Kann ein VPN SIM-Swap-Angriffe verhindern?

Nein. Ein VPN schützt Ihre Internetverbindung durch Verschlüsselung und Anonymisierung, hat jedoch keinen Einfluss auf Ihren Mobilfunkanbieter oder SMS-basierte Authentifizierung. SIM Swapping zielt auf Ihr Mobilfunkkonto ab, nicht auf Ihren Internetdatenverkehr. Um sich zu schützen, sollten Sie App-basierte 2FA verwenden und bei Ihrem Anbieter eine SIM-PIN einrichten.

Wie erkenne ich, ob ich Opfer eines SIM-Swap-Angriffs geworden bin?

Das häufigste Warnsignal ist der plötzliche Verlust des Mobilfunkempfangs – keine Anrufe, keine SMS, kein mobiles Internet – obwohl Sie sich in einem Versorgungsgebiet befinden. Weitere Anzeichen sind unerwartete Benachrichtigungen über Kontoänderungen, nicht autorisierte Anmeldeversuche oder E-Mails über Passwortänderungen, die Sie nicht veranlasst haben. Kontaktieren Sie sofort Ihren Mobilfunkanbieter und Ihre Bank, wenn Sie einen solchen Angriff vermuten.

Warum ist SMS-basierte 2FA unsicher?

SMS-basierte 2FA ist anfällig, weil sie auf der Sicherheit Ihres Mobilfunkkontos beruht – und nicht nur auf etwas, das Sie wissen oder besitzen. Wenn ein Angreifer Ihren Anbieter davon überzeugen kann, Ihre Nummer zu übertragen, kann er alle SMS-Verifizierungscodes abfangen. App-basierte Authentifikatoren oder Hardware-Sicherheitsschlüssel sind deutlich sicherer, da sie nicht von Ihrer Telefonnummer abhängen.

Was sollte ich tun, wenn ich Opfer eines SIM-Swap-Angriffs werde?

Handeln Sie sofort: Kontaktieren Sie Ihren Mobilfunkanbieter, um die Kontrolle über Ihre Nummer zurückzugewinnen. Benachrichtigen Sie dann Ihre Bank und alle wichtigen Dienste über den möglichen Kontozugriff. Ändern Sie Ihre Passwörter über ein sicheres Gerät und wechseln Sie von SMS-basierter 2FA zu App-basierter 2FA. Erstatten Sie außerdem Anzeige bei der Polizei, insbesondere wenn finanzielle Schäden entstanden sind.

SIM Swapping

SIM Swapping: Wie Kriminelle Ihre Telefonnummer kapern

Ihre Telefonnummer ist zu einem der mächtigsten Schlüssel zu Ihrem digitalen Leben geworden. Banken, E-Mail-Anbieter und Social-Media-Plattformen nutzen sie alle zur Identitätsverifizierung. SIM Swapping ist eine Form des Identitätsdiebstahls, die genau dieses Vertrauen ausnutzt – und Ihre Online-Sicherheit innerhalb von Minuten zum Einsturz bringen kann.

Was ist SIM Swapping?

SIM Swapping (auch SIM-Hijacking oder Port-Out-Betrug genannt) ist ein Angriff, bei dem ein Angreifer Ihren Mobilfunkanbieter dazu bringt, Ihre Telefonnummer einer neuen SIM-Karte zuzuweisen, die ihm gehört. Sobald dies gelingt, gehen alle Anrufe und Nachrichten, die für Sie bestimmt sind – einschließlich Einmalkennwörter (OTPs) und Anmelde-Verifizierungscodes – direkt an den Angreifer.

Das Erschreckende daran? Ihr physisches Telefon funktioniert weiterhin. Sie verlieren lediglich den Mobilfunkempfang, ohne offensichtliche Vorwarnung, und halten es oft für einen Netzwerkausfall – bis es zu spät ist.

Wie funktioniert ein SIM-Swap-Angriff?

Der Angriff verläuft in zwei Phasen: Informationsbeschaffung und Social Engineering.

Aufklärung: Der Angreifer sammelt zunächst persönliche Informationen über Sie – Ihren vollständigen Namen, Ihre Adresse, Ihre Kontonummer oder die letzten vier Ziffern Ihrer Sozialversicherungsnummer. Diese Daten stammen häufig aus Datenpannen, Phishing-E-Mails oder sogar Ihren eigenen Social-Media-Profilen.

Identitätsdiebstahl: Mit ausreichend persönlichen Daten ausgestattet, kontaktiert der Angreifer Ihren Mobilfunkanbieter – per Telefon, Online-Chat oder sogar persönlich in einem Geschäft – und gibt sich als Sie aus. Er behauptet, das Telefon sei verloren gegangen oder beschädigt, und beantragt die Übertragung Ihrer Nummer auf eine neue SIM-Karte.

Übernahme: Sobald der Anbieter nachgibt, empfängt der Angreifer alle Ihre SMS-Nachrichten und Anrufe. Er löst umgehend „Passwort vergessen"-Vorgänge für Ihre E-Mail-Konten, Krypto-Wallets, Banking-Apps oder andere an Ihre Nummer geknüpfte Konten aus. Innerhalb von Minuten kann er Sie von allem aussperren.

Der gesamte Angriff kann in weniger als einer Stunde erfolgreich sein, und manche Mobilfunkanbieter haben sich als erschreckend leicht zu täuschen erwiesen.

Warum das für VPN-Nutzer und datenschutzbewusste Menschen relevant ist

Wenn Sie ein VPN zum Schutz Ihrer Privatsphäre nutzen, kennen Sie bereits den Wert der Absicherung Ihrer digitalen Identität. Doch ein VPN kann Sie nicht vor SIM Swapping schützen – es operiert auf einer völlig anderen Ebene.

SIM Swapping untergräbt direkt die Zwei-Faktor-Authentifizierung (2FA) auf SMS-Basis. Viele Menschen glauben, dass SMS-basierte 2FA ihre Konten unüberwindbar macht. In Wirklichkeit schafft sie einen einzelnen Schwachpunkt, der an die Kundendienstpraktiken Ihres Mobilfunkanbieters geknüpft ist.

Zu den prominenten Opfern zählten Kryptowährungsinvestoren, die Millionen verloren, Journalisten, deren Quellen offengelegt wurden, und Führungskräfte, deren Geschäftskonten geplündert wurden. Jeder mit einer öffentlich bekannten Telefonnummer oder bedeutenden Online-Vermögenswerten ist ein mögliches Ziel.

Ein Beispiel aus der Praxis

Im Jahr 2019 wurde das Twitter-Konto von Twitter-CEO Jack Dorsey durch einen SIM-Swap gekapert. Angreifer nutzten es kurzzeitig, um anstößige Inhalte zu veröffentlichen – eine öffentliche und blamable Demonstration, wie selbst mächtige, technisch versierte Menschen angreifbar sind.

Kryptowährungsbesitzer werden besonders häufig ins Visier genommen. Da Krypto-Transaktionen nicht rückgängig gemacht werden können, greifen Angreifer oft direkt auf Exchange-Konten zu, die durch SMS-2FA gesichert sind, und überweisen Gelder, bevor das Opfer überhaupt bemerkt, was geschehen ist.

So schützen Sie sich

Wechseln Sie zu App-basierter 2FA (wie Google Authenticator oder Authy) anstelle von SMS, wo immer dies möglich ist.
Verwenden Sie Hardware-Sicherheitsschlüssel (wie YubiKey) für kritische Konten.
Richten Sie eine SIM-PIN oder ein Anbieter-Passwort ein – die meisten Mobilfunkanbieter ermöglichen das Hinzufügen eines sekundären Passworts, das für jede Kontoänderung erforderlich ist.
Minimieren Sie die öffentliche Bekanntgabe Ihrer Telefonnummer – tragen Sie sie nicht in Social-Media-Profilen ein.
Verwenden Sie eine VoIP-Nummer als öffentlichen Kontakt und halten Sie Ihre echte Nummer privat.
Fragen Sie Ihren Mobilfunkanbieter nach Port-Freeze- oder SIM-Lock-Funktionen, die unbefugte Rufnummernportierungen einschränken.

SIM Swapping ist eine Erinnerung daran, dass starke technische Schutzmaßnahmen wenig nützen, wenn menschliche Prozesse manipuliert werden können. Die Kombination verschiedener Sicherheitsmaßnahmen – eine Verbindung aus starken Authentifizierungsmethoden, sorgfältiger Datenhygiene und Datenschutz-Tools wie VPNs – bietet den besten Schutz gegen Angriffe, die versuchen, Technologie vollständig zu umgehen.

SIM SwappingFortgeschritten