu melden und Ihre Nummer zurückzuerhalten. Setzen Sie anschließend von einem noch vertrauenswürdigen Gerät aus die Passwörter für Ihre E-Mail- und Kryptobörsenkonten zurück und deaktivieren Sie die Zwei-Faktor-Authentifizierung per SMS für alle Konten. Falls Sie Kryptowährungen besitzen, frieren Sie Auszahlungen bei Ihrer Kryptobörse ein und transferieren Sie Ihre Guthaben, sofern dies noch möglich ist. Dokumentieren Sie anschließend alles und erstatten Sie Anzeige beim Internet Crime Complaint Center (IC3) des FBI und der Federal Trade Commission (FTC). All dies kann einen bereits erfolgten Diebstahl nicht ungeschehen machen, aber es kann einen laufenden Angriff stoppen und die Kontoübernahme verhindern, bevor sie sich ausbreitet.
Ein SIM-Swap-Angriff zielt auf das schwächste Glied ab
Ein SIM-Swap-Angriff überwindet Ihre Sicherheitsvorkehrungen nicht; er umgeht sie lediglich über einen Mobilfunkanbieter, der nie für den Schutz Ihrer Ersparnisse ausgelegt war. Ihre Telefonnummer war nie als Ausweisdokument gedacht, dennoch ist sie mit allem verknüpft, was uns wichtig ist. Bei allem, was mit Geld zu tun hat, gilt die einfachste Regel: Betrachten Sie die Zwei-Faktor-Authentifizierung per SMS als bereits unsicher und wechseln Sie noch heute zu einer App oder einem Hardware-Schlüssel, anstatt erst dann, wenn Sie eines Tages unerwartet keinen Empfang mehr haben. Die Umstellung ist unkompliziert, gründlich und dauert nur etwa zehn Minuten. Die entscheidende Frage lautet also: Wenn Ihr Telefon jetzt ausfällt, wie viel Geld könnte ein Fremder erbeuten, bevor Sie es wiederbekommen?
