Der Betrug durch SIM-Swap hat im Vereinigten Königreich in den letzten Jahren eine alarmierende Zunahme erfahren. Laut Daten der National Fraud Database stiegen die gemeldeten Fälle von 289 im Jahr 2023 auf nahezu 3.000 im Jahr 2024 – eine Steigerung von über 1.000 Prozent. Diese Entwicklung lässt aufhorchen, denn sie offenbart eine zunehmende Gefahr für Verbraucher und Unternehmen, insbesondere im Zusammenhang mit der wachsenden Verbreitung der Zwei-Faktor-Authentifizierung (2FA).
SIM-Swap Betrug ist ein speziell auf die Übernahme persönlicher Daten und Konten ausgerichteter Angriff, der die Sicherheitsmechanismen vieler digitaler Plattformen kompromittiert. Die Täter erlangen dabei die Kontrolle über die Mobilfunknummer eines Opfers, indem sie sie auf eine neue SIM-Karte übertragen lassen – oft ohne das Wissen des eigentlichen Nutzers. Schritt für Schritt gewinnen sie so Zugriff auf Anrufe und SMS, wozu auch Sicherheitscodes zählen, die beispielsweise im Rahmen von 2FA an das Mobiltelefon gesendet werden. Die Ursache für die steigende Zahl der SIM-Swap-Fälle liegt in der zunehmenden Abhängigkeit von SMS-basierten Authentifizierungsverfahren durch zahlreiche Unternehmen. Während 2FA eigentlich eine zusätzliche Schutzebene darstellen soll, wird gerade das durch die Übernahme der Telefonnummer anfällig.
Durch den gestohlenen Zugang können Betrüger binnen kurzer Zeit auf E-Mail-Konten, Online-Banking oder Social Media Profile zugreifen und Transaktionen tätigen, ohne dass die Opfer dies unmittelbar bemerken. Besonders alarmierend ist die Tatsache, dass vorrangig ältere Menschen ins Visier der Kriminellen geraten. Diese Zielgruppe gilt als besonders verwundbar, da sie häufig weniger mit den neuesten digitalen Sicherheitstechniken vertraut ist und oft bedeutendere finanzielle Mittel besitzt. Der Einzelhandel und der Telekommunikationssektor sind laut den Experten von Cifas, die die National Fraud Database betreiben, besonders gefährdet. Die jüngsten Cyberangriffe auf große Einzelhändler wie Marks and Spencer und die Co-op werden zum Teil auf SIM-Swap-betriebene Techniken zurückgeführt.
Dort haben Hacker durch Social Engineering und Identitätsdiebstahl Mitarbeiterkonten kompromittiert und so Zugang zu sensiblen Netzwerken erlangt. Der Prozess, wie ein SIM-Swap Betrug durchgeführt wird, folgt meist einem klaren Muster. Erstens bekommen die Betrüger Zugriff auf persönliche Daten der Opfer – häufig durch Phishing-Attacken, geleakte Datenbanken aus dem Dark Web oder durch gezieltes Ausspionieren der Online-Präsenz der Betroffenen. Anschließend kontaktieren sie den Mobilfunkanbieter des Opfers und geben sich als dieser aus. Gelangt der Betrüger durch Überredung oder Täuschung dazu, den Mobilfunkvertrag auf seine SIM-Karte zu übertragen, befindet sich das Opfer faktisch ohne Telefonverbindung.
Die Täter können nun zwei wesentliche Vorteile nutzen: Erstens können sie die Kontrolle über sämtliche eingehenden Anrufe und SMS übernehmen; zweitens decken sie eventuelle Warnungen oder Benachrichtigungen des Mobilfunkanbieters auf betrügerische Aktivitäten. Das bedeutet, dass beispielsweise eine bei der Bank angeforderte Zwei-Faktor-Authentifizierung automatisch vom Betrüger empfangen und genutzt werden kann, um Konten zu kapern oder Transaktionen durchzuführen. Der Fall eines Betroffenen, der während einer Kreuzfahrt mehrere unautorisierte Abbuchungen und Einkäufe feststellte, zeigt beispielhaft, wie weitreichend die Schäden sein können. Er verlor rund 50.000 Pfund und musste feststellen, dass seine gesparte Gelder systematisch abgeräumt worden waren.
Die Verzweiflung vieler Opfer zeigt, wie entscheidend es ist, bereits im Vorfeld präventive Maßnahmen zu ergreifen, um sich vor SIM-Swap Betrug zu schützen. Sicherheitsfachleute empfehlen, die Sicherheit des eigenen Mobilfunkvertrags zu erhöhen, etwa durch zusätzliche PINs oder Authenticator-Apps, die nicht auf SMS basieren. Obwohl Zwei-Faktor-Authentifizierung weiterhin ein wichtiger Schutz ist, sollte sie idealerweise nicht ausschließlich über SMS abgewickelt werden. Sicherheit durch Authenticator-Apps oder Hardware-Token bieten deutlich höhere Schutzlevels gegen SIM-Swaps. Zudem ist es ratsam, die eigenen Social-Media-Profile kritisch zu überprüfen und zu prüfen, welche persönlichen Daten öffentlich einsehbar sind.
Informationen wie Geburtsdatum, Adresse oder weitere persönliche Details, die im Rahmen einer Identitätsprüfung genutzt werden können, sollten geschützt oder gar nicht erst veröffentlicht werden. Im Falle ungewöhnlicher Ereignisse wie einem unerwarteten Verlust des Mobilfunksignals oder einer Benachrichtigung über eine SIM-Kartenänderung sollte unverzüglich der Mobilfunkanbieter informiert werden. Ebenso wichtig ist es, danach sofort alle relevanten Online-Konten, vor allem Bankkonten, zu sichern und Passwörter zu ändern, gegebenenfalls Bankkonten zeitweise zu sperren. Die Entwicklung zur eSIM – also der elektronischen SIM-Karte ohne physischen Träger – birgt eine weitere Herausforderung, da die Manipulation und der Zugriff für Täter potenziell vereinfacht werden können. Deshalb arbeiten teilweise bereits Telekommunikationsunternehmen an verbesserten Authentifikationsmethoden, um die Identitätsprüfung beim Wechsel von SIM-Karten weiter zu verschärfen.
Der SIM-Swap Betrug stellt eine ernsthafte Bedrohung für den Schutz der digitalen Identität dar. Er zeigt auf, dass allein die Einführung neuer Sicherheitstechnologien nicht automatisch den Schutz vor Betrug garantiert. Vielmehr braucht es eine ganzheitliche Sicherheitsstrategie, die neben Technologie auch die Sensibilisierung der Nutzer und Mitarbeiter in Unternehmen umfasst. Verbraucher sollten sich dessen bewusst sein und die nötigen Sicherheitsvorkehrungen treffen, bevor sie Opfer eines solchen Angriffs werden. Durch eine Kombination aus technischen Schutzmaßnahmen und wachsender Aufmerksamkeit gegenüber möglichen Warnsignalen lässt sich der Schaden durch SIM-Swap-Betrug deutlich reduzieren.
Angesichts der steigenden Fallzahlen ist es entscheidend, dass sowohl Verbraucher als auch Unternehmen das Problem ernst nehmen und auf dem Laufenden bleiben. Nur so können die Schäden durch diese raffinierte Betrugsmasche langfristig minimiert werden.
