SIM-Swapping: Wie der Betrug läuft und wie du dich schützt
Bei SIM-Swapping geht es nicht um dein Handy, sondern um deine Rufnummer. Betrüger geben sich gegenüber deinem Mobilfunkanbieter als du aus und lassen deine Nummer auf eine neue SIM-Karte oder eine eSIM übertragen. Ab dem Moment klingelt dein Telefon nicht mehr, und ihres empfängt deine Anrufe und SMS. Das klingt harmlos, ist es aber nicht: Viele Konten schicken ihre Bestätigungscodes per SMS. Wer deine SMS bekommt, kann damit Passwörter zurücksetzen und sich anmelden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt ausdrücklich vor dieser Masche. Die gute Nachricht: Mit ein paar gezielten Einstellungen machst du dich zu einem sehr unbequemen Ziel.
Das Wichtigste in Kürze
- SIM-Swapping kapert deine Nummer, nicht dein Gerät. Die Täter lassen deine Rufnummer auf eine eigene SIM oder eSIM umziehen und fangen dann deine Anrufe und SMS ab.
- Das eigentliche Ziel sind deine Konten. Über abgefangene SMS-Codes setzen sie Passwörter zurück und übernehmen E-Mail, Online-Banking oder soziale Netzwerke.
- Der wichtigste Schutz: Weg von SMS-Codes, hin zu einer Authenticator-App oder einem Passkey. Das empfiehlt das BSI ausdrücklich.
- Setz ein Kundenkennwort beim Mobilfunkanbieter. Damit lässt sich eine neue SIM nicht mehr allein mit Name und Geburtsdatum bestellen.
- Plötzlicher Netzverlust ohne Grund ist ein Alarmzeichen. Handle sofort, nicht erst am nächsten Tag.
- Aktivier SIM-PIN und Sperrbildschirm. Beides ist Basisschutz, den das BSI für jedes Mobilgerät empfiehlt.
Wie der Betrug abläuft
SIM-Swapping ist kein technischer Hack am Funknetz, sondern Täuschung. Der Ablauf folgt fast immer demselben Muster.
Zuerst sammeln die Täter Daten über dich. Dazu gehören dein Name, deine Handynummer und oft weitere Angaben wie Adresse, Geburtsdatum oder Zugangsdaten zum Kundenportal deines Anbieters. Diese Informationen stammen aus Datenlecks, aus Phishing-Mails oder schlicht aus dem, was du öffentlich preisgibst.
Mit diesen Daten wenden sie sich an deinen Anbieter, geben sich als du aus und melden zum Beispiel eine verlorene oder defekte SIM. Sie bitten um eine Ersatzkarte oder die Aktivierung einer eSIM. Gelingt das, wird deine Rufnummer auf die neue Karte übertragen. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) weist darauf hin, dass eine eSIM den Betrug zusätzlich beschleunigt, weil kein Kartenversand per Post mehr nötig ist und die Aktivierung rein digital passieren kann.
Sobald der Umzug erfolgt ist, verstummt deine SIM und ihre übernimmt. Jetzt beginnt der teure Teil: Die Täter gehen zu deinen Online-Konten, klicken auf „Passwort vergessen" und lassen sich den Bestätigungscode per SMS an die nun gekaperte Nummer schicken. So kommen sie an E-Mail-Postfach, Banking-Apps oder Social-Media-Profile. Genau deshalb ist die Kombination aus SMS-Code und übernommener Nummer so gefährlich.
Woran du einen Angriff erkennst
Ein SIM-Swap kündigt sich meistens an. Diese Zeichen solltest du kennen:
- Plötzlich kein Netz. Dein Handy zeigt „kein Netz" oder „Notruf", obwohl andere Geräte am selben Ort normal funktionieren und du nichts geändert hast. Das ist das deutlichste Signal.
- Unerwartete Nachrichten vom Anbieter. Eine SMS oder E-Mail, die eine neue SIM, eine eSIM-Aktivierung oder eine Kartenbestellung bestätigt, die du nicht ausgelöst hast.
- Codes, die du nicht angefordert hast. Du bekommst Bestätigungscodes oder Login-Warnungen für Konten, bei denen du dich gerade gar nicht anmeldest.
- Konten reagieren nicht mehr. Du kommst plötzlich nicht mehr in dein E-Mail-Postfach oder dein Banking, obwohl das Passwort stimmt.
Tritt eines dieser Zeichen auf, zählt Tempo. Warte nicht ab, ob sich das Netz von selbst wieder einfindet.
So schützt du dich
Der Schutz besteht aus mehreren Schichten. Keine davon macht dich für sich allein unangreifbar, aber zusammen nehmen sie dem Betrug seine Grundlage.
Weg von SMS-Codes. Das ist der wichtigste Punkt. Solange deine wichtigen Konten Bestätigungscodes per SMS verschicken, ist deine Rufnummer der Schlüssel zu allem. Das BSI empfiehlt, für die Zwei-Faktor-Authentifizierung auf app-basierte Verfahren, also eine Authenticator-App, oder auf Hardware-Sicherheitsschlüssel umzusteigen. Noch einen Schritt weiter gehen Passkeys, die ganz ohne Passwort und ohne SMS auskommen. Was diese Verfahren unterscheidet und wie du sie einrichtest, erklärt der Ratgeber Was ist Zwei-Faktor-Authentifizierung?. Stell zuerst die Konten um, die am meisten wehtun: E-Mail, Banking, der zentrale App-Store-Account.
Kundenkennwort beim Anbieter setzen. Viele Mobilfunkanbieter bieten ein Kundenkennwort oder eine Service-PIN an. Ist das hinterlegt, kann niemand mehr allein mit Name und Geburtsdatum eine neue SIM anfordern, das Kennwort muss zusätzlich stimmen. Ruf bei deinem Anbieter an oder schau im Kundenportal, ob so ein Kennwort eingerichtet ist, und wähle etwas, das nicht öffentlich zu erraten ist.
SIM-PIN und Sperrbildschirm aktivieren. Das BSI zählt beides zum Basisschutz jedes Mobilgeräts. Die SIM-PIN sorgt dafür, dass deine physische SIM in einem fremden Gerät nutzlos ist. Der Sperrbildschirm schützt die Konten auf dem Handy selbst. Beide Sperren sind schnell eingerichtet und kosten dich im Alltag nur einen Handgriff.
Sparsam mit deinen Daten sein. SIM-Swapping beginnt mit dem Sammeln deiner Angaben. Je weniger von Handynummer, Adresse und Geburtsdatum öffentlich verknüpfbar ist, desto schwerer wird die Täuschung. Sei misstrauisch bei Anrufen und Mails, die nach persönlichen Daten oder Zugangsdaten fragen, auch wenn sie angeblich vom Anbieter kommen.
Wenn es schon passiert ist
Merkst du, dass deine Nummer übernommen wurde, geh der Reihe nach vor:
- Anbieter kontaktieren. Ruf über ein anderes Telefon deinen Mobilfunkanbieter an, schildere den Verdacht und lass die betrügerische SIM sperren und deine Nummer zurückholen.
- Konten sichern. Ändere über ein sicheres Gerät die Passwörter deiner wichtigsten Konten, zuerst das E-Mail-Postfach, weil daran fast alles andere hängt. Stell die Zwei-Faktor-Authentifizierung von SMS auf eine App oder einen Passkey um.
- Bank informieren. Wurde dein Banking berührt, melde dich bei deiner Bank und lass verdächtige Vorgänge prüfen.
- Anzeige erstatten. SIM-Swapping ist Betrug. Eine Anzeige bei der Polizei ist der richtige Weg, um den Fall zu dokumentieren.
- Bei der Bundesnetzagentur melden. Für Missbrauch rund um deine Rufnummer betreibt die Bundesnetzagentur eine Beschwerdestelle. Über ihr Portal zum Rufnummernmissbrauch kannst du den Vorfall melden.
Wie du parallel dein Gerät und deine Konten absicherst, wenn das Handy selbst weg ist, steht im Ratgeber Handy gestohlen oder verloren?.
Sicherheit beim Gerätewechsel mitnehmen
SIM-Swapping betrifft deine Nummer, nicht die Hardware, und trotzdem ist der Moment eines neuen Handys der beste Zeitpunkt, um alles sauber aufzusetzen. Wenn du ein Gerät einrichtest, egal ob neu oder generalüberholt, aktivier gleich SIM-PIN und Sperrbildschirm und stell deine Zwei-Faktor-Verfahren von SMS auf eine Authenticator-App oder Passkeys um. Jedes generalüberholte Smartphone bei uns geht vor dem Verkauf im Haus durch die Prüfung und wird vollständig zurückgesetzt, du startest also mit einem leeren, sauberen Gerät und setzt deine Sicherheitseinstellungen von Grund auf neu. Welches Modell zu dir passt, siehst du im Smartphone-Sortiment, oder frag mich.
Talkis Empfehlung
Fang bei dem an, was am meisten bringt: Nimm dir eine halbe Stunde und stell deine wichtigsten Konten von SMS-Codes auf eine Authenticator-App oder Passkeys um, angefangen bei deiner E-Mail. Setz danach ein Kundenkennwort bei deinem Mobilfunkanbieter und prüf, ob SIM-PIN und Sperrbildschirm aktiv sind. Diese drei Handgriffe nehmen dem SIM-Swapping seinen Hebel, denn selbst wenn jemand deine Nummer kapert, führen die abgefangenen SMS dann ins Leere. Und merk dir das eine Warnzeichen: plötzlich kein Netz ohne Grund. Wer darauf sofort reagiert, verhindert meistens den Schaden.
Häufige Fragen
Was ist SIM-Swapping in einem Satz? Betrüger geben sich gegenüber deinem Mobilfunkanbieter als du aus und lassen deine Rufnummer auf eine eigene SIM oder eSIM übertragen, um deine Anrufe und SMS abzufangen und darüber deine Konten zu übernehmen.
Merke ich sofort, dass ich betroffen bin? Meistens ja. Das deutlichste Zeichen ist, dass dein Handy ohne erkennbaren Grund den Empfang verliert, während andere Geräte am selben Ort normal funktionieren. Dazu kommen oft unerwartete Bestätigungen über eine neue SIM oder Codes für Logins, die du nicht ausgelöst hast.
Warum sind SMS-Codes das Problem? Weil sie an deine Rufnummer gebunden sind. Wer die Nummer kontrolliert, bekommt die Codes und kann damit Passwörter zurücksetzen. Deshalb empfiehlt das BSI, für die Zwei-Faktor-Authentifizierung auf eine App oder Hardware-Schlüssel statt auf SMS zu setzen.
Was ist ein Kundenkennwort und wo bekomme ich es? Ein Kundenkennwort oder eine Service-PIN ist ein zusätzliches Passwort bei deinem Mobilfunkanbieter. Ist es hinterlegt, reicht Name und Geburtsdatum nicht mehr, um eine neue SIM zu bestellen. Du richtest es über die Hotline oder das Kundenportal deines Anbieters ein.
Schützt mich eine App-Sperre oder ein neues Handy vor SIM-Swapping? Nur teilweise. SIM-Swapping zielt auf deine Rufnummer, nicht auf das Gerät. Sperrbildschirm und SIM-PIN sind wichtiger Basisschutz, entscheidend ist aber, deine Konten von SMS-Codes auf sicherere Verfahren umzustellen und ein Kundenkennwort zu setzen.
Was mache ich zuerst, wenn ich einen Angriff vermute? Ruf über ein anderes Telefon deinen Anbieter an und lass prüfen, ob eine neue SIM aktiviert wurde. Sichere danach über ein sicheres Gerät deine wichtigsten Konten, angefangen bei der E-Mail, und erstatte Anzeige. Rufnummernmissbrauch kannst du zusätzlich bei der Bundesnetzagentur melden.