SIM-Swapping – wenn Ihr Smartphone gekapert wird

Termine, Nachrichten, soziale Netzwerke, Anrufe, Bankgeschäfte oder das Depot: Das Smartphone hat sich im Laufe der Jahre zum Tausendsassa und unverzichtbaren Begleiter entwickelt. Diesen Umstand machen sich auch Betrüger zunutze. Durch sogenanntes SIM-Swapping, das auch als SIM-Splitting oder SIM-Hijacking bekannt ist, erlangen die Täter Zugriff aufs Handy und auf sensible Daten. Damit können sie Konten leerräumen und generell erheblichen Schaden anrichten. Wir erklären, wie es dazu kommen kann und wie Sie sich schützen.

Was ist SIM-Swapping?

SIM steht für „subscriber identity module (Teilnehmer-Identitätsmodul) und bezeichnet die kleine Chip-Karte, die in das Smartphone eingelegt werden muss. Inzwischen gibt es auch die e-SIM. Sie liegt rein digital vor. Swapping wiederum bezeichnet einen (Aus-)Tausch.

SIM-Swapping ist somit der Tausch der SIM-Karte bzw. der Übertrag der Daten auf eine neue Karte. Mobilfunkprovider bieten einen solchen Tausch ganz regulär an. Insofern ist SIM-Swapping kein Verbrechen, sondern zunächst nur eine Option bzw. Serviceleistung. Sie wird zum Beispiel genutzt, wenn man ein neues Smartphone hat und die alte Karte nicht mehr passt oder die Karte nicht mehr ordnungsgemäß funktioniert. In dem Fall schickt der Provider eine neue Karte oder leitet den Datenübertrag für die e-SIM ein.

Top 3 Girokonten mit Banking App

Unsere Top 5 Girokonten

Girokonto Aktiv

0,00€mtl. Grundgebühr

Zum Produkttest

Zur Bank

Smartkonto

0,00€mtl. Grundgebühr

1,75 % p.a. Guthabenzins

Zum Produkttest

Zur Bank

Girokonto Aktiv

0,00€mtl. Grundgebühr

Bonus:Bis zu 150 € Prämie und 3,00% Zinsen p.a. für 10 Monate

Zum Produkttest

Zur Bank

Welche Gefahren birgt SIM-Swapping?

Normalerweise bittet der Kunde um eine neue SIM. Beim betrügerischen SIM-Swapping sind es Verbrecher. Dass sie die Möglichkeit haben, eine neue SIM-Karte anzufordern, liegt unter anderem am zumeist „offenherzigen“ Umgang mit persönlichen Daten.

Denn ohne diese Daten, wie das Geburtsdatum oder die Adresse, teils auch Sicherheitsfragen, stellen Mobilfunkprovider keine neue Karte aus. Deshalb sammeln Betrüger diese Informationen online:

Social Engineering: Die Täter durchforsten öffentliche Profile, etwa in den sozialen Medien, und verschaffen sich auf diese Weise ein umfassendes Bild von ihren potenziellen Opfern.
Phishing: Nach wie vor beliebt in Täterkreisen ist auch Phishing. Dazu werden gefälschte Nachrichten verschickt, meist per E-Mail. Klickt man auf den darin enthaltenen Link und gibt Daten ein, haben die Täter bereits alles, was sie für das SIM-Swapping benötigen.
Darknet: Teils lassen sich auch bereits komplette Datensätze im Darknet kaufen.

So gehen die Täter vor

Liegen die benötigten Daten vor, rufen die Betrüger entweder die Hotline an oder nutzen das Online-Portal des Mobilfunkproviders. Sie geben sich als Inhaber der Rufnummer aus und bitten um eine neue SIM-Karte. Als Gründe werden ein neues Smartphone oder der Verlust des Handys angeführt. Oder aber sie kündigen den Vertrag und fordern den Provider auf, die Rufnummer zu übertragen.

Um ans Ziel zu kommen, wird mit viel Überredungsgeschick gearbeitet. Mitunter werden auch Mitarbeiter der Hotlines erpresst. Schlimmstenfalls machen die Servicemitarbeiter es den Tätern sehr leicht. Beispiele aus den USA zeigen, dass die Hotline gezielt geholfen hat, damit die Sicherheitsfragen richtig beantwortet wurden.

Wenn die neue SIM-Karte auf dem Weg ist, muss sich noch in Empfang genommen werden. Auch hier zeigen sich die Täter leider sehr einfallsreich. Entweder nennen sie eine neue Anschrift oder sie fangen den Brief am Postkasten ab. Bei der e-SIM ist das nicht mehr nötig.

Was passiert nach dem SIM-Swapping?

Besitzen die Täter die Karte und somit auch die Rufnummer des Opfers, sind viele Szenarien denkbar. Keine davon ist besonders erfreulich. Vergleichsweise harmlos verlief der Fall von Twitter-Chef Jack Dorsey. Die Täter übernahmen seinen Twitter-Account und verbreiteten beleidigende Nachrichten. Letztlich geht es den Betrügern jedoch eher um Geld.

Zugriff auf Konten: Viele Online-Konten – das gilt für Bankkonten ebenso wie für Konten bei sozialen Netzwerken – sind mit dem Smartphone oder vielmehr der Rufnummer verknüpft. Das heißt, die Täter können über die Zwei-Faktor-Authentifizierung (2FA) Überweisungen ausführen, Konten löschen oder Daten sammeln, mit denen das Opfer dann erpresst wird (zum Beispiel kompromittierende Fotos).
Nachrichten: Die Täter verschicken über die sozialen Netzwerke, per SMS oder andere Dienste Nachrichten und schaden auf diese Weise der Reputation des Opfers.
Passwörter: Passworte, etwa für den E-Mail-Account, können bei vielen Anbieter ganz leicht zurückgesetzt werden. Für die Bestätigung wird eine SMS mit einem Code verschickt. Auch dadurch lässt sich ein enormer Schaden anrichten – etwa durch Bestellungen.

Unter dem Strich haben die Täter durch das SIM-Swapping Zugriff auf alle Funktionen, die Opfer mit ihrem Smartphone nutzen. Kein angenehmer Gedanke.

Wie erkenne ich SIM-Swapping?

Es gibt eine Reihe von Anzeichen, die darauf deuten, dass Sie Opfer von SIM-Swapping geworden sind. Das muss nicht, kann aber sein. Von daher ist Vorsicht die Mutter der Porzellankiste und sollte man die Augen offenhalten, um nicht in die Falle zu geraten.

Keine Anrufe und Nachrichten mehr: Wenn plötzlich keine Anrufe mehr ankommen oder Nachrichten ausbleiben, kann es sich um ein technisches Problem oder aber um SIM-Swapping handeln. Von daher gilt das Ausbleiben der Nachrichten als Warnzeichen.

Mitteilungen über Kontoaktivitäten: Viele Anbieter informieren darüber, wenn mit einem neuen Gerät auf E-Mails oder andere Konten zugegriffen wird. In dem Fall sollten Sie sofort den Provider informieren.

Kein Log-in mehr möglich: Wenn es nicht mehr möglich ist, sich bei einzelnen Diensten anzumelden, weil die Täter die Passwörter geändert haben, gilt es ebenfalls, schnellstmöglich zu reagieren und das Problem zu klären.

Tipps: So schützen Sie sich vor SIM-Swapping

Wenn auch nur der Verdacht besteht, dass jemand die Rufnummer gekapert hat und für betrügerische Zwecke nutzt, muss man handeln – und zwar umgehend. Dazu sollte man ein vertrauenswürdiges Gerät nutzen.

Sofern noch möglich, sollten alle Kennwörter oder Zugangsdaten zu Konten und Co. geändert werden.
Die Rufnummer, die gekapert wurde, muss bei allen Anbietern für 2-Faktor-Authentifizierung gesperrt oder gelöscht werden.
Wenn die Rufnummer für das Banking genutzt wird, raten Experten, die Funktion des Online- bzw. Mobile-Banking zu deaktivieren. Oder Sie melden sich bewusst mehrmals mit falschen Daten an, um eine Kontensperre zu erzwingen. Wichtig ist der Kontakt zur Bank.
Sprechen Sie mit dem Mobilfunkanbieter, damit die Rufnummer nicht länger genutzt werden kann. Um sich auszuweisen, ist es ratsam, in eine Filiale zu gehen und dort einen Ausweis vorzulegen.
Sicherheits-PIN (persönliche Identifikationsnummer) oder ein Kundenkennwort: Immer mehr Mobilfunkbetreiber arbeiten mit einer PIN oder einem Kundenkennwort. Ohne diese Information lassen sich keine Änderungen vornehmen oder neue SIM-Karten bestellen. Einige Anbieter nutzen eine Stimmerkennung.
Statt SMS oder Anrufen im Rahmen der Zwei-Faktor-Authentifizierung ist es sicherer, eine Authentifizierungs-App zu nutzen, wenn sie angeboten wird. Oder man nutzt eine Hardware-Lösung wie einen TAN-Generator (TAN: Transaktionsnummer).
Ebenso wichtig: Installieren Sie alle Updates für den Computer und das Smartphone.
Gehen Sie sparsam mit Ihren Daten um. Das gilt vor allem in den sozialen Netzwerken.
Reagieren Sie niemals auf E-Mails, wenn nach persönlichen Daten gefragt wird.

Haftung bei SIM-Swapping

Wenn durch SIM-Swapping unautorisierte Abbuchungen auf dem Konto vorgenommen wurden, ist das Entsetzen groß und es stellt sich die Frage: Bleibt der Bankkunde auf dem Schaden sitzen?

Ausgleichspflicht

Leider können in den wenigsten Fällen die Betrüger ausfindig gemacht werden. Obwohl die Bank selbst keine Schuld trifft, bleibt sie dann als einziger möglicher Anspruchsgegner des Schadensersatzes übrig.

In einem Urteil des OLG Schleswig, Beschluss vom 29.10.2018, Az.: 5 U 290/18 wurde die Bank bei einem SIM-Betrug dazu verurteilt den fehlenden Betrag auf dem Konto des Kunden auszugleichen.

Gemäß § 675u BGB kann der Kontoinhaber nämlich verlangen, dass das Konto wieder in den Stand versetzt wird, auf welchem es sich vor den unerlaubten Abbuchungen befunden hat. Der Kunde hat die Pflicht betrügerische Handlungen auf seinem Konto schnellstmöglich der Bank zu melden. Es ist also ratsam regelmäßig die Kontobewegungen zu überprüfen.

Kein Ausgleich bei grob fahrlässiger Pflichtverletzung

Allerdings ist die Bank nicht zum Ausgleich des fehlenden Betrags verpflichtet, wenn dem Kontoinhaber selbst eine grob fahrlässige Pflichtverletzung anzulasten ist (§ 675v BGB).
Solch eine Pflichtverletzung liegt beispielsweise vor, wenn die TAN oder die PIN herausgegeben wurde. Eine unzureichende Sicherung des PCs oder des Smartphones kann aber auch bereits ausreichend sein, um eine grobe Pflichtverletzung zu bejahen.

Allerdings trifft den Kunden nicht die Beweislast darzulegen, dass er Opfer eines Hackerangriffs wurde. Stattdessen muss die Bank beweisen, dass die Abbuchungen vom Kunden autorisiert wurden.

Jeder Fall hat eigene Facetten und es kann nicht pauschal gesagt werden, wann die Bank haftet und wann nicht. Für eine genaue Prüfung, die auch vor Gericht standhalten kann, ist es somit ratsam einen Fachanwalt für IT-Recht zu kontaktieren.