SIM-Swapping Schutz: Handynummer absichern

Was ist SIM-Swapping und wie funktioniert es?

SIM-Swapping (auch SIM-Hijacking genannt) ist ein Angriff, bei dem ein Betrüger deinen Mobilfunkanbieter dazu bringt, deine Handynummer auf eine neue SIM-Karte zu übertragen — eine SIM-Karte, die der Angreifer kontrolliert.

Wie funktioniert der Angriff? Der Betrüger ruft bei deinem Mobilfunkanbieter an (oder nutzt einen Online-Kanal) und gibt sich als du aus. Er behauptet, sein Handy verloren zu haben oder eine neue SIM-Karte zu benötigen. Mit genug persönlichen Informationen (Name, Adresse, Geburtsdatum, Vertragsnummer) kann er den Kundenservice überzeugen, die Nummer auf eine neue SIM zu portieren.

Sobald die Portierung erfolgt ist, erhält der Angreifer alle SMS und Anrufe, die an deine Nummer gerichtet sind. Dein eigenes Telefon verliert gleichzeitig den Mobilfunkempfang. Der gesamte Vorgang kann innerhalb von Minuten abgeschlossen sein. Betrüger nutzen öffentlich verfügbare Informationen (Social Media, Handelsregister), Daten aus früheren Datenlecks (zu finden auf haveibeenpwned.com), oder sie kaufen die Daten im Darknet. Manchmal werden auch korrupte Mitarbeiter des Mobilfunkanbieters bestochen.

Warum SIM-Swapping für Krypto-Nutzer gefährlich ist

SIM-Swapping ist besonders für Krypto-Nutzer eine existenzielle Bedrohung, weil viele Sicherheitsmechanismen auf der Handynummer basieren:

SMS-basierte 2FA: Wenn du SMS als zweiten Faktor für dein Börsen-Konto nutzt, kann der Angreifer nach dem SIM-Swap den SMS-Code empfangen und sich einloggen. Hat er auch dein Passwort (z.B. aus einem Datenleck), hat er vollen Zugriff auf dein Konto.

Passwort-Reset: Viele Dienste bieten Passwort-Reset per SMS an. Der Angreifer kann damit das Passwort deiner E-Mail oder deines Börsen-Kontos zurücksetzen — selbst wenn er das ursprüngliche Passwort nicht kennt.

Reale Schäden: 2024 wurden allein in den USA über 350 Millionen Dollar durch SIM-Swapping-Angriffe auf Krypto-Nutzer gestohlen. In Deutschland und Europa ist die Angriffsmethode ebenfalls verbreitet. Das Problem ist die Geschwindigkeit: Zwischen dem SIM-Swap und der Leerung deines Börsen-Kontos können weniger als 30 Minuten liegen.

Besonders gefährdet: Krypto-Nutzer, die ihre Handynummer öffentlich teilen (z.B. auf Social Media, in Telegram-Bio, auf Visitenkarten), große Bestände auf Börsen mit SMS-2FA halten oder in der Vergangenheit von Datenlecks betroffen waren.

Schutzmaßnahmen: Carrier-PIN, eSIM und mehr

1. Portierungssperre beim Mobilfunkanbieter einrichten. Die wichtigste Maßnahme: Rufe deinen Mobilfunkanbieter an und fordere eine Portierungssperre an. Diese verhindert, dass deine Nummer ohne zusätzliche Identitätsprüfung (z.B. persönliche Vorstellung im Shop mit Ausweis) auf eine neue SIM übertragen werden kann. Die meisten deutschen Anbieter (Telekom, Vodafone, o2) bieten diese Option kostenlos an.

2. Kunden-PIN oder Passwort setzen. Richte beim Mobilfunkanbieter ein separates Kunden-Passwort oder eine PIN ein, die bei jeder Kontaktaufnahme abgefragt wird. Ohne dieses Passwort kann kein Mitarbeiter Änderungen an deinem Vertrag vornehmen.

3. Handynummer nicht öffentlich teilen. Entferne deine Handynummer aus Social-Media-Profilen, Telegram-Bios und öffentlichen Verzeichnissen. Je weniger Angreifer über dich wissen, desto schwieriger ist ein SIM-Swap.

4. Datenlecks prüfen. Überprüfe regelmäßig auf haveibeenpwned.com, ob deine Daten in einem Datenleck aufgetaucht sind. Wenn ja, ändere sofort die Passwörter der betroffenen Konten.

5. eSIM nutzen (wenn möglich). Eine eSIM ist physisch nicht portierbar. Einige Anbieter ermöglichen den Wechsel auf eSIM, was SIM-Swapping deutlich erschwert. Prüfe, ob dein Smartphone und dein Anbieter eSIM unterstützen.

6. Separate Nummer für Krypto. Für maximale Sicherheit: Nutze eine separate Prepaid-SIM ausschließlich für Krypto-bezogene Dienste. Diese Nummer ist nirgendwo öffentlich bekannt und daher kaum angreifbar.

Alternative 2FA-Methoden statt SMS

Der beste Schutz gegen SIM-Swapping ist die vollständige Abkehr von SMS als Authentifizierungsmethode. Wechsle auf eine der folgenden Alternativen:

TOTP-Apps (Authenticator): Google Authenticator, Authy oder Microsoft Authenticator generieren Codes lokal auf deinem Gerät. Sie sind komplett unabhängig vom Mobilfunknetz und damit immun gegen SIM-Swapping. Richte TOTP für alle Krypto-Börsen und dein E-Mail-Konto ein. Eine detaillierte Anleitung findest du im 2FA-Einrichtungsguide.

Hardware-Security-Keys (FIDO2): Geräte wie YubiKey oder Google Titan Key bieten die höchste Sicherheitsstufe. Der Key muss physisch angeschlossen oder per NFC gehalten werden. Kein Fernzugriff möglich. Kosten: ab 25 Euro. Besonders empfehlenswert für Konten mit hohen Beträgen.

Passkeys (FIDO2/WebAuthn): Die neueste Entwicklung im Bereich Authentifizierung. Passkeys ersetzen Passwörter und klassische 2FA durch kryptografische Schlüsselpaare, die an dein Gerät gebunden sind. Immer mehr Börsen und Dienste unterstützen Passkeys. Langfristig die sicherste und bequemste Lösung.

Sofort-Maßnahme: Gehe jetzt in die Sicherheitseinstellungen deiner Krypto-Börsen und wechsle von SMS auf TOTP oder Hardware-Key. Der Prozess dauert weniger als 5 Minuten und eliminiert das SIM-Swapping-Risiko vollständig.

Notfallplan: Was tun bei einem SIM-Swapping-Angriff?

Wenn dein Handy plötzlich keinen Mobilfunkempfang mehr hat und du keine SMS oder Anrufe empfangen kannst, könnte ein SIM-Swap im Gange sein. Handle sofort:

1. Mobilfunkanbieter kontaktieren. Rufe von einem anderen Telefon aus die Hotline deines Anbieters an. Erkläre die Situation und fordere die sofortige Sperrung der SIM-Portierung. Lass dir die neue SIM deaktivieren und deine alte wiederherstellen.

2. Krypto-Börsen sperren. Logge dich über einen Computer bei deinen Börsen-Konten ein und sperre die Konten oder ändere die Sicherheitseinstellungen. Wenn SMS als 2FA aktiv war, hat der Angreifer möglicherweise bereits Zugriff — ändere sofort das Passwort und die 2FA-Methode.

3. E-Mail-Passwort ändern. Ändere das Passwort deines E-Mail-Kontos sofort, bevor der Angreifer einen Passwort-Reset durchführen kann.

4. Alle Coins auf sichere Wallet übertragen. Wenn du noch Zugriff auf deine Börsen-Konten hast, transferiere alle Coins sofort auf dein Hardware-Wallet oder ein anderes sicheres Konto.

5. Polizei informieren. Erstatte Anzeige wegen Computerbetrugs. In Deutschland ist die Zentrale Ansprechstelle Cybercrime (ZAC) der jeweiligen Landespolizei zuständig. Sichere alle Beweise. Weitere Sicherheitstipps findest du in unserem Sicherheits-Hub.