Wenn plötzlich der Empfang weg ist – und das erst der Anfang war
Wenn das Netz bei Eurem Handy plötzlich weg ist und Apps wie Signal oder Banking-Apps streiken, gilt es, aufmerksam zu sein. Wenn auch ein kurzer Flugmodus-Wechsel und ein Neustart nichts hilft, dann denkt nicht nur an Netzprobleme. Möglicherweise haben Euch gerade Betrüger im Visier. Denn genau so beginnt eine Angriffsform, die längst nicht mehr nur theoretisch ist: SIM-Swapping. Ein Angriff, der technisch simpel ist, aber in seiner Wirkung katastrophal sein kann. Was ihn so gefährlich macht: Er trifft Euch genau dort, wo digitale Identität heute gebündelt ist – auf der SIM-Karte.
SIM-Swapping – was auf dem Papier unscheinbar klingt, ist in der Praxis der Super-GAU
Der Ablauf ist schnell erklärt – aber eben auch schnell durchgezogen. Angreifer besorgen sich personenbezogene Daten: Name, Adresse, Geburtsdatum. Teils aus Datenlecks, teils über klassische Phishing-Aktionen. Mit diesen Informationen kontaktieren sie den Mobilfunkanbieter und geben sich als Euch aus. Das Ziel: Eine Ersatz-SIM.
Wenn der Antrag durchgeht – und das tut er leider häufiger als man denkt – wird die neue SIM aktiviert. Und die alte? Deaktiviert. Damit geht die Telefonnummer an den Angreifer über. SMS-Verifizierung? Tan-Codes? Passwort-Resets per SMS? Alles landet jetzt bei ihnen. Und Ihr bekommt davon erstmal – nichts mit.
Warum das für viele brandgefährlich ist
Wer in der Praxis noch stark auf SMS als zweiten Faktor setzt, sitzt bei so einem Angriff auf einem Pulverfass. Banking, Authentifizierung bei E-Mail-Accounts, Zugang zu Passwort-Resets: Der SIM-Zugriff ist ein Generalschlüssel, mit dem sich zentrale digitale Identitäten übernehmen lassen.
Gerade jüngere Menschen, die ihre digitale Identität fast vollständig auf dem Smartphone abbilden, geraten dabei besonders schnell in die Zielgruppe. Nicht, weil sie naiv wären. Sondern weil bei ihnen alles – von Finanzen bis Kommunikation – über ein einziges Gerät läuft. Und das ist angreifbar.
SIM-Swapping ist längst nicht mehr nur ein Experiment für Scriptkiddies. Die Täter arbeiten mit System. Datensätze werden eingekauft, kombiniert, verifiziert. Der Kontakt mit dem Mobilfunkanbieter erfolgt professionell. In vielen Fällen sind es Callcenter-ähnliche Strukturen, in denen Social Engineering perfektioniert wurde. Die Hürde ist nicht technisch – sie ist psychologisch. Und sie wird oft genug überwunden.
Woran man erkennt, dass es ernst wird
Einmal kein Netz zu haben, ist noch kein Grund zur Panik. Funklöcher, Wartungen, Roaming-Probleme – alles bekannt. Aber wenn plötzlich mehrere Dienste seltsam reagieren, Apps sich abmelden, SMS-Codes nicht mehr ankommen oder E-Mails zu Passwort-Änderungen auftauchen, obwohl Ihr nichts angefordert habt – dann sollte es klingeln.
In dem Fall gilt: Sofort beim Mobilfunkanbieter melden. SIM sperren lassen. Zugänge überprüfen, vor allem E-Mail und Bank. Passwörter ändern, Zwei-Faktor-Verfahren anpassen. Vor allem: Nicht weiter auf SMS setzen. Authenticator-Apps oder physische Sicherheitstoken sind hier deutlich robuster.
Und was bedeutet das jetzt für Euch?
Kurz gesagt: Wer seine digitale Identität auf dem Smartphone konsolidiert, muss den Zugang zur SIM-Karte absichern – so gut es eben geht. Das heißt nicht, paranoid zu werden. Aber es heißt, sich bewusst zu machen, dass Angreifer heute nicht mehr über Malware oder Brute-Force kommen müssen. Ein überzeugender Anruf beim Support reicht oft schon aus.
SIM-Swapping ist kein hypothetisches Risiko. Es ist real, und es ist unterschätzt. Nicht, weil es besonders neu wäre. Sondern weil es in der Lage ist, die Brücke zwischen digitaler und realer Identität vollständig zu kappen – in wenigen Minuten. Wer das weiß, kann reagieren, bevor es ernst wird.
Interessanter Beitrag.
Wobei ich o2 schon sehr lange als sehr Sicher empfinde, bin schon seit Viag Intercom mit loop dabei und ohne persönliche Kundenkennzahl ging eigentlich noch nie etwas, nicht eine Auskunft oder Änderung, wäre mir ohne die Kennzahl jemals gelungen, das gute ist, man nutzt diese eben auch nur bei o2 am Telefon, meiner Meinung nach schwierig da ran zu kommen. Würde natürlich anders aus sehen, wenn bei einem Anbieter Helfer im Support sitzen, keine Ahnung ob Mitarbeiter die Möglichkeiten hätten ohne Kundenkennzahl etwas zu tun, soweit ich weiß, braucht auch der Support diese um eine Aktion durchführen zu können.
Dennoch habe ich schon ewig, beim Mobilanbieter ein extrem starkes Passwort, ebenso laufen alle wichtigen Accounts bei mir schon seit 20 Jahren über einen anderen Mail Account als die unwichtigen und zahlreichen Accounts wie Shoping, communitys u.s.w
Kommt es zu Datenlecks wird bzw wurde nur mein unwichtiger Account in Datenlecks verwickelt.
Mein Master Email account hingegen ist nun 25 Jahre in keinem Leck aufgetaucht, der ist auch frei von Spam. So habe ich generell die Wahrscheinlichkeit gesenkt, das durch ein Leck jemand an meine wichtigen Accounts kommt.
"Ein überzeugender Anruf beim Support reicht oft schon aus."
Das ist der Fehler, und Provider sollten dann auch haften müssen, wenn es derart leicht ist, eine Ersatzsim zu bekommen, oder ggf. Gesetze nachgeschärf werden. Wer eine neue Sim will, muss sich per Videoident- oder Postidentverfahren mit den Personalausweis authentifizieren. Und an dieser Sim hängt noch keine digitale Identität. Wenn mit einer Ersatzsim mehr Schaden angerichtet werden kann, als mit einer neuen Sim, dann kann es nicht sein, dass der Zugang dazu einfacher ist.
Eines verstehe ich aber nicht. Die Ersatzsim wird dann doch an die ursprünglich hinterlegte Adresse geschickt, und müsste dort von den Betrügern zum richtigen Zeitpunkt aus dem Briefkasten gestohlen werden, was nicht einfach zu bewerkstelligen ist. Spätestens aber, wenn beim Support eine neue Adresse angegeben wird, sollten dort aber die Alarmglocken läuten, und eine neue Authentifizierung verlangt werden.
Die Betrüger nutzen eSIM. Die kommt häufig sofort. Das funktioniert meist dann, wenn die Betrüger auch Zugriff auf das Kundenkonto und auf die Email haben.
Dann kann man ja fast froh sein, noch die physische Sim zu nutzen. Wenn die Betrüger aber ohnehin schon Zugriff auf Email und Kundenkonto haben, sollte das zu denken geben...
Die physische SIM schützt nicht vor SIM-Swapping. Denn die kann problemlos durch die eSIM ersetzt werden.
Nicht bei jedem Anbieter. Mein Discount-Provider bietet keine eSIMs an. Ausserdem ist mein Email-Konto durch einen zweiten Faktor geschützt.
Genau deswegen auch beim Mobil Anbieter ein Mega Passwort.
Muss aber echt sagen, in 25 Jahren Viag Intercom und später Telefonica mit o2, kam es über die Jahre natürlich zu einigen Supportanfragen, es gelang mir tatsächlich noch nie ohne die Geheime Kundenkennzahl weiter zu kommen, da habe ich relativ viel Vertrauen.
Mein o2 App z.b, 3 falsch Versuche beim einloggen und schon ist der Account gesperrt.
Bei meiner Bank ist die Sms auch schon lange gestrichen.