Wie lässt sich SIM-Swapping verhindern und die private Mobilfunknummer wirksam vor Betrug schützen

SIM-Swapping verhindern heißt, nicht nur die SIM-Karte, sondern die gesamte Kette aus Mobilfunkvertrag, Kundenkonto, E-Mail-Adresse und Wiederherstellungswegen abzusichern, berichtet techify.de. Bei einem erfolgreichen Angriff übernimmt ein Täter die Rufnummer des Opfers, empfängt Anrufe und SMS-Codes und kann damit E-Mail-, Zahlungs-, Messenger- oder Social-Media-Konten zurücksetzen.

Der Angriff beginnt häufig lange vor dem eigentlichen Kartentausch. Kriminelle sammeln persönliche Daten, erbeuten Zugangsdaten durch Phishing oder manipulieren den Kundenservice eines Mobilfunkanbieters. Besonders gefährdet sind Konten, bei denen die Mobilfunknummer gleichzeitig als Benutzername, Wiederherstellungsweg und zweiter Faktor dient.

Was SIM-Swapping ist und wie der Angriff abläuft

Beim SIM-Swapping wird die Mobilfunknummer eines Opfers auf eine andere SIM-Karte oder ein fremdes eSIM-Profil übertragen. Die bisherige SIM verliert anschließend meist plötzlich die Verbindung zum Mobilfunknetz. Der Täter kann nun SMS empfangen, Anrufe annehmen und versuchen, über die Funktion „Passwort vergessen“ weitere Konten zu übernehmen.

Für den Angriff muss die physische SIM-Karte nicht gestohlen werden. Häufig reichen kompromittierte Zugangsdaten zum Online-Kundenkonto, gefälschte Dokumente oder glaubwürdig klingende Angaben gegenüber einem Servicemitarbeiter. Je mehr persönliche Informationen öffentlich zugänglich sind, desto leichter lässt sich eine angebliche Identitätsprüfung bestehen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beschreibt das Kernrisiko eindeutig: „SIM-Swapping ist besonders gefährlich, wenn die Opfer ihre Mobilfunknummer über smsTAN-Verfahren als Zugangsfaktor verwenden.“ Gemeint sind nicht nur Bankkonten. Auch E-Mail-Dienste, Messenger, Handelsplattformen und soziale Netzwerke setzen teilweise weiterhin auf SMS-Codes.

Ein typischer Angriff verläuft in mehreren Stufen:

1. Der Täter beschafft Name, Rufnummer, Adresse, Geburtsdatum oder Vertragsinformationen.
2. Zugangsdaten werden durch Phishing, Schadsoftware oder wiederverwendete Passwörter erlangt.
3. Der Täter beantragt eine Ersatz-SIM, eSIM oder Rufnummernübertragung.
4. Die echte SIM des Opfers verliert Netzempfang.
5. SMS-Codes und Rücksetzlinks werden abgefangen.
6. E-Mail-, Zahlungs- oder Social-Media-Konten werden übernommen.
7. Passwörter, Wiederherstellungsdaten und Sicherheitsoptionen werden geändert.
8. Anschließend folgen Überweisungen, Identitätsmissbrauch oder Erpressungsversuche.

Die Mobilfunknummer ist deshalb kein isoliertes Kommunikationsmittel. Sie ist bei vielen Diensten ein Generalschlüssel für die Kontowiederherstellung.

Warum SMS-Codes allein keinen ausreichenden Schutz bieten

Eine SMS-basierte Zwei-Faktor-Authentifizierung ist sicherer als ein Konto, das nur durch ein Passwort geschützt wird. Sie bleibt jedoch an die Kontrolle über die Mobilfunknummer gekoppelt. Wird die Nummer übertragen, landet der Sicherheitscode nicht mehr beim rechtmäßigen Nutzer.

Auch das Bundesamt für Sicherheit in der Informationstechnik weist darauf hin, dass per SMS übermittelte Faktoren keinen zuverlässigen Schutz gegen alle Phishing-Angriffe bieten. Bei einem Echtzeitangriff kann ein Täter Passwort und Code unmittelbar weiterleiten. Beim SIM-Swapping wird der Code sogar direkt auf dem vom Täter kontrollierten Gerät empfangen.

Für wichtige Konten sollte SMS-2FA daher nur noch als Übergangslösung oder zusätzlicher Wiederherstellungsweg dienen. Welche Alternativen besser geeignet sind, zeigt der Vergleich zur Einrichtung der Zwei-Faktor-Authentifizierung mit App, Passkey oder Sicherheitsschlüssel.

Anmeldemethode	Schutz vor Passwortdiebstahl	Risiko durch SIM-Swapping	Empfehlung
Nur Passwort	niedrig	kein direktes SIM-Risiko, aber leicht angreifbar	nicht ausreichend
Passwort und SMS-Code	mittel	hoch	nur als Übergang oder Reserve
Authenticator-App	hoch	gering	guter Standard für Privatkonten
Bestätigung über geschützte App	hoch	gering	sicher, wenn Anfragen geprüft werden
Passkey	sehr hoch	sehr gering	für unterstützte Konten bevorzugen
Hardware-Sicherheitsschlüssel	sehr hoch	sehr gering	für besonders wichtige Konten

SIM-Swapping verhindern: Schutz direkt beim Mobilfunkanbieter

Der wichtigste Schutz beginnt im Kundenkonto des Mobilfunkanbieters. Ein Täter darf eine Ersatz-SIM oder eSIM nicht allein mit Daten bestellen können, die sich aus sozialen Netzwerken, alten Rechnungen oder Datenlecks zusammensetzen lassen. Kunden sollten deshalb prüfen, welche Sicherheitsoptionen ihr Anbieter für Kartenwechsel, Vertragsänderungen und Rufnummernmitnahme bereitstellt.

Ein starkes Passwort für das Providerkonto ist Pflicht. Es darf weder für E-Mail noch für Shopping-, Cloud- oder Social-Media-Konten wiederverwendet werden. Soweit verfügbar, sollte auch beim Mobilfunkanbieter eine Zwei-Faktor-Authentifizierung aktiviert werden.

Zusätzlich kann eine Kundenkennzahl, Service-PIN oder ein individuelles Kundenpasswort verlangt werden. Diese Kennung sollte nicht aus dem Geburtsdatum, der Postleitzahl oder leicht erratbaren Zahlen bestehen. Einige Anbieter erlauben besondere Sperrvermerke oder zusätzliche Prüfungen vor einer Rufnummernportierung. Die konkreten Möglichkeiten unterscheiden sich jedoch nach Unternehmen und Tarif.

Diese Einstellungen sollten Kunden kontrollieren

• Ein einzigartiges Passwort für das Online-Kundenkonto verwenden.
• Zwei-Faktor-Authentifizierung beim Anbieter einschalten, sofern vorhanden.
• Kundenkennzahl oder Service-PIN neu festlegen.
• Hinterlegte E-Mail-Adresse und Postanschrift prüfen.
• Unbekannte Zusatzkarten, MultiSIMs und eSIM-Profile entfernen.
• Benachrichtigungen über Vertrags- und SIM-Änderungen aktivieren.
• Prüfen, ob eine Portierungssperre oder zusätzliche Identitätsprüfung möglich ist.
• Rechnungen und Vertragsdaten nicht ungeschützt in E-Mail-Postfächern aufbewahren.
• Alte Kundenkonten nach einem Anbieterwechsel schließen.
• Hotline und Sperrnummer des Anbieters außerhalb des Smartphones speichern.

Bei verdächtigen Nachrichten sollte die Hotline niemals über eine Nummer aus der erhaltenen SMS angerufen werden. Die Verbraucherzentrale empfiehlt, die offizielle Servicenummer auf einer Rechnung, der SIM-Verpackung oder der Webseite des Anbieters zu verwenden.

Schützt eine Portierungssperre vor jedem Angriff

Eine Portierungssperre kann erschweren, dass die Rufnummer zu einem anderen Anbieter übertragen wird. Sie verhindert jedoch nicht automatisch jede Ausstellung einer Ersatzkarte oder eines zusätzlichen eSIM-Profils innerhalb desselben Vertrags. Beide Vorgänge müssen getrennt betrachtet werden.

Kunden sollten ihren Anbieter deshalb konkret fragen:

• Welche Prüfung erfolgt bei einer Ersatz-SIM?
• Ist für eine eSIM-Aktivierung ein zusätzlicher Code erforderlich?
• Werden Änderungen per E-Mail oder auf einem zweiten Kanal bestätigt?
• Kann eine sofortige Portierung technisch blockiert werden?
• Wie lässt sich eine unbekannte MultiSIM sperren?
• Welche Unterlagen werden bei einer telefonischen Bestellung verlangt?
• Gibt es eine Verzögerungsfrist vor der Aktivierung?

Eine pauschale Aussage, dass eine einzelne Sperre jeden SIM-Swap verhindert, wäre falsch. Entscheidend ist die Kombination aus sicherem Kundenkonto, zusätzlicher Identitätsprüfung und schneller Benachrichtigung.

Mobilfunknummer aus Konten und öffentlichen Profilen entfernen

Je häufiger eine Mobilfunknummer im Internet veröffentlicht wird, desto leichter kann sie einer konkreten Person zugeordnet werden. Besonders problematisch sind öffentlich sichtbare Telefonnummern in sozialen Netzwerken, Kleinanzeigen, Branchenverzeichnissen und alten Kontaktseiten.

Eine öffentlich bekannte Nummer führt nicht automatisch zu einem SIM-Swap. Sie erleichtert jedoch die Vorbereitung. Täter können die Nummer mit Name, Arbeitgeber, E-Mail-Adresse, Geburtsdatum oder bekannten Dienstleistern kombinieren. Daraus entstehen glaubwürdige Phishing-Nachrichten und überzeugende Geschichten für den Kundenservice.

Private und geschäftliche Kommunikation sollten nach Möglichkeit getrennt werden. Eine Nummer, die öffentlich für Kunden oder Anzeigen genutzt wird, sollte nicht zugleich der zentrale Wiederherstellungsweg für E-Mail, Banking und Cloud-Dienste sein.

Sinnvolle Maßnahmen sind:

1. Öffentliche Profile nach der eigenen Rufnummer durchsuchen.
2. Alte Anzeigen und Verzeichniseinträge löschen.
3. Telefonnummern in sozialen Netzwerken auf „nur ich“ oder „Kontakte“ stellen.
4. Die Hauptnummer nicht für Gewinnspiele und kostenlose Testangebote nutzen.
5. Für öffentliche Kontakte eine getrennte Geschäftsnummer einsetzen.
6. Bei sensiblen Konten eine alternative Wiederherstellungsmethode hinterlegen.
7. Rufnummern nicht als öffentlich sichtbaren Benutzernamen verwenden.
8. Vertragsunterlagen nicht als Foto in Messenger-Chats versenden.

Die Bundesnetzagentur empfiehlt grundsätzlich, Telefonnummern nur gezielt an seriöse Vertragspartner weiterzugeben und zu prüfen, zu welchem Zweck sie erhoben werden.

Online-Konten gegen die Übernahme nach einem SIM-Swap schützen

Ein Mobilfunkvertrag allein ist selten das eigentliche Ziel. Täter wollen meist das E-Mail-Konto erreichen, weil darüber Passwörter zahlreicher anderer Dienste zurückgesetzt werden können. Danach folgen häufig Banking, Zahlungsdienste, Kryptobörsen, soziale Netzwerke, Cloud-Speicher und Messenger.

Das wichtigste E-Mail-Konto sollte daher stärker geschützt sein als weniger bedeutende Zugänge. Ein langes, einzigartiges Passwort gehört ebenso dazu wie eine phishingresistente Anmeldung. Die Mobilfunknummer sollte nicht der einzige Wiederherstellungsweg sein.

Wer Google-Dienste verwendet, sollte Geräte, Sitzungen, Drittanbieterzugriffe und Wiederherstellungsdaten regelmäßig prüfen. Eine konkrete Anleitung bietet der Beitrag zum Absichern eines Google-Kontos mit Passkeys, 2FA und Geräteprüfung.

Sicherheitsreihenfolge für wichtige Konten

Priorität	Konto oder Dienst	Warum besonders wichtig	Geeigneter Schutz
1	Haupt-E-Mail-Adresse	setzt Passwörter anderer Konten zurück	Passkey oder Sicherheitsschlüssel
2	Mobilfunk-Kundenkonto	kontrolliert SIM, eSIM und Vertragsdaten	eigenes Passwort, 2FA, Service-PIN
3	Passwortmanager	enthält Zugangsdaten und Notizen	starkes Master-Passwort, Hardware-Key
4	Bank und Zahlungsdienste	unmittelbares finanzielles Risiko	Banking-App, sichere TAN-Methode
5	Apple-, Google- oder Microsoft-Konto	steuert Geräte, Backups und Passkeys	Passkey, Geräteprüfung, Recovery-Codes
6	Messenger und soziale Netzwerke	Identitätsmissbrauch und Betrugsnachrichten	App-PIN, 2FA, Sitzungsprüfung
7	Handelsplattformen	gespeicherte Zahlungsdaten und Bestellungen	App-2FA, Bestellwarnungen

Passkeys und Sicherheitsschlüssel statt SMS einsetzen

Passkeys basieren auf kryptografischen Schlüsselpaaren. Der private Schlüssel bleibt auf dem Gerät oder in einem geschützten Passwortmanager. Ein Angreifer kann ihn nicht durch die Übernahme einer Telefonnummer empfangen.

Passkeys sind zudem an den echten Dienst gebunden. Eine gefälschte Loginseite kann deshalb nicht einfach ein wiederverwendbares Passwort oder einen SMS-Code abfangen. Der Beitrag Passwortlos anmelden mit Passkeys erklärt Einrichtung, Wiederherstellung und Risiken im Detail.

Für Administratoren, Redaktionen, Finanzkonten und öffentlich bekannte Personen können physische Sicherheitsschlüssel sinnvoll sein. Mindestens zwei Schlüssel sollten registriert werden: einer für den täglichen Einsatz und ein zweiter als sicher gelagerte Reserve.

Folgende Reihenfolge ist praktikabel:

• Passkey aktivieren, wenn der Dienst ihn unterstützt.
• Alternativ eine Authenticator-App verwenden.
• Für Hochrisikokonten einen Hardware-Schlüssel registrieren.
• Wiederherstellungscodes offline sichern.
• Ein zweites vertrauenswürdiges Gerät hinzufügen.
• SMS nur als Reserve behalten, sofern sie nicht vollständig deaktiviert werden kann.
• Nach der Umstellung alle Anmeldewege testen.
• Alte Geräte und unbekannte Sitzungen entfernen.

Phishing liefert häufig die Daten für den SIM-Swap

Viele Angriffe beginnen mit einer gefälschten Mobilfunkrechnung, einer angeblichen eSIM-Aktivierung oder einer Nachricht über die Sperrung des Anschlusses. Der Link führt auf eine nachgebaute Loginseite. Dort eingegebene Zugangsdaten werden unmittelbar an die Täter übertragen.

Auch Anrufe spielen eine Rolle. Betrüger geben sich als Mitarbeiter eines Providers, einer Bank oder eines Zahlungsdienstes aus. Sie behaupten, ein Sicherheitsproblem beheben zu müssen, und verlangen Kundenkennzahl, SMS-Code oder persönliche Vertragsdaten.

Kein seriöser Mitarbeiter benötigt einen vollständigen Sicherheitscode, um eine angeblich verdächtige Transaktion zu stoppen.

Eine Übersicht aktueller Warnsignale enthält die Anleitung zum Erkennen von Phishing-Mails, gefälschten Domains und gefährlichen QR-Codes.

Typische Warnzeichen sind:

• angebliche SIM-Sperre mit extrem kurzer Frist;
• unerwartete Nachricht über ein neues eSIM-Profil;
• Aufforderung zur „Bestätigung“ der Rufnummer;
• Link zu einer fremden oder leicht veränderten Domain;
• Anruf mit der Bitte, einen SMS-Code vorzulesen;
• angebliche Rückerstattung oder Tarifgutschrift;
• Forderung nach Ausweisfoto oder Vertragsnummer per Messenger;
• unerwartete Portierungsbestätigung;
• QR-Code für eine vermeintliche Sicherheitsprüfung;
• Nachricht über eine neue MultiSIM, die nicht bestellt wurde.

Woran Betroffene einen laufenden SIM-Swap erkennen

Das auffälligste Signal ist ein plötzlicher Verlust der Mobilfunkverbindung. Das Smartphone zeigt „Kein Netz“, „Nur Notrufe“ oder eine deaktivierte SIM, obwohl andere Geräte am selben Ort Empfang haben. Ein technischer Ausfall ist möglich, doch zusammen mit weiteren Warnsignalen muss von einem Sicherheitsvorfall ausgegangen werden.

Weitere Hinweise sind Benachrichtigungen über eine Ersatzkarte, eine neue eSIM oder geänderte Vertragsdaten. Auch unerwartete Passwort-Reset-Mails und Login-Warnungen können auf einen laufenden Angriff hindeuten.

Besonders kritisch ist diese Kombination:

Beobachtung	Mögliche Ursache	Dringlichkeit
Mobilfunknetz fällt plötzlich aus	SIM deaktiviert oder übertragen	sehr hoch
Unbekannte eSIM-Bestätigung	fremdes Profil aktiviert	sehr hoch
SMS über Rufnummernmitnahme	Portierung beantragt	sehr hoch
Passwort-Reset für E-Mail	Täter versucht Kontoübernahme	sehr hoch
Unbekannte Bankanmeldung	finanzieller Angriff möglich	sehr hoch
Einzelne SMS kommt verspätet	Netzproblem oder Filter	mittel
Nur mobile Daten funktionieren nicht	APN- oder Netzstörung möglich	zunächst prüfen

Ein Neustart des Smartphones kann einen normalen Netzfehler ausschließen. Bleibt die SIM in mehreren Geräten ohne Verbindung, sollte sofort der Provider kontaktiert werden. Dabei muss ein anderes Telefon oder ein Internetzugang verwendet werden.

Sofortmaßnahmen bei Verdacht auf SIM-Swapping

Bei einem laufenden Angriff zählt die Reihenfolge. Zuerst muss die fremde SIM oder eSIM deaktiviert werden. Danach werden die wichtigsten Konten gesichert. Wer zunächst wahllos Passwörter ändert, während der Täter weiterhin SMS und Rücksetzlinks empfängt, kann die Kontrolle erneut verlieren.

Notfallplan in den ersten 30 Minuten

1. Mobilfunkanbieter über die offizielle Sperrhotline kontaktieren.
2. Alle aktiven SIM-, eSIM- und MultiSIM-Profile sperren lassen.
3. Kundenkonto und Rufnummernportierung vorläufig blockieren.
4. Nach Zeitpunkt, Kanal und Empfänger der Kartenbestellung fragen.
5. Haupt-E-Mail-Konto über ein sauberes Gerät sichern.
6. Unbekannte Sitzungen und Geräte abmelden.
7. Passwort und Wiederherstellungsoptionen ändern.
8. Bank und Zahlungsdienste telefonisch informieren.
9. SMS-basierte Wiederherstellung nach Möglichkeit deaktivieren.
10. Messenger, soziale Netzwerke und Handelskonten kontrollieren.
11. Beweise wie E-Mails, SMS und Uhrzeiten sichern.
12. Bei finanziellen Schäden Strafanzeige erstatten.

Die Sperrung der SIM beendet nicht automatisch aktive Websitzungen. Ein Täter kann bereits in einem E-Mail- oder Social-Media-Konto angemeldet sein. Deshalb müssen Sitzungen separat beendet und App-Passwörter, Weiterleitungen sowie verbundene Anwendungen geprüft werden.

Welche Konten zuerst gesichert werden müssen

Die Haupt-E-Mail-Adresse steht an erster Stelle. Danach folgen Passwortmanager, Apple-, Google- oder Microsoft-Konto, Bankzugänge und Zahlungsdienste. Anschließend werden Messenger und soziale Netzwerke kontrolliert.

Im E-Mail-Konto sollten Betroffene besonders prüfen:

• unbekannte Weiterleitungsadressen;
• neu angelegte Filterregeln;
• geänderte Wiederherstellungsdaten;
• fremde Geräte und Browser;
• neue App-Passwörter;
• delegierte Postfachzugriffe;
• gelöschte Sicherheitswarnungen;
• unbekannte Passkeys oder Sicherheitsschlüssel.

Bei WhatsApp, Signal, Telegram und ähnlichen Diensten müssen aktive Sitzungen und verbundene Geräte kontrolliert werden. Kontakte sollten gewarnt werden, falls bereits betrügerische Nachrichten über das eigene Konto versendet wurden.

Wo Betroffene in Deutschland Hilfe finden

Der erste Ansprechpartner ist der eigene Mobilfunkanbieter. Die Sperrhotline sollte bereits vor einem Vorfall notiert werden. Bei einer unberechtigten Portierung oder Problemen mit dem Anbieter können Verbraucher außerdem das Kontaktformular des Kundenschutzes Telekommunikation der Bundesnetzagentur nutzen.

Bei kompromittierten Bank- oder Zahlungskonten muss die Bank unmittelbar über die offizielle Notfallnummer informiert werden. Karten können in Deutschland zusätzlich über den Sperr-Notruf 116 116 gesperrt werden, sofern das jeweilige Institut angeschlossen ist.

Eine Strafanzeige kann bei jeder Polizeidienststelle erstattet werden. Einige Bundesländer bieten außerdem Onlinewachen an. Beweismittel sollten nicht gelöscht werden, bevor Screenshots, E-Mails, Transaktionsdaten und Zeitpunkte gesichert wurden.

Geeignete Anlaufstellen sind:

• Mobilfunkanbieter für SIM-, eSIM- und Vertragskontosperren;
• Bank oder Zahlungsdienst bei Abbuchungen und Überweisungen;
• Bundesnetzagentur bei Problemen mit Rufnummern und Telekommunikationsanbietern;
• Verbraucherzentrale für rechtliche und praktische Erstinformationen;
• Polizei bei Identitätsmissbrauch, Kontodiebstahl oder finanziellem Schaden;
• BSI-Bürgerinformationen für technische Sicherheitsmaßnahmen;
• Support des betroffenen E-Mail-, Cloud- oder Social-Media-Dienstes.

Wie Unternehmen und Selbstständige geschäftliche Rufnummern schützen

Geschäftliche Rufnummern sind besonders häufig öffentlich. Sie stehen im Impressum, in Verzeichnissen, auf Rechnungen und in sozialen Netzwerken. Gleichzeitig werden sie oft für Administratorzugänge, Werbekonten, Zahlungsdienste oder Cloud-Plattformen verwendet.

Unternehmen sollten öffentlich bekannte Rufnummern nicht als einzigen zweiten Faktor für kritische Systeme einsetzen. Administratoren benötigen phishingresistente Verfahren wie Passkeys oder Hardware-Sicherheitsschlüssel. Änderungen an Mobilfunkverträgen sollten nach dem Vier-Augen-Prinzip geprüft werden.

Eine interne Richtlinie sollte mindestens festlegen:

• wer Ersatz-SIMs bestellen darf;
• welche Identitätsprüfung intern erforderlich ist;
• welche Rufnummern öffentlich verwendet werden;
• welche Konten SMS-2FA noch nutzen;
• wie Geräteverlust gemeldet wird;
• wie eSIM-Profile dokumentiert werden;
• wer bei einem Angriff Provider und Bank kontaktiert;
• wo Recovery-Codes und Reserveschlüssel liegen;
• wie ehemalige Mitarbeiter aus Verträgen und Konten entfernt werden;
• wann ein Datenschutzvorfall geprüft und gemeldet werden muss.

Bei Firmenverträgen sollten Anbieteränderungen, neue SIM-Profile und Portierungsanträge zentral protokolliert werden. Eine Warnung an nur eine einzelne E-Mail-Adresse reicht nicht aus, wenn genau dieses Postfach kompromittiert werden kann.

Checkliste: SIM-Swapping dauerhaft verhindern

Beim Mobilfunkanbieter

• Einzigartiges Passwort setzen.
• Service-PIN oder Kundenkennwort ändern.
• Zwei-Faktor-Authentifizierung aktivieren.
• Benachrichtigungen für Vertragsänderungen einschalten.
• Unbekannte SIM- und eSIM-Profile entfernen.
• Portierungsschutz erfragen.
• Sperrhotline offline notieren.

Bei Online-Konten

• Haupt-E-Mail-Adresse zuerst absichern.
• Passkeys oder Authenticator-App verwenden.
• Hardware-Schlüssel für wichtige Konten registrieren.
• SMS nicht als alleinigen Faktor nutzen.
• Recovery-Codes offline speichern.
• Telefonnummer als Wiederherstellungsweg reduzieren.
• Aktive Sitzungen regelmäßig prüfen.
• Unbekannte Geräte sofort abmelden.

Beim Umgang mit persönlichen Daten

• Telefonnummer nicht unnötig veröffentlichen.
• Vertragsdaten und Kundennummern vertraulich behandeln.
• Ausweiskopien nur zweckgebunden übermitteln.
• Sicherheitscodes niemals telefonisch weitergeben.
• Links aus Provider-SMS nicht ungeprüft öffnen.
• Öffentliche und private Rufnummern trennen.
• Alte Profile, Anzeigen und Kundenkonten löschen.

Häufige Fragen zu SIM-Swapping

Kann SIM-Swapping auch mit einer eSIM passieren?

Ja. Statt einer physischen Ersatzkarte kann ein Täter versuchen, ein neues eSIM-Profil für die Rufnummer aktivieren zu lassen. Entscheidend ist nicht das Kartenformat, sondern ob der Angreifer die Identitäts- und Sicherheitsprüfung des Anbieters umgehen kann.

Reicht eine SIM-PIN als Schutz aus?

Nein. Die SIM-PIN schützt eine vorhandene Karte vor der Nutzung in einem Gerät. Sie verhindert nicht, dass ein Angreifer beim Provider eine neue SIM oder eSIM für dieselbe Rufnummer bestellt.

Ist SMS-2FA völlig unsicher?

SMS-2FA ist besser als ein alleiniger Passwortschutz. Für wichtige E-Mail-, Finanz- und Administratorkonten sind Authenticator-Apps, Passkeys oder Hardware-Schlüssel jedoch widerstandsfähiger gegen SIM-Swapping.

Was bedeutet ein plötzlicher Netzausfall?

Ein Netzausfall kann technische Ursachen haben. Tritt er jedoch zusammen mit Nachrichten über eine neue SIM, eSIM oder Rufnummernportierung auf, muss der Anbieter sofort kontaktiert werden.

Muss nach einem SIM-Swap die Rufnummer gewechselt werden?

Nicht zwingend. Der Anbieter kann die fremde SIM sperren und die Nummer auf eine neue Karte zurückübertragen. Ein Nummernwechsel kann sinnvoll sein, wenn die Rufnummer dauerhaft öffentlich bekannt ist oder wiederholt missbraucht wird.

Soll die Telefonnummer aus allen Konten gelöscht werden?

Nicht pauschal. Sie kann als zusätzlicher Wiederherstellungsweg nützlich sein. Bei besonders wichtigen Konten sollte sie jedoch nicht der einzige zweite Faktor oder die einzige Möglichkeit zur Kontowiederherstellung bleiben.

Können Täter ohne Passwort ein Konto übernehmen?

Teilweise ja. Einige Dienste ermöglichen das Zurücksetzen eines Passworts über SMS oder kombinieren öffentlich bekannte Daten mit einem Einmalcode. Andere verlangen zusätzliche Prüfungen. Der Schutz hängt vom jeweiligen Wiederherstellungsprozess ab.

SIM-Swapping verhindern gelingt nicht durch eine einzelne Einstellung. Erforderlich ist eine Schutzkette aus gesichertem Providerkonto, Service-PIN, kontrollierten eSIM-Profilen, sparsamer Veröffentlichung der Rufnummer und phishingresistenter Anmeldung bei wichtigen Diensten.

Die höchste Priorität haben Haupt-E-Mail, Mobilfunk-Kundenkonto, Passwortmanager und Finanzzugänge. SMS-Codes sollten dort durch Authenticator-Apps, Passkeys oder Hardware-Sicherheitsschlüssel ersetzt werden. Bei plötzlichem Netzverlust, einer unbekannten eSIM oder unerwarteten Rücksetzmeldungen muss der Provider sofort kontaktiert werden.

Sie können dies und weitere nützliche Informationen auf unserer Website nachlesen. Wir empfehlen Ihnen außerdem die Lektüre folgender Artikel: Android WLAN verbunden, aber kein Internet: was wirklich hilft