SIM-Swapping st eine Betrugsmasche, bei der sich ein Hacker die Mobiltelefonnummer eines Benutzers erschleicht, um sich, eventuell auch nur kurzfristig, der Online-Identität des Opfers zu bemächtigen und sich als die Zielperson ausgeben zu können. Es ist eine Form des Identitätsdiebstahls. Betrüger erbeuteten pro Jahr auf diese Weise meist fünfstellige Euro-Beträge, der Gesamtschaden belief sich auf über eine Million Euro. Mobilfunkanbieter verstärkten darauf ihre Sicherheitsmaßnahmen, insbesondere bei der Freischaltung von Ersatz-SIM-Karten. Da immer mehr Menschen mobil auf das Internet zugreifen, wird die eigene Mobiltelefonnummer immer öfter als zentrales Identifikationsmerkmal verwendet, zum Beispiel auch für die Zwei-Faktor-Authentifizierung. Diese wird bei Online-Diensten genutzt, um beispielsweise das Passwort wiederherzustellen oder als zusätzliche Sicherheit zum Passwort in Form einer Zwei-Faktor-Authentifizierung. Einige Online-Banking-Anwendungen senden sogar TAN-Codes per SMS auf das Mobiltelefon des Nutzers.
Jedoch birgt die Verwendung der Mobiltelefonnummer als Identifikationsmerkmal auch Risiken, wie der Fall einer unverschlüsselt und frei zugänglichen Datenbank zeigt, die Hunderte Millionen Telefonnummern mit der ID des dazugehörigen Facebook-Kontos enthielt. Diese Datenbank enthielt teilweise auch weitere persönliche Informationen wie Namen, Land und Geschlecht. Es ist noch nicht geklärt, wer für diese Datenbank verantwortlich war.
Ein weiteres Problem ist das sogenannte Sim Swapping, das durch das Aufkommen von eSIM-Angeboten erleichtert wird. Dadurch kann ein Angreifer die virtuelle SIM-Karte eines Opfers laden, um sich Zugang zu dessen Online-Konten zu verschaffen. Einige Anbieter haben daher zusätzliche Sicherheitsmechanismen in ihre eSIM-Systeme integriert, um diesen Angriffen entgegenzuwirken. Um einen SIM-Swapping-Angriff durchzuführen, benötigt der Angreifer zunächst personenbezogene Informationen. Diese Daten können durch Social Engineering-Methoden wie Phishing-Mails oder durch den Kauf von gestohlenen Daten erlangt werden. Der Angriff nutzt aus, dass Mobilfunkanbieter ihren Kunden die Möglichkeit bieten, eine neue SIM-Karte zu erhalten und die bisherige Telefonnummer auf die neue Karte zu übertragen. Der Angreifer gibt sich dann als der eigentliche Kunde aus, indem er sich im Online-Portal des Mobilfunkanbieters oder telefonisch im Kundenservicecenter identifiziert. Sobald der Betrüger die SIM-Karte erhält, kann er unter der Mobiltelefonnummer des Opfers Anrufe tätigen und SMS empfangen. Auf diese Weise kann er sich Zugang zu verschiedenen Online-Diensten verschaffen, indem er den Dienst “Passwort zurücksetzen” nutzt und die Verifikation des Benutzers über eine SMS oder einen Anruf auf das Mobilfunkgerät ausführt. Es gab bereits bekannte Fälle von erfolgreichen SIM-Swapping-Angriffen, wie beispielsweise der Twitter-Account von Jack Dorsey, der für fast eine Stunde gekapert wurde, und rassistische Tweets wurden in seinem Namen gepostet. Auch bei Instagram kann ein Angreifer das Passwort durch Angabe der Mobiltelefonnummer zurücksetzen. Um sich vor Phishing-Angriffen zu schützen, ist es wichtig, ein Bewusstsein für die Risiken zu haben und Links und Anhänge in verdächtigen E-Mails von der Bank zu hinterfragen. Bei Unsicherheit kann man immer bei der Bank nachfragen, um Klarheit zu schaffen. Um sich vor SIM-Swapping-Angriffen zu schützen, empfiehlt es sich, eine Kundenkennwort oder PIN-Code zu setzen, um den Versand einer neuen SIM-Karte mit Rufnummernmitnahme zu sichern. Eine unerwartete Unterbrechung von mobilen Diensten sollte unverzüglich dem Mobilfunknetzbetreiber gemeldet werden. Zudem bieten Apps zur Zwei-Faktor-Authentifizierung wie Google Authenticator oder Authy mehr Sicherheit als SMS-Verifikation. Kleine externe Geräte wie TAN-Generatoren die per USB-Schnittstelle oder Bluetooth verbunden werden, können auch nützlich sein. Man sollte auch die Möglichkeit, das Passwort per SMS zurückzusetzen, über die Einstellungen im Online-Dienst deaktivieren, um einem SIM-Swapping-Angriff vorzubeugen. Neben den genannten Schutzmaßnahmen gibt es noch weitere Vorkehrungen, die man treffen kann, um sich gegen SIM-Swapping-Angriffe zu schützen. Eine Möglichkeit ist es, sensible Informationen wie Namen, Adressen oder Kontodaten nicht unnötig preiszugeben. Auch sollte man darauf achten, keine persönlichen Daten preiszugeben, wenn man unsicher ist, wer die Informationen erhält.
Weiterhin kann es hilfreich sein, regelmäßig das Passwort für das Mobilfunkkonto und alle anderen Online-Konten zu ändern. Es empfiehlt sich zudem, Passwörter nicht für mehrere Konten zu verwenden und diese komplex und sicher zu gestalten. Hierbei können Passwort-Manager oder generierte Passwörter helfen.
Des Weiteren sollte man bei verdächtigen Aktivitäten auf dem Mobiltelefon oder Online-Konto sofort den Mobilfunkanbieter kontaktieren und die Situation schildern. Im Falle eines SIM-Swapping-Angriffs sollte man außerdem eine Strafanzeige bei der Polizei stellen, um den Vorfall zu dokumentieren.
Zusammenfassend lässt sich sagen, dass eine Kombination aus verschiedenen Schutzmaßnahmen am effektivsten ist, um sich vor SIM-Swapping-Angriffen zu schützen.
