SIM-Swapping: Cyberkriminelle infiltrieren Mobilfunknetze

Mobilfunkmitarbeiter werden bestochen, Europol hebt Serverfarmen aus: SIM-Swapping ist keine Einzeltat mehr, sondern organisierte Kriminalität. Die aktuellen Zahlen zeigen ein alarmierendes Bild – und warum SMS als Sicherheitsmechanismus ausgedient hat.

Die vergangenen Tage haben die Verwundbarkeit unserer Mobilfunknummern drastisch offengelegt. Am 20. November verkündete Alvin Bragg, Bezirksstaatsanwalt von Manhattan, Anklage gegen einen Identitätsdiebstahl-Ring. Das Besondere: Die Täter bestachen gezielt Mitarbeiter von AT&T und T-Mobile. Zeitgleich zeigen Daten von Europol, dass Betrug im industriellen Maßstab längst Realität ist.

Die Botschaft ist eindeutig: Der Schutz der eigenen Telefonnummer war noch nie so kritisch wie heute.

Viele Smartphone-Nutzer unterschätzen, wie leicht SIM‑Swapping und SMS‑basierte Angriffe Zugang zu Bankkonten und Krypto‑Wallets ermöglichen. Aktuelle Fälle zeigen: Bestechung von Mitarbeitern und automatisierte SIM‑Farmen umgehen selbst starke Passwörter. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone – mit Schritt‑für‑Schritt‑Anleitungen zu Authenticator‑Apps, PIN‑Schutz beim Provider und sicheren Einstellungen für Banking & Messenger. Jetzt kostenloses Sicherheitspaket anfordern

Die Masche der New Yorker Bande war erschreckend simpel. Bestochene Filial-Mitarbeiter nutzten ihre Zugriffsrechte, um Telefonnummern ahnungsloser Opfer auf neue SIM-Karten zu übertragen – kontrolliert von den Kriminellen. Sobald der Tausch vollzogen war, fingen die Täter SMS-basierte Zwei-Faktor-Codes ab und plünderten Bankkonten sowie Krypto-Wallets.

“Hunderttausende von Dollar” stahlen sie laut Bragg von New Yorkern. Den Angeklagten werden Verschwörung, Geldwäsche und schwerer Diebstahl vorgeworfen.

Die Schwachstelle liegt auf der Hand: Selbst das stärkste Passwort nützt nichts, wenn Angreifer den Zurücksetz-Mechanismus kapern – meist eine SMS an die hinterlegte Nummer.

Operation SIMCARTEL: 49 Millionen gefälschte Konten

Wenige Wochen zuvor demonstrierte Europol das wahre Ausmaß der Bedrohung. Bei der “Operation SIMCARTEL” beschlagnahmten Ermittler in Lettland und anderen europäischen Ländern rund 1.200 SIM-Boxen und über 40.000 aktive SIM-Karten.

Die Dimensionen sind gewaltig: Diese Infrastruktur ermöglichte die Erstellung von rund 49 Millionen gefälschten Online-Konten. Die Täter boten ihre Dienste als “Cybercrime-as-a-Service” an – andere Kriminelle konnten so anonyme Konten für Phishing, Investmentbetrug und Erpressung erstellen, ohne eigene Technik aufbauen zu müssen.

Allein in Österreich verursachte das Netzwerk über 1.700 Betrugsfälle mit einem Schaden von rund 4,5 Millionen Euro.

1.055 Prozent mehr Fälle als im Vorjahr

Harte Zahlen bestätigen den Trend. Der britische Betrugspräventionsdienst Cifas meldete für 2024/2025 einen Anstieg der SIM-Swap-Fälle um 1.055 Prozent. Fast 3.000 Fälle wurden allein in ihrer Datenbank registriert.

Der FBI “Internet Crime Report” für 2024 beziffert die Schäden in den USA auf rund 25,9 Millionen US-Dollar. Die Automatisierung der Angriffe bedeutet: Nicht mehr nur Prominente oder Krypto-Millionäre sind Ziele, sondern zunehmend auch Durchschnittsverbraucher.

SMS-Authentifizierung: Ein Auslaufmodell

Experten und Behörden wie das BSI warnen eindringlich: SMS als einziger Sicherheitsmechanismus ist nicht mehr zeitgemäß. Der “Cybersicherheitsmonitor 2025” zeigt jedoch Lücken im Bewusstsein – weniger als die Hälfte der Nutzer setzt konsequent auf starke Passwörter oder moderne Zwei-Faktor-Authentifizierung.

Was Nutzer sofort tun sollten:

• Authenticator-Apps statt SMS: Google Authenticator, Microsoft Authenticator oder Authy sind an das physische Gerät gebunden, nicht an die Telefonnummer
• Hardware-Schlüssel nutzen: YubiKeys bieten höchste Sicherheit gegen SIM-Swapping
• PIN-Schutz beim Provider: Viele Mobilfunkanbieter ermöglichen spezielle PIN-Codes für Vertragsänderungen und SIM-Bestellungen
• Passkeys aktivieren: Kryptografische Schlüssel mit biometrischer Freigabe sind resistent gegen Phishing und SIM-Swapping

Das neue Wettrüsten

Die Professionalisierung der Cyberkriminalität schreitet voran. Früher nutzten Angreifer technische Lücken in SS7-Protokollen. Heute kombinieren sie Social Engineering, Bestechung von Mitarbeitern und massive Automatisierung durch SIM-Farmen.

Die US-Behörde FCC verpflichtet Mobilfunkanbieter mittlerweile, Kunden sofort über SIM-Änderungsanfragen zu informieren. Doch die globale Wirksamkeit dieser Maßnahmen bleibt abzuwarten.

Für Telekommunikationsunternehmen bedeutet dies enormen Druck: Sie müssen nicht nur ihre technische Infrastruktur härten, sondern auch interne Überwachungssysteme ausbauen, um korrupte Mitarbeiter zu identifizieren.

Die eSIM: Neue Technologie, neue Angriffsfläche?

In den kommenden Monaten werden immer mehr Banken und Online-Dienste die SMS-TAN abschaffen. Das Risiko ist schlicht nicht mehr kalkulierbar.

Die Verbreitung der eSIM wirft neue Sicherheitsfragen auf. Während sie physischen Diebstahl unmöglich macht, verlagert sie den Angriffspunkt vollständig auf den digitalen Portierungsprozess. Sicherheitsexperten warnen bereits vor der nächsten Bedrohung: KI-gestützte Deepvoice-Angriffe, die Kundenstimmen täuschend echt imitieren und Callcenter-Mitarbeiter austricksen könnten.

Die Handynummer ist der Schlüssel zur digitalen Identität – und dieser Schlüssel muss besser bewacht werden als die Haustür.

PS: Wenn Ihre Handynummer der Schlüssel zu E‑Mail, Banking und Wallets ist, sollten Sie jetzt handeln. Das Gratis‑Sicherheitspaket erklärt verständlich, welche Einstellungen wirklich schützen – von Authenticator‑Apps über Hardware‑Schlösser bis zum PIN beim Anbieter. Praxisnahe Checklisten helfen Ihnen, Schritt für Schritt Risiken zu reduzieren. Ideal für alle, die Banking, Messenger und Online‑Bezahlungen sicher nutzen wollen. Jetzt gratis Android‑Schutz‑Paket sichern