SMS-Sicherheit: US-Behörden warnen vor Totalausfall

US-Sicherheitsbehörden schlagen Alarm: Nach massiven Hacker-Angriffen auf Telekom-Netze ist SMS nicht mehr sicher. Die CISA und das FBI raten eindringlich zum Wechsel auf verschlüsselte Messenger wie Signal oder Threema. Hintergrund sind die “Salt Typhoon”-Attacken, bei denen chinesische Staatshacker tief in westliche Provider-Infrastrukturen eingedrungen sind.

Die Botschaft ist klar: Wer heute noch SMS für vertrauliche Kommunikation oder Zwei-Faktor-Authentifizierung nutzt, handelt fahrlässig.

Anders als bei gewöhnlichen Phishing-Attacken zielt Salt Typhoon direkt auf die Netzwerk-Infrastruktur. Hacker verschafften sich Zugriff auf die “Lawful Interception”-Systeme – jene Schnittstellen, die Provider für gesetzliche Abhörmaßnahmen vorhalten müssen. Betroffen sind große US-Provider wie AT&T und Verizon.

Das Problem: SMS werden unverschlüsselt im Klartext übertragen. Sitzt ein Angreifer im Provider-Netzwerk, kann er Nachrichten mitlesen, bevor sie beim Empfänger ankommen. Das betrifft nicht nur Politiker, sondern potenziell jeden Nutzer.

Viele Android‑Nutzer unterschätzen, wie leicht Messenger, Banking‑Apps und SMS über unsichere Netze gefährdet werden. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone – inklusive leicht verständlicher Schritt‑für‑Schritt‑Anleitungen für sichere App‑Einstellungen, Update‑Checks und die richtige Rechtevergabe. Enthalten sind Checklisten für Authenticator‑Apps, Hinweise zu Passkeys und Tipps zum sicheren Umgang mit Messenger‑Apps. Schließen Sie die Lücken, die Angreifer bei Angriffen wie Salt Typhoon ausnutzen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Die CISA verschärfte ihre Warnung im November 2025 nochmals und empfiehlt explizit verschlüsselte Apps für jegliche Kommunikation.

iMessage und RCS: Trügerische Sicherheit

iPhone-Nutzer wiegen sich oft in falscher Sicherheit. iMessage verschlüsselt zwar Ende-zu-Ende – aber nur zwischen Apple-Geräten. Schreibt ein iPhone-Nutzer an ein Android-Handy, fällt das System auf SMS oder den neueren RCS-Standard zurück.

Der Haken bei RCS: Die plattformübergreifende Verschlüsselung zwischen iOS und Android ist noch kein flächendeckender Standard. Zwischen Android-Geräten (via Google Messages) funktioniert sie oft, zwischen iPhone und Android bleibt eine Lücke.

Apple und die GSMA arbeiten zwar an einer verschlüsselten Lösung, doch gegen die aktuelle Bedrohung bietet das keinen Schutz.

Signal, Threema, WhatsApp: Die echten Alternativen

Nur unabhängige Messenger, die selbst verschlüsseln, bieten echten Schutz:

Signal gilt als Goldstandard. Die “Sealed Sender”-Technologie schützt nicht nur Inhalte, sondern minimiert auch Metadaten. Selbst bei Server-Zugriff fänden Angreifer kaum verwertbare Daten. Nicht umsonst empfiehlt die CISA explizit Signal.

Threema bietet ähnliche Sicherheit und ist im deutschsprachigen Raum stark verbreitet. Der Schweizer Messenger kann vollständig ohne Telefonnummer genutzt werden – ein zusätzlicher Schutz gegen Identitätsdiebstahl.

WhatsApp nutzt ebenfalls das Signal-Protokoll für Nachrichteninhalte. Gegen Salt Typhoon schützt das zuverlässig. Metadaten wie Kontakthäufigkeit sammelt Meta jedoch weiterhin – ein anderes Problem.

SMS-TAN: Der blinde Fleck bei 2FA

Viele Banken und Online-Dienste versenden Einmal-Codes noch immer per SMS. Sicherheitsforscher warnen: Diese Methode ist faktisch ausgehebelt. Hacker können SMS über SS7-Schwachstellen oder Infrastruktur-Zugriffe abfangen.

Die Alternative: Authenticator-Apps wie Aegis, Raivo oder Google Authenticator. Noch besser: Hardware-Sicherheitsschlüssel wie YubiKey. Passkeys gelten als sicherste Zukunftslösung – sie machen SMS-Codes komplett überflüssig.

Was jetzt zu tun ist

Die Enthüllungen von 2025 zeigen: Das Vertrauen in klassische Mobilfunknetze war fehl am Platz. SMS ist technologisch veraltet und strukturell unsicher. Während RCS die Bedienung zwischen Android und iOS verbessert, bleibt echte Sicherheit den spezialisierten Apps vorbehalten.

Die konkrete Handlungsanweisung: Signal oder Threema installieren, das Umfeld zum Wechsel bewegen und SMS-Benachrichtigungen deaktivieren, wo immer möglich. Ende-zu-Ende-Verschlüsselung auf App-Ebene ist keine Option mehr – sie ist digitale Selbstverteidigung.

PS: Ihr Smartphone lässt sich oft mit wenigen Handgriffen deutlich sicherer machen. Das Gratis‑Paket erklärt konkret, welche Einstellungen Sie sofort ändern sollten, wie Sie SMS‑TANs durch Authenticator‑Apps ersetzen und wann Hardware‑Schlüssel wie YubiKey sinnvoll sind. Ideal, wenn Sie Messenger wie WhatsApp, Telegram oder Signal sicherer nutzen und Metadaten minimieren wollen. Holen Sie sich die praktische Checkliste und Schritt‑für‑Schritt‑Anleitungen. Gratis-Schutzpaket für Android anfordern