Da praktisch jeder mittlerweile ein Handy oder Smartphone besitzt und ständig mit sich führt, werden mobile Endgeräte verstärkt zur Überprüfung der persönlichen Identität verwendet, insbesondere durch Online-Dienste. Dazu wird ein Einmal-Passcode via SMS oder Voicemail an das Handy des Nutzers durchgegeben. Dieser muss den Code dann zur Authentifizierung auf einer Website oder App eingeben, eventuell als Bestandteil einer Multi-Faktor-Authentifizierung (MFA) oder zur Wiederherstellung eines Accounts.
Foto: Prostock-studio - shutterstock.com
Dabei handelt es sich um eine benutzerfreundliche und vermeintlich sichere Methode. Doch die Tatsache, dass die meisten Nutzer ihre Mobilfunknummern mit Bank-, E-Mail- und Social-Media-Konten verknüpft haben, lockt auch Angreifer auf den Plan. Verschaffen sie sich via SIM-Swapping Zugang zu einer fremden Handy-Nummer, können sie diese für eine Reihe krimineller Zwecke nutzen. So bekommt ein Angreifer alle SMS und Anrufe weitergeleitet oder kann selbst simsen oder - beispielsweise kostenpflichtige Dienste im Ausland - anrufen.
Außerdem ist er in der Lage, (fast) die gesamte Online-Präsenz an sich reißen, indem er Accounts hackt, bei denen eine Mobilfunk-basierte Authentifizierung (z.B. Twitter) oder Wiederherstellung des Passworts möglich ist - dazu gehören beispielsweise auch Gmail, Facebook oder Instagram. Prominente Opfer waren unter anderem Twitter-Mitbegründer und Ex-CEO Jack Dorsey oder Schauspielerin Jessica Alba: Ihre Twitter-Accounts wurden via SIM-Swapping gehackt, um im Anschluss anstößige Posts auf der Plattform zu versenden.
Teuer wird es, wenn das Opfer das immer noch (zu) häufig genutzte mTAN- oder smsTAN-Verfahren zur Freigabe von Online-Überweisungen verwendet, also die Bank die Transaktionsnummer per SMS an den Kunden schickt. Verfügt der Hacker zusätzlich über die Zugangsdaten für das Online-Banking, kann er bequem von zuhause aus das Konto seines Opfers leerräumen. Dass diese Methode nicht nur über dem großen Teich, sondern auch hierzulande genutzt wird, dokumentiert eine Meldung der Zentralstelle Cybercrime Bayern. Diese nahm Mitte 2019 ein Verbrecher-Trio fest, das mittels SIM-Swapping Zugriff auf mindestens 27 fremde Bankkonten erlangte und Überweisungen vornahm.
Wie SIM-Swapping funktioniert
Die bevorzugte Methode zum Kapern einer Mobilfunknummer ist SIM-Swapping, SIM-Swap oder SIM-Hijacking. SIM-Swapping erfolgt in der Regel über das Kundenportal oder die Kunden-Hotline des Mobilfunk-Providers. Dort gibt sich der Hacker als sein Opfer aus und beantragt eine neue SIM, beispielsweise, weil sein Handy mitsamt der SIM-Karte verlorengegangen ist oder wegen des Formats nicht mehr bei dem neuen Smartphone passt. Oder aber er kündigt den Vertrag und beantragt eine Rufnummernmitnahme/Rufnummerportierung zum neuen Provider.
In beiden Fällen genügt natürlich nicht nur die Angabe der Mobilfunknummer; der Hacker muss zusätzliche persönliche Informationen des Opfers bereitstellen, wie Geburtsdatum, Adresse oder Kundenkennwort - Daten, die er sich etwa in sozialen Netzwerken beschafft (Social Engineering), via Phishing-Mails erhalten oder im Darknet gekauft hat. Bei einem Anruf im Servicecenter des Mobilfunkanbieters können mit etwas Überredungsgeschick schon leichter zugängliche Daten ausreichen, damit der Mitarbeiter dem Änderungswunsch trotz mangelnder Legitimation nachzukommt.
Im Anschluss muss sich der Angreifer bei herkömmlichen SIM-Karten noch die physische SIM beschaffen, etwa, indem er den Brief des Mobilfunkanbieters abfängt oder eine andere Adresse angibt. Einfacher geht dies mit einer eSIM, die etwa die vergangenen vier Smartphone-Generationen von Apple und Google unterstützen: Hier wird der eingebaute Chip auf elektronischen Weg mit dem eSIM-Profil beschrieben.
Wurde Ihre Mobilfunknummer gestohlen?
Sind SMS-Versand, Handy-Telefonate und mobile Datenverbindungen auf einmal nicht mehr möglich, kann dies ein Indiz dafür sein, dass die Rufnummer möglicherweise den Besitzer wechselte. Wahrscheinlicher ist allerdings, dass man sich lediglich in einem Funkloch befindet oder einer technischen Störung des Mobilfunknetzes vorliegt.
Eindeutiger ist es, wenn man plötzlich nicht mehr auf verschiedene Dienste zugreifen kann oder ungewöhnliche Vorgänge auf seinem Konto registriert. Da viele Angreifer nachtaktiv sind, merkt man die Probleme häufig erst am nächsten Morgen - dann ist es allerdings in der Regel bereits zu spät.
Wie Sie sich vor SIM-Swapping schützen
Beim Schutz vor SIM-Swapping gelten viele Tipps, die auch bei anderen Betrugsmaschen im Internet helfen:
Nutzen Sie ein aktuelles Betriebssystem mit den neuesten Sicherheits-Updates und - wo es Sinn macht - Antivirensoftware.
Verwenden Sie kein einheitliches Passwort für verschiedene Online-Dienste, sondern jeweils einen individuellen Code, der zudem ausreichend lang und komplex ist.
Aktivieren Sie Zwei-Faktor-Authentifizierung als zusätzliche Komponente sicherer Passwörter.
Überprüfen Sie gelegentlich, ob es ein Datenleck bei einem der von Ihnen genutzten Dienste gab und Ihre Daten in falsche Hände gerieten. Hinweise dazu liefert etwa der Identity Leak Checker vom Hasso-Plattner-Institut oder haveibeenpwned.com.
Vorsicht vor Phishing-Mails: Seriöse Unternehmen, insbesondere Banken, fordern ihre Kunden niemals auf, persönliche Daten über eine Link in einer Mail preiszugeben.
Auch die Mobilfunkbetreiber haben nach dem Aufkommen erster SIM-Swapping-Fälle in Deutschland Vorkehrungen getroffen. So bietet etwa die Telekom seit Sommer 2018 Identifikation per Stimme (Sprach-ID) an, bei Telekom, Vodafone und o2 ist ein spezielles Kundenkennwort bei der Kunden-Hotline verpflichtend. Nutzen Sie diese Möglichkeiten.
Empfehlenswert ist außerdem - soweit möglich - anstelle von SMS oder Anruf - eine andere Methode wie FaceID oder YubiKey - zur Zwei-Faktor-Authentifizierung zu wählen.