Durch SIM-Swapping ist im Jahr 2021 in den USA ein Schaden von 68 Millionen US-Dollar in 1611 gemeldeten Fällen entstanden. Ein starker Anstieg: Zwischen 2018 und 2020 erreichten das FBI 320 Beschwerden mit einer Schadenssumme von 12 Millionen US-Dollar. Bei SIM-Swapping versuchen die Angreifer, die SIM und somit die Telefonnummer und Identität eines Opfers zu übernehmen, um daraus Kapital zu schlagen.

Dazu versuchen Angreifer beispielsweise, beim Mobilfunkanbieter eine neue SIM zu erhalten oder eine Rufnummer zu portieren. Dadurch landen dann Anrufe, Textnachrichten und Ähnliches in den Händen der Betrüger. Die könnten damit etwa Zugang zu Diensten erhalten, indem sie dort die Funktion "Passwort vergessen" nutzen. Eine SMS-basierte Zwei-Faktor-Authentifizierung lässt sich so umgehen. Daher gibt das FBI in seiner Meldung Hinweise, wie potenzielle Opfer und Mobilfunkanbieter sich besser schützen können.

Bedrohungslage in Deutschland

SIM-Swapping kam in der Vergangenheit auch im deutschsprachigen Raum vor. Auf Nachfrage durch heise Security antworteten die großen Mobilfunkanbieter unisono, dass diese Art der Kriminalität hier praktisch nicht mehr stattfinde. Die Sicherheitsmaßnahmen wurden hierzulande deutlich verbessert.

Alexander Geckeler, Pressesprecher von telefonica, antwortete uns: "SIM-Swapping-Vorfälle waren ab etwa 2013 immer mal wieder bei allen Mobilfunk-Providern in Deutschland präsent. Seit zwei Jahren sind in diesem Bereich, was unsere Kundenbasis betrifft, keine Aktivitäten mehr feststellbar.

Seit den ersten bekannt gewordenen Fällen arbeiten wir kontinuierlich an der Verbesserung unserer Sicherheitsmaßnahmen und Prozesse, um das Vorgehen der Betrüger zu unterbinden. Durch intensive Zusammenarbeit mit den Banken und den Ermittlungsbehörden konnten in der Vergangenheit die meisten in diesem Bereich tätigen Tätergruppen überführt werden."

Das stimmt mit den Beobachtungen der Deutschen Telekom überein. Christian Fischer von der Telekom sagte gegenüber heise online: "Zuletzt [haben] 2019 die Mobilfunkprovider in Deutschland Polizei und Staatsanwaltschaft in Hannover dabei unterstützt, Onlinebanking-Betrüger ermitteln zu können. Zu diesem Zweck bestand über Monate Kontakt mit den Behörden. Der Betrug ist sehr aufwendig und setzt in Deutschland Helfershelfer aus dem Umfeld von Vertriebspartnern voraus. Nur dann ist es theoretisch möglich, Ersatz-SIM-Karten ohne Kenntnis der Opfer aktivieren und für kurze Zeit nutzen zu können. Fälle wie dieser haben dazu geführt, dass Schutzmechanismen und Kontrollen jeweils weiter perfektioniert worden sind."

Seit Jahren keine Fälle aufgetreten

Auch die Pressesprecherin von Vodafone, Tanja Vogt bestätigte uns: "Wir haben seit Jahren keine Fälle von SIM Swapping vorliegen, da wir unsere Sicherheitsmaßnahmen in den letzten Jahren kontinuierlich verstärkt haben.

Eine Portierung bedarf immer der Abstimmung zwischen den Providern, der Kunde muss für eine Portierung exakte Angaben beim neuen Provider machen und die Rufnummer in Abstimmung mit seinem bisherigen Provider portierungsfähig machen. Zudem ist für den neuen Vertrag eine Legitimierung erforderlich. Ein SIM-Swap muss durch den Kunden immer mit dem Kundenkennwort autorisiert werden. Eine neue Karte wird nicht an eine beliebige, sondern nur an die Adresse des Kunden verschickt. Eine Lieferadressänderung ist nur mit einer weiteren Authentisierung möglich."

Das LKA Niedersachsen bereitet derzeit noch eine Stellungnahme vor, die wir an dieser Stelle nachreichen werden. Das BKA hat auf unsere Anfrage noch nicht reagiert.

