SHIELD

Digitale Identität

SIM-Swapping: 4 Stunden, um zu Ihnen zu werden

Wie ein Angriff in 4 Stunden Ihre vollständige Identität kompromittieren kann, und warum SMS als MFA-Faktor ein systemisches Risiko ist.

Veröffentlicht am 15 Min. Lesezeit Exponiert

Zuletzt überprüft:

Digitales Vorhängeschloss vor Code-Hintergrund

Dienstag, 14:07 Uhr. Der Anruf landet beim Kundenservice eines deutschen Mobilfunkanbieters. Ruhige, leicht genervte Stimme: „Ich habe heute Morgen am Flughafen mein Handy verloren, ich brauche eine neue SIM vor meinem Flug um 18 Uhr.” Name, Geburtsdatum, Adresse — ohne Zögern heruntergerattert. Der Mitarbeiter, unter dem Druck seiner Bearbeitungszeit, bestätigt. Um 14:22 Uhr wechselt die Nummer. Um 16:40 Uhr war das Geschäftskonto der Zielperson — eines Finanzchefs, den ich betreute — um 47.000 € erleichtert. Die Zielperson schlief ruhig: Sie dachte, „das passiert nur Prominenten”.

Angle de lecture

Die übliche Falle

„Das passiert nur Promis und Krypto-Bros.” Das ist die Fehlannahme Nummer eins zum SIM-SwappingAngriff, bei dem ein Betrüger Ihren Netzbetreiber überzeugt, Ihre Nummer auf seine eigene SIM zu portieren., und sie ist auf zwei Ebenen gleichzeitig falsch. Zunächst das Profil der Opfer: Ja, die medienwirksamen Fälle betreffen Krypto-Influencer und einige Prominente, weil die Beträge spektakulär sind und die Prozesse Schlagzeilen machen. Aber die Akten, die auf meinem Schreibtisch landen, sehen nicht so aus. Es sind Geschäftsführer mittelständischer Unternehmen, Finanzchefs, Wirtschaftsanwälte, Notare, Kanzleipartner. Die Gemeinsamkeit ist nie die Prominenz — es ist die Existenz mindestens eines sensiblen Kontos (Bank, berufliche Mailbox, Plattform für elektronische Signaturen), geschützt durch einen per SMS empfangenen Code.

Dann die erforderliche Raffinesse. Man stellt sich einen Angreifer vor, der das Netz des Anbieters hackt, Verschlüsselung knackt, eine Lücke ausnutzt. Nichts davon. SIM-Swapping ist kein technischer Angriff: Es ist Social EngineeringMenschliche Manipulation zur Gewinnung von Informationen oder Aktionen, unter Umgehung technischer Abwehr.. Man braucht ein Telefon, drei Informationen, die für 90 % der erwerbstätigen Bevölkerung öffentlich sind, und die Fähigkeit, vier Minuten lang dreist zu lügen. Die Einstiegshürde ist so niedrig, dass sie die Industrialisierung des Phänomens erklärt: Das FBI hat über sein IC3-Zentrum 2021 mehr als 2.000 Anzeigen mit einem gemeldeten Schaden von über 68 Millionen Dollar verzeichnet, ein Anstieg um mehrere Hundert Prozent gegenüber den drei vorangegangenen Jahren zusammen.

Die zweite Falle, perfider, ist die falsche Abwehr. „Ich habe die Zwei-Faktor-Authentifizierung aktiviert, ich bin sicher.” Nur ist dieser zweite Faktor ein SMS-Code, dann haben Sie kein Schloss hinzugefügt: Sie haben den Schlüssel zu all Ihren Konten an einen nach Bearbeitungszeit bezahlten Callcenter-Mitarbeiter delegiert, den Sie nie getroffen haben und der Ihre Nummer in weniger als fünf Minuten an einen Fremden übertragen kann. Das NISTAmerikanisches Institut, das Referenzstandards für Cybersicherheit veröffentlicht (CSF, SP 800-*). hat es bereits 2017 schwarz auf weiß geschrieben und SMS in seiner Publikation SP 800-63B als „nicht empfohlenen” Faktor (restricted) eingestuft. Neun Jahre später ist es immer noch der Standardfaktor der Mehrheit der Banken im deutschsprachigen Raum.

Das wahre Bedrohungsmodell: die Mechanik, Stunde für Stunde

Die Chronologie eines Angriffs zu verstehen, verändert die Art, ihn zu bekämpfen. SIM-Swapping ist kein augenblickliches Ereignis, es ist eine Kaskade, die sich über zwei bis vier Stunden erstreckt, und jedes Glied hängt vom vorherigen ab. Ein einziges Glied zu brechen genügt, um die ganze Kette scheitern zu lassen.

Was der Angreifer vor dem Anruf wissen muss. Vollständiger Name, Geburtsdatum, Postadresse. In der überwältigenden Mehrzahl der Fälle sind diese drei Daten kostenlos zugänglich: LinkedIn liefert Name und Arbeitgeber, Geburtstage liegen auf Facebook und Instagram herum, das Handelsregister und aggregierte Adressverzeichnisse liefern die Adresse. Eine Stunde methodische OSINTNachrichtengewinnung aus offenen (öffentlichen) Quellen: soziale Netzwerke, Register, Archive.-Recherche genügt, um die Akte einer identifizierten Zielperson zusammenzustellen. Für Anbieter, die einen zusätzlichen Identifikator verlangen — Kundennummer, letzte Ziffern eines Zahlungsmittels —, greift der Angreifer in die für ein paar Euro weiterverkauften Leak-Datenbanken oder rekonstruiert die Info aus einer am Vortag versendeten Phishing-SMS („Ihre Rechnung ist verfügbar, bestätigen Sie Ihre Kundennummer”).

T+0 — Der Anruf oder der Besuch im Shop. Der klassische Kanal ist der telefonische Kundenservice. Der Vorwand ist immer derselbe: Handy verloren oder gestohlen, Display kaputt, bevorstehende Reise. Der Ton ist drängend, aber höflich, nie aggressiv — Aggressivität löst die verschärften Prüfverfahren aus. Immer häufigere Variante: der physische Shop, wo der Angreifer einen gefälschten Identitätsnachweis vorlegt. Der Verkäufer im Shop hat noch weniger Schutzmechanismen als das Callcenter.

T+15 Min — Der Wechsel (das Port-out). Ist der Mitarbeiter überzeugt, löst er entweder eine interne SIM-Neuausgabe oder ein Port-out aus — die Übertragung der Nummer zu einem anderen Anbieter, ein gesetzlich geregeltes Verfahren zur Förderung des Wettbewerbs und daher konstruktionsbedingt schnell. Ihr Handy verliert das Netz. Die neue SIM, in den Händen des Angreifers, beginnt Ihre Anrufe und SMS zu empfangen. Sie glauben an eine Funkmaststörung.

T+30 Min — Die Übernahme der E-Mail. Der Angreifer startet ein „Passwort vergessen” auf Ihrer Haupt-Mailbox. Der Zurücksetzungscode kommt per SMS … auf seiner SIM. Er legt ein neues Passwort fest. Ihr Postfach, der Generalschlüssel zu Ihrem gesamten digitalen Leben, gehört ihm.

T+45 Min — Die Kaskade. Von Ihrer E-Mail aus reiht er die Zurücksetzungen aneinander: Bank, Passwortmanager, berufliche soziale Netzwerke, Plattformen für elektronische Signaturen. Die Banken, die Überweisungen per SMS bestätigen? Er fängt jeden Code ab. Die MFAMehrfaktor-Authentifizierung: Kombination von zwei unabhängigen Identitätsnachweisen beim Anmelden. per SMS, die schützen soll, wird zum Beschleuniger der Kompromittierung.

T+2h bis T+4h — Die Extraktion. Überweisungen, gegebenenfalls Leeren von Krypto-Wallets, Exfiltration vertraulicher Dokumente aus E-Mail und Cloud, und — für hochwertige Ziele — Weiterverkauf des Zugangs an einen spezialisierten Akteur, der den Rest ausschlachtet. Zu diesem Zeitpunkt hat das durchschnittliche Opfer immer noch nicht begriffen, dass es angegriffen wird.

Zwei schwache Signale erlauben es, dieses Fenster zu verkürzen, vorausgesetzt, man hat sie im Voraus verinnerlicht. Das erste: ein Netzverlust, der länger als fünfzehn Minuten dauert, während die anderen Anschlüsse um Sie herum funktionieren. Eine echte Funkmaststörung trifft alle in der Zone; ein SIM-Swapping kappt nur Ihren Anschluss. Wenn Ihr Partner Empfang hat und Sie nicht, behandeln Sie es als Vorfall, bis das Gegenteil bewiesen ist. Das zweite: eine E-Mail oder Benachrichtigung „Ihr Passwort wurde geändert”, die Sie nicht ausgelöst haben. Das ist oft das einzige sichtbare Artefakt auf Opferseite, und es landet auf einem Zweitpostfach oder einer noch angemeldeten App. Wer abwartet, „ob es wiederkommt”, schenkt dem Angreifer das gesamte Extraktionsfenster.

Eine technische Nuance, die in den neueren Netzen zählt: Die klassische SMS ist nicht der einzige verwundbare Kanal. RCSÖffentliches deutsches Register der Unternehmen, zugänglich über das Unternehmensregister., das die SMS auf Android schrittweise ersetzt, bleibt an denselben Anschluss gebunden und wechselt daher beim Port-out mit der Nummer. Und über das eigentliche SIM-Swapping hinaus weist das Signalisierungsnetz SS7, das die SMS weltweit weiterleitet, seit den 2000er-Jahren bekannte Lücken auf: Ein Akteur mit Anbieter-Zugang kann SMS abfangen, ohne Ihre SIM anzurühren. Mit anderen Worten: Selbst eine perfekt konfigurierte Port-out-PIN sichert den SMS-Kanal selbst nicht — ein weiterer Grund, ihn von Ihren kritischen Konten zu entfernen, statt zu versuchen, ihn zu panzern.

Warum die Mobilfunkanbieter das schwache Glied sind

Die 2020 veröffentlichte Princeton-Studie hat unter realen Bedingungen die Authentifizierungsverfahren von fünf großen US-Anbietern getestet. Das Ergebnis ist vernichtend: Mit elementaren Social-Engineering-Techniken erreichten die Forscher einen SIM-Wechsel in der Mehrzahl der Versuche, manche Anbieter gaben in fast allen Fällen nach. Die europäischen Anbieter waren nicht Gegenstand einer vergleichbaren öffentlichen Studie, aber die Rückmeldungen aus der Praxis im deutschsprachigen Raum sind nicht besser: Die ausgelagerten Callcenter mit Hunderten von Mitarbeitern, die nach ihrer Bearbeitungszeit bewertet werden, erzeugen einen strukturellen Druck, der einer rigorosen Prüfung entgegenläuft.

Der wahre Schwachpunkt ist nie das schriftliche Verfahren — es ist auf dem Papier in der Regel korrekt. Es ist der Mensch am Ende der Leitung, gegenüber jemandem, der Not vortäuscht, weil er „dringend seine Kinder erreichen muss” oder „Gefahr läuft, einen Flug zu verpassen”. Kein Skript widersteht gut gespieltem emotionalem Druck, vor allem wenn der Mitarbeiter weiß, dass ein zu langer Anruf seine Kennzahlen verschlechtert.

Hinzu kommt der Insider-Faktor, unterschätzt und dennoch in einem erheblichen Teil der Gerichtsakten dokumentiert: Ein korrumpierter oder genötigter Mitarbeiter des Anbieters führt den Wechsel direkt aus den internen Systemen durch. Hier hat keinerlei kundenseitige Prüfung den geringsten Einfluss — der Insider hat bereits alle Berechtigungen. Das ist der bevorzugte Weg für hochwertige Ziele, bei denen der Angreifer ein Budget hat, um eine punktuelle Komplizenschaft zu kaufen. Keine Maßnahme, die Sie an Ihrem Konto treffen, neutralisiert diesen Vektor. Genau deshalb kann die Verteidigung nicht auf der Absicherung des Anbieters beruhen.

In den USA war die Lage gravierend genug, dass die FCC 2023 verbindliche Regeln erließ, die vor jedem SIM-Wechsel oder Port-out eine verschärfte Authentifizierung vorschreiben. AT&T, Verizon und T-Mobile waren in Dutzenden Verfahren genannt worden, und T-Mobile erlitt mehrere massive Datenlecks, die genau die für ein SIM-Swapping nötigen Daten offenlegten. In Europa bleibt der Rahmen laxer, zum Teil weil die Rufnummernportabilität — ein Verbraucherrecht — darauf ausgelegt ist, schnell zu sein, was mechanisch gegen die Sicherheit arbeitet.

Der richtige Ansatz: Ihre Nummer nutzlos machen

Hier der mentale Umschwung, der alles ändert: versuchen Sie nicht zuerst, Ihren Anbieter abzusichern — sorgen Sie dafür, dass die Kompromittierung Ihrer Nummer nichts bringt. Das ist kontraintuitiv, denn der Instinkt drängt dazu, das schwache Glied zu panzern. Aber das schwache Glied gehört hier nicht Ihnen: Es liegt in den Händen von Mitarbeitern und Insidern, über die Sie keinerlei Kontrolle haben. Die einzige Variable, die Sie wirklich beherrschen, ist das, was nach dem Wechsel passiert.

Wenn Ihre Haupt-Mailbox, Ihre Bank und Ihr Passwortmanager weder SMS als zweiten Faktor noch SMS als Wiederherstellungskanal nutzen, dann gibt ein erfolgreiches SIM-Swapping dem Angreifer … Ihre Telefonnummer. Nützlich für Identitätsmissbrauch, lästig, aber nicht katastrophal: Sie öffnet keine Tür mehr. Die oben beschriebene Kaskade stoppt schlagartig beim Glied T+30. Das ist der ganze Einsatz.

Schritt 1 — Weg von der SMS, nach Kritikalität geordnet. Haupt-E-Mail zuerst: Sie ist die Wurzel. Dann die Bank, der Passwortmanager, die Cloud, die beruflichen Netzwerke. Das Ziel: TOTP6-stelliger Code, der alle 30 Sekunden von einer App (Google Authenticator, Authy usw.) generiert wird. lokal gespeichert (Aegis auf Android, Ente Auth plattformübergreifend) für die laufenden Konten, und Hardware-FIDO2Standard für starke Authentifizierung mittels kryptografischem Hardware-Schlüssel, phishing-resistent. (YubiKey, Nitrokey) für die kritischsten Konten. FIDO2 hat einen strukturellen Vorteil: Es widersteht nativ dem Phishing, weil der Schlüssel die Domain kryptografisch prüft. Ein Angreifer, der Ihre Nummer und Ihr Passwort hat, kann ohne den physischen Schlüssel immer noch nichts tun.

Schritt 2 — Eine Port-out-PIN beim Anbieter setzen. Die großen Anbieter im deutschsprachigen Raum (Telekom, Vodafone, O2, in der Schweiz Swisscom, in Österreich A1) bieten alle einen Sicherheitscode oder ein Kontopasswort an, das für jede sensible Manipulation, darunter SIM-Wechsel und Port-out, verlangt werden soll. Das ist schlecht dokumentiert, oft in den Kontoeinstellungen vergraben, aber es existiert. Das ist kein ausreichender Schutz — eine PIN lässt sich über den physischen Shop, das Notfallverfahren „PIN vergessen” oder einen Insider umgehen —, aber es ist eine zusätzliche Hürde, die den opportunistischen Angreifer ausschaltet. Wählen Sie einen nicht erratbaren Code (niemals Ihr Geburtsdatum oder die letzten Ziffern Ihrer Nummer), speichern Sie ihn in Ihrem Passwortmanager, und betrachten Sie ihn nie als Ihre Hauptverteidigungslinie.

Schritt 3 — Die Exposition Ihrer Nummer reduzieren. Jeder Ort, an dem Ihre Nummer erscheint, ist ein Pivotpunkt für OSINT: E-Mail-Signaturen, LinkedIn-Profil, Kleinanzeigen, Mitfahr-Formulare. Für Hochrisikoprofile ist die radikale Maßnahme eine dedizierte, nicht öffentliche Nummer, die nur Ihren kritischen Diensten bekannt ist — eine zweite eSIM genügt. Der Angriff zielt auf die Nummer, die er kennt; wenn Ihre sensiblen Konten an eine Nummer gebunden sind, die er nicht kennt, bricht die Angriffsfläche zusammen.

Ein Wort zur eSIM, oft als Wundermittel dargestellt: Sie ist es nicht. Die eSIMIntegrierte und umprogrammierbare SIM-Karte, die mehrere Anbieterprofile unterstützt. eliminiert das physische Klonen einer Karte und fügt eine leichte Hürde beim Transfer auf ein neues Endgerät hinzu. Aber der Hauptvektor — das Social Engineering beim Kundenservice, um ein Port-out auszulösen — funktioniert bei einem eSIM-Anschluss genau gleich. Es ist eine marginale Verbesserung, keine Abwehr.

Schritt 4 — Den Reaktionsplan schreiben, bevor man ihn braucht. Die Verteidigung endet nicht bei der Prävention: Ein erfolgreiches SIM-Swapping muss gemanagt werden, und die Reihenfolge der Aktionen bestimmt das Ausmaß des Schadens. Der Plan passt auf eine Seite, und er muss von einem anderen Gerät als dem potenziell kompromittierten Telefon einsehbar sein. Wenn Sie das Netz verlieren und den Angriff vermuten, ist die Abfolge die folgende. Zuerst: den Anbieter von einem anderen Anschluss aus anrufen (Festnetz, Telefon eines Angehörigen, beruflicher Anschluss), um die sofortige Sperrung der Nummer und die Stornierung des Port-out zu verlangen. Dann: die Passwörter der kritischen Konten von einem sauberen Gerät aus ändern, beginnend mit der Haupt-Mailbox — der Wurzel. Dann: die jüngste Aktivität prüfen bei Bank und E-Mail, um zu erfassen, was im Fenster getan wurde. Die Bank ausdrücklich benachrichtigen über die Kompromittierung der mit dem Konto verknüpften Nummer, was ihre Haftung für die betrügerischen Vorgänge auslöst. Anzeige erstatten, nützlich für die Versicherung und für jeden späteren Bankstreit. Schließlich: die kompromittierte Nummer nicht für MFA wiederverwenden, solange die Migration zu TOTP oder FIDO2 nicht abgeschlossen ist. Ein Wachsamkeitspunkt: Solange der Anbieter nicht bestätigt hat, dass Sie die Kontrolle über den Anschluss zurückerlangt haben, gehen Sie davon aus, dass jede vom Telefon oder über die Nummer durchgeführte Aktion vom Angreifer beobachtet werden kann.

Dieser Plan erscheint kalt gelesen offensichtlich. Er ist es nicht mehr um 3 Uhr morgens, in Panik, ohne Netz, auf der Suche nach der Nummer seines Anbieters auf einem fremden Gerät. Genau deshalb wird er im Voraus geschrieben und dort abgelegt, wo er ohne das Telefon gefunden wird — ein verschlüsseltes Dokument im Passwortmanager, abrufbar auf einem anderen Gerät, oder ein Papierzettel an einem bekannten Ort.

Was das konkret bedeutet

Angle de lecture

Für Sie als Privatperson

Sie haben höchstwahrscheinlich mindestens ein kritisches Konto — Ihre Bank, Ihr Postfach —, das Ihnen einen Code per SMS schickt, um sich anzumelden oder eine Operation zu bestätigen. Das ist genau der Hebel, den ein SIM-Swapping ausnutzt. Drei Aktionen, diese Woche machbar, für weniger als 200 €.

  1. Setzen Sie noch heute eine Port-out-PIN bei Ihrem Anbieter — Melden Sie sich in Ihrem Kundenbereich an (Telekom, Vodafone, O2 bieten es alle an, es ist nur schlecht hervorgehoben), suchen Sie nach „Sicherheitscode”, „Kundenkennwort” oder „Sicherheit”. Aktivieren Sie ihn mit einem nicht erratbaren Code und notieren Sie ihn in Ihrem Passwortmanager. Kosten: 0 €, zehn Minuten.

  2. Entfernen Sie die SMS von Ihrer E-Mail und Ihrer Bank — Installieren Sie eine lokale TOTP-App (Aegis auf Android, Ente Auth auf iPhone, kostenlos und Open Source). Aktivieren Sie das TOTP6-stelliger Code, der alle 30 Sekunden von einer App (Google Authenticator, Authy usw.) generiert wird. auf Ihrer Haupt-Mailbox, dann auf Ihrer Bank, wenn sie es erlaubt. Deaktivieren Sie anschließend die SMS als Rückfallmethode — das ist der Schritt, den die Leute vergessen, und der, der am meisten zählt. Kosten: 0 €.

  3. Kaufen Sie einen FIDO2-Schlüssel für Ihre Haupt-E-Mail — Ein YubiKey oder ein Nitrokey kostet 30 bis 60 €. Nehmen Sie zwei (einen Hauptschlüssel, einen Ersatzschlüssel anderswo verstaut), registrieren Sie sie auf Ihrer Mailbox und Ihrem Passwortmanager. FIDO2Standard für starke Authentifizierung mittels kryptografischem Hardware-Schlüssel, phishing-resistent. ist die einzige Methode, die dem Phishing widersteht: Selbst mit Ihrer Nummer und Ihrem Passwort ist der Angreifer blockiert. Kosten: 60 bis 120 €.

Für Sie als CISO / IT-Leitung / Geschäftsführung

Wenn Ihre Organisation noch SMS als Authentifizierungsfaktor für sensible Zugriffe nutzt, operieren Sie mit einem seit 2017 formell dokumentierten Risiko. Das ist keine Beratermeinung: Es steht im NIST SP 800-63B.

1. SMS ist ein dokumentiertes Risiko, also ist jede Migration rechtfertigbar. Das NISTAmerikanisches Institut, das Referenzstandards für Cybersicherheit veröffentlicht (CSF, SP 800-*). stuft SMS seit 2017 als nicht empfohlenen Faktor (restricted) ein. Sie müssen kein fragiles Business Case bauen, um auf TOTP6-stelliger Code, der alle 30 Sekunden von einer App (Google Authenticator, Authy usw.) generiert wird. oder FIDO2Standard für starke Authentifizierung mittels kryptografischem Hardware-Schlüssel, phishing-resistent. umzustellen: Sie dokumentieren eine Risikoreduktion, ausgerichtet an einem anerkannten Rahmenwerk, was Ihre Haftung absichert und die Budgetabwägung beschleunigt. Direkte Konsequenz: Die MFA-Migration ist nicht länger ein „Komfort”-Projekt, sondern wird zu einer Compliance-Maßnahme, die im Vorstand und im Audit vertretbar ist.

2. Ihre exponierten Führungskräfte sind individuelle Ziele, nicht Ihr IT-Perimeter. Ein SIM-Swapping auf der privaten Nummer Ihres Finanzchefs löst keinen Alarm auf Ihrem EDR, Ihrem SIEM oder Ihrem SOC aus. Der Angriff spielt sich bei seinem Anbieter ab, auf seinem privaten Anschluss, und mündet in ein Social EngineeringMenschliche Manipulation zur Gewinnung von Informationen oder Aktionen, unter Umgehung technischer Abwehr. gegen Ihre Teams (gefälschte Überweisungsanweisungen, CEO-Betrug). Direkte Konsequenz: Ihr Programm muss die Schlüsselpersonen (Vorstand, Finanzen, Recht, M&A) als eigenständige Angriffsfläche behandeln, mit einem Out-of-Band-Validierungsprotokoll für jede finanzielle oder ungewöhnliche Anfrage.

3. Die Rufnummernportabilität ist ein Recht, das schnell sein soll — gegen Sie. Das Port-out wird zur Förderung des Wettbewerbs gesetzlich begünstigt; seine Schnelligkeit ist eine konstruktionsbedingte Lücke, und keine anbieterseitige Härtung beseitigt den Insider-Faktor. Direkte Konsequenz: Setzen Sie Ihre Authentifizierungsarchitektur nicht auf die Sicherheit der Anbieter. Gestalten Sie sie so, dass eine kompromittierte Nummer keinen Zugang öffnet — FIDO2 auf den kritischen Konten, SMS aus den Wiederherstellungskanälen verbannt, dedizierte nicht öffentliche Nummern für die sensiblen Funktionen.

Fehler, die man ständig sieht

  • Die SMS auf der Haupt-Mailbox behalten. Das ist die fatale Kombination: Ihre E-Mail ist die Wurzel aller Zurücksetzungen, sie per SMS zu schützen kommt dem gleich, einen Tresor mit einem Fahrradschloss zu sichern.
  • Glauben, eine Port-out-PIN genüge. Sie erschwert dem opportunistischen Angreifer das Leben, sie schützt weder vor dem physischen Shop noch vor dem Verfahren „PIN vergessen” noch vor dem Insider. Es ist eine Schicht, kein Bollwerk.
  • Die eSIM mit einem Schutz verwechseln. Sie verhindert das physische Klonen, lässt aber den Social-Engineering-Vektor unangetastet, der das wahre Problem ist.
  • Keinen Incident-Plan haben, der ohne das Telefon zugänglich ist. Wenn Sie um 3 Uhr morgens das Netz verlieren, wollen Sie nicht die Nummer Ihres Anbieters suchen. Der Plan muss geschrieben und von einem anderen Gerät einsehbar sein.
  • Seine Nummer überall herumliegen lassen. E-Mail-Signatur, LinkedIn, Kleinanzeigen: Jedes Vorkommen ist ein Ausgangspunkt für das OSINT, das den Angriff speist.
  • Migrieren ohne zu validieren. Die SMS deaktivieren, bevor man bestätigt hat, dass das TOTP oder der FIDO2-Schlüssel funktioniert, und sich ausgesperrt wiederfinden.

Umsetzbare Checkliste

  • N1 Alle kritischen Konten identifizieren, die SMS als MFA oder Wiederherstellungskanal nutzen
  • N1 Die SMS von der Haupt-E-Mail entfernen: lokales TOTP aktivieren, dann die SMS-Rückfallmethode deaktivieren
  • N1 Eine Port-out-PIN / ein Kontopasswort bei seinem Mobilfunkanbieter setzen
  • N2 Bank und Passwortmanager auf lokales TOTP migrieren (Aegis, Ente Auth)
  • N2 Seine Telefonnummer aus den öffentlichen Profilen entfernen (LinkedIn, E-Mail-Signatur, Anzeigen)
  • N2 Einen SIM-Swapping-Incident-Plan dokumentieren: wen anrufen, in welcher Reihenfolge sperren, ohne das Telefon zugänglich
  • N3 Zwei FIDO2-Schlüssel auf der Haupt-E-Mail und dem Passwortmanager bereitstellen (einen primär, einen getrennten Backup)
  • N3 Eine dedizierte nicht öffentliche Nummer (zweite eSIM) eröffnen, reserviert für die kritischen Konten
  • N3 Für eine Organisation: den Anteil sensibler Konten noch in SMS auditieren und 0 % auf den kritischen Zugriffen anstreben

Zum Weiterlesen

Die intern zu zitierende Referenz, um eine Migration zu begründen, ist das NIST SP 800-63B, das SMS seit 2017 als Authentifizierungsfaktor nicht empfiehlt — ein solider regulatorischer Stützpunkt. In Deutschland liefert das BSI mit seinen Empfehlungen zur Sicherheit bei Mobilgeräten und Mobilfunk den nationalen Bezugsrahmen. Die Princeton-Studie (2020) dokumentiert experimentell das Versagen der Anbieterverfahren, und die IC3-Warnung des FBI (2022) beziffert die Explosion des Phänomens. Aus der Praxis verfolgt die SIM-Swapping-Serie von Krebs on Security seit Jahren die realen Fälle und Festnahmen. All diese Quellen stehen im Frontmatter dieses Artikels.

Für die logische Fortsetzung siehe MFA: Warum Ihre Google-Authenticator-App Sie verrät zur realen Hierarchie der Faktoren, und Defensives OSINT, um den öffentlichen Fußabdruck zu reduzieren, der diese Angriffe speist.

Quellen und weiterführende Literatur

Verwandte Artikel