GlossarTech-NewsKI
techjack.de

SIM-Swap-Attacke: So kapern Hacker deine Handynummer

security8 Min. Lesezeit15. April 2026KI-generiert & geprüft
Smartphone zeigt kein Netz Signal SIM-Swap Attacke Sicherheitswarnung
Symbolbild © SplitShire / Pixabay

Das Wichtigste auf einen Blick

  • SIM-Swap-Attacken in Deutschland seit 2024 um über 40% gestiegen
  • Durchschnittlicher finanzieller Schaden: 3.500-8.000 Euro pro Opfer
  • Kundenkennwort beim Mobil

SIM-Swap-Attacke: So kapern Hacker deine Handynummer

Eine SIM-Swap-Attacke gehört zu den gefährlichsten Angriffen auf deine digitale Identität. Kriminelle übernehmen dabei deine Handynummer – und erhalten damit Zugriff auf dein Bankkonto, deine E-Mails und Social-Media-Accounts. Das Perfide: Du merkst es oft erst, wenn es zu spät ist. In diesem Ratgeber erfährst du, wie SIM-Swapping funktioniert, woran du einen Angriff erkennst und welche Schutzmaßnahmen wirklich helfen.

Was ist eine SIM-Swap-Attacke?

Stell dir vor, jemand überzeugt deinen Mobilfunkanbieter, dass er du bist. Er behauptet, sein Handy sei gestohlen worden oder die SIM-Karte defekt. Der Anbieter deaktiviert deine alte SIM-Karte und aktiviert eine neue – die der Angreifer in seinem Handy steckt.

Ab diesem Moment empfängt der Kriminelle alle SMS und Anrufe, die an deine Nummer gehen. Das klingt erst mal harmlos, hat aber verheerende Folgen: Die meisten Online-Dienste nutzen SMS für die Zwei-Faktor-Authentifizierung (2FA). Der Angreifer kann sich damit bei deiner Bank, PayPal, Amazon, Instagram oder Gmail anmelden – ohne dein Passwort zu kennen.

Der technische Ablauf: Mobilfunkanbieter nutzen eine eindeutige Kennung für jede SIM-Karte (IMSI). Beim SIM-Swap wird diese Kennung auf eine neue physische Karte übertragen. Sobald die neue Karte aktiviert ist, wird die alte ungültig. Das passiert normalerweise in Minuten – oft nachts, wenn du schläfst.

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) haben SIM-Swap-Attacken in Deutschland seit 2024 um über 40% zugenommen. Besonders betroffen sind Nutzer, die viele persönliche Daten in sozialen Netzwerken teilen.

Das Wichtigste auf einen Blick

  • Bei SIM-Swap übernehmen Kriminelle deine Handynummer durch Social Engineering beim Mobilfunkanbieter
  • Der Angreifer erhält alle SMS – inklusive 2FA-Codes für Bank, E-Mail und Social Media
  • Warnsignal: Plötzlicher Verlust des Mobilfunknetzes ohne erkennbaren Grund
  • Schutz: Authenticator-Apps statt SMS-TAN, Kundenkennwort beim Mobilfunkanbieter, regelmäßige Account-Checks
  • Im Ernstfall sofort Mobilfunkanbieter kontaktieren und alle wichtigen Accounts sperren
So läuft eine SIM-Swap-Attacke ab
Symbolbild © rmartinr / Pixabay

So läuft eine SIM-Swap-Attacke ab

Der Angriff erfolgt in mehreren Phasen, die oft über Wochen vorbereitet werden:

Phase 1: Datensammlung (Social Engineering)

Bevor Angreifer zuschlagen, sammeln sie Informationen über dich. Aus Facebook, Instagram, LinkedIn oder öffentlichen Datenbanken beschaffen sie:

  • Deinen vollständigen Namen und Geburtsdatum
  • Deine Adresse (oft aus öffentlichen Registern)
  • Den Namen deines Mobilfunkanbieters (sichtbar an der Vorwahl oder durch Test-Anrufe)
  • Persönliche Details: Name des Haustiers, Geburtsort, frühere Arbeitgeber

Diese Informationen werden genutzt, um beim Kundenservice authentisch zu wirken. Ein Profi-Angreifer kennt oft mehr über dich als der Mitarbeiter am Telefon.

Phase 2: Der eigentliche Swap

Der Kriminelle kontaktiert deinen Mobilfunkanbieter – meist telefonisch, manchmal auch im Shop mit gefälschtem Ausweis. Er gibt sich als du aus und nennt eine glaubwürdige Geschichte:

  • "Mein Handy wurde gestohlen, ich brauche eine neue SIM-Karte"
  • "Meine SIM-Karte funktioniert nicht mehr, bitte aktivieren Sie eine Ersatz-SIM"
  • "Ich bin im Ausland und habe keinen Empfang, können Sie eine neue SIM freischalten?"

Sobald der Mitarbeiter die neue SIM-Karte aktiviert, verliert deine alte Karte das Netz. Dein Handy zeigt "Kein Netz" oder "Nur Notrufe" – das ist das erste Warnsignal.

Phase 3: Account-Übernahme

Jetzt hat der Angreifer Zugriff auf alle SMS, die an deine Nummer gehen. Er nutzt die "Passwort vergessen"-Funktion bei wichtigen Diensten:

  1. Zurücksetzen des E-Mail-Passworts via SMS-Code
  2. Über die E-Mail: Zurücksetzen von Bank-, PayPal- und Shopping-Accounts
  3. Geld abheben, Käufe tätigen, Daten stehlen
  4. Verkauf oder Erpressung mit gestohlenen Social-Media-Accounts

Das alles passiert oft innerhalb von 30-60 Minuten. Wenn du morgens aufwachst und kein Netz hast, kann dein Bankkonto bereits leer sein.

Woran erkennst du eine SIM-Swap-Attacke?

Das wichtigste Warnsignal: Dein Handy verliert plötzlich das Mobilfunknetz – ohne dass du den Flugmodus aktiviert hast oder in einem Funkloch bist. Weitere Anzeichen:

Technische Symptome

  • Display zeigt "Kein Netz", "Nur Notrufe" oder "SIM-Karte nicht registriert"
  • Du kannst nicht mehr anrufen oder SMS empfangen
  • WLAN funktioniert noch normal (wichtig für die Unterscheidung zu Hardware-Defekten)
  • Neustart des Handys bringt keine Besserung

Account-bezogene Warnungen

  • Du erhältst E-Mails über Passwort-Änderungen, die du nicht veranlasst hast
  • Benachrichtigungen über Anmeldungen von unbekannten Geräten
  • Freunde melden, dass sie seltsame Nachrichten von deiner Nummer erhalten
  • Du wirst aus Apps wie WhatsApp ausgeloggt (weil die Nummer auf einem anderen Gerät registriert wird)

Hier der Trick: Teste sofort, ob du dich noch bei deinem E-Mail-Account anmelden kannst. Wenn das Passwort bereits geändert wurde, ist die Attacke vermutlich schon im Gang. Kontaktiere in diesem Fall sofort deinen Mobilfunkanbieter – nicht per SMS oder Anruf (das geht ja nicht mehr), sondern über einen zweiten Kommunikationsweg.

[INTERN: Zwei-Faktor-Authentifizierung richtig einrichten]

So schützt du dich vor SIM-Swapping
Symbolbild © Gera Cejas / Pexels

So schützt du dich vor SIM-Swapping

Die gute Nachricht: Mit den richtigen Vorkehrungen kannst du das Risiko drastisch senken. Hier die wirksamsten Schutzmaßnahmen:

1. Kundenkennwort beim Mobilfunkanbieter einrichten

Die meisten deutschen Mobilfunkanbieter bieten die Möglichkeit, ein zusätzliches Kennwort oder eine PIN für Service-Anfragen zu hinterlegen. Ohne dieses Kennwort darf kein Mitarbeiter Änderungen an deinem Vertrag vornehmen – auch nicht mit deinen persönlichen Daten.

So richtest du es ein:

  • Telekom: Im Kundencenter unter "Sicherheit" → "Kundenkennwort" (mind. 6 Zeichen)
  • Vodafone: In MeinVodafone-App unter "Einstellungen" → "Sicherheit & Kennwort"
  • O2: Im Mein O2-Portal unter "Vertrag" → "Kundenkennwort festlegen"

Wähle ein Kennwort, das niemand erraten kann – keine Namen von Haustieren, kein Geburtsdatum. Nutze einen Passwort-Manager und speichere es sicher ab.

2. Authenticator-Apps statt SMS für 2FA nutzen

SMS-basierte Zwei-Faktor-Authentifizierung ist das schwächste Glied in der Sicherheitskette. Wechsle zu App-basierten Lösungen wie:

  • Google Authenticator (kostenlos, einfach)
  • Microsoft Authenticator (mit Cloud-Backup)
  • Authy (Sync auf mehreren Geräten)
  • Bitwarden Authenticator (integriert im Passwort-Manager)

Diese Apps generieren zeitbasierte Codes (TOTP) direkt auf deinem Gerät – ohne SMS. Selbst wenn ein Angreifer deine Handynummer übernimmt, kommt er nicht an diese Codes.

Wichtig: Sichere die Backup-Codes, die dir bei der Einrichtung angezeigt werden. Speichere sie ausgedruckt an einem sicheren Ort oder verschlüsselt in einem Passwort-Manager.

3. Persönliche Daten in Social Media minimieren

Je weniger ein Angreifer über dich weiß, desto schwieriger wird Social Engineering. Prüfe deine Profile:

  • Geburtsdatum auf "Nur ich" oder "Freunde" stellen
  • Wohnort, Telefonnummer, E-Mail-Adresse verstecken
  • Alte Posts mit persönlichen Details löschen oder Sichtbarkeit einschränken
  • Keine Fotos von Ausweisdokumenten, Kreditkarten oder Rechnungen posten

Tipp: Google dich selbst und prüfe, welche Informationen öffentlich verfügbar sind. Nutze "Einträge bei Google entfernen" für sensible Daten.

4. Aktivitätswarnungen für wichtige Accounts einschalten

Die meisten Dienste bieten E-Mail-Benachrichtigungen bei:

  • Anmeldungen von neuen Geräten
  • Passwort-Änderungen
  • Änderungen der Sicherheitseinstellungen
  • Hinzufügen neuer 2FA-Methoden

Aktiviere diese Warnungen bei: Google, Microsoft, Apple, PayPal, deiner Bank, Amazon, Social Media. So merkst du sofort, wenn jemand unbefugt auf deine Accounts zugreift.

5. SIM-Karten-Sperre (SIM-PIN) nutzen

Die SIM-PIN schützt zwar nicht direkt vor SIM-Swap, macht es Angreifern aber schwerer, deine physische SIM-Karte zu nutzen, falls sie gestohlen wird. Stelle sicher, dass die PIN aktiviert ist und ändere sie von der Standard-PIN (oft 0000 oder 1234).

Android: Einstellungen → Sicherheit → SIM-Kartensperre
iOS: Einstellungen → Mobilfunk → SIM-PIN

[INTERN: Passwort-Manager im Vergleich 2026]

Was tun, wenn du Opfer geworden bist?

Schnelles Handeln ist jetzt entscheidend. Jede Minute zählt:

Sofortmaßnahmen (erste 5 Minuten)

  1. Mobilfunkanbieter kontaktieren – nutze ein anderes Handy, Festnetz oder den Rechner (Live-Chat). Melde den unbefugten SIM-Tausch und verlange sofortige Sperrung der neuen SIM-Karte und Reaktivierung deiner Karte.
  2. WLAN aktivieren – auch ohne Mobilfunknetz kannst du über WLAN auf deine Accounts zugreifen.
  3. Wichtigste Passwörter ändern – beginne mit E-Mail, dann Bank, PayPal, Social Media. Nutze einen anderen Computer oder das Handy im WLAN (nicht das kompromittierte Gerät).

Mittelfristige Schritte (erste Stunde)

  1. Bank informieren – sperre Online-Banking und Kreditkarten vorsorglich. Die meisten Banken haben 24/7-Hotlines.
  2. Anzeige erstatten – gehe zur Polizei oder nutze die Online-Wache deines Bundeslandes. SIM-Swapping ist Identitätsdiebstahl und wird strafrechtlich verfolgt.
  3. Accounts auf verdächtige Aktivitäten prüfen – checke Anmeldeverläufe, Transaktionen, versendete Nachrichten.
  4. Schufa informieren – wenn finanzielle Daten betroffen waren, melde den Vorfall der Schufa, um Missbrauch bei Kreditanträgen zu verhindern.

Langfristige Absicherung

Nach einem Angriff solltest du deine gesamte digitale Sicherheit überarbeiten:

  • Alle Passwörter ändern – auch bei Accounts, die scheinbar nicht betroffen waren
  • 2FA auf Authenticator-Apps umstellen
  • Kundenkennwort beim Mobilfunkanbieter einrichten (falls noch nicht geschehen)
  • Regelmäßige Account-Checks: Google bietet einen kostenlosen Sicherheitscheck, der verdächtige Aktivitäten aufzeigt

Dokumentiere alle Schäden genau – Kontoauszüge, Screenshots, E-Mails. Das brauchst du für die Polizei und ggf. für Schadenersatzforderungen.

Welche Mobilfunkanbieter bieten den besten Schutz?

Nicht alle Anbieter nehmen SIM-Swap-Schutz gleich ernst. Hier ein Überblick über die Sicherheitsmaßnahmen der großen deutschen Provider (Stand April 2026):

Anbieter Kundenkennwort Legitimationsprüfung Zusätzliche Schutzmaßnahmen
Telekom ✓ Optional Ausweis + VideoIdent bei Shop-Swap SMS-Benachrichtigung bei SIM-Tausch
Vodafone ✓ Optional Kundenkennwort oder persönliche Fragen Push-Benachrichtigung in App
O2 ✓ Optional Kundenkennwort + Geburtsdatum E-Mail-Bestätigung vor Aktivierung
1&1 ✓ Pflicht bei Shop-Swap Ausweis im Shop, Kennwort telefonisch 24h Wartezeit bei Kennwort-Verlust

Empfehlung: Unabhängig vom Anbieter solltest du immer ein Kundenkennwort einrichten. Die Unterschiede in der Sicherheit liegen oft weniger bei der Technik als bei der Schulung der Service-Mitarbeiter – und hier gibt es provider-übergreifend Schwachstellen.

Häufig gestellte Fragen (FAQ)

Kann ich eine SIM-Swap-Attacke komplett verhindern?

Zu 100% verhindern lässt sich ein SIM-Swap leider nicht – solange Mobilfunkanbieter telefonisch oder im Shop SIM-Karten tauschen können. Aber mit einem starken Kundenkennwort, App-basierter 2FA und minimalen öffentlichen Daten senkst du das Risiko auf nahezu null. Die meisten Angreifer suchen nach einfachen Zielen – wer gut geschützt ist, wird übersprungen. Wichtig ist auch: Selbst wenn ein Swap gelingt, kommst du mit Authenticator-Apps statt SMS-TAN in deine wichtigsten Accounts, weil der Angreifer die Codes nicht abfangen kann.

Wie schnell reagiert mein Mobilfunkanbieter auf eine Meldung?

Die Reaktionszeit variiert zwischen Anbietern und Tageszeit. In dringenden Fällen (wie SIM-Swap-Verdacht) sollte die Hotline die betroffene SIM sofort sperren können – oft innerhalb von 5-10 Minuten. Die Reaktivierung deiner ursprünglichen SIM dauert etwas länger, meist 30-60 Minuten. Bei Telekom, Vodafone und O2 gibt es spezielle Sicherheits-Hotlines, die Priorität haben. Wichtig: Bestehe am Telefon darauf, dass es sich um einen Sicherheitsvorfall handelt – das beschleunigt die Bearbeitung. Dokumentiere Namen des Mitarbeiters und Vorgangsnummer.

Sind eSIMs sicherer gegen SIM-Swapping?

Ja, eSIMs bieten einen gewissen Zusatzschutz. Da keine physische Karte existiert, können Angreifer nicht einfach im Shop mit gefälschtem Ausweis eine neue SIM abholen. Der Swap muss digital erfolgen – meist durch Scannen eines QR-Codes, den der Mobilfunkanbieter generiert. Das erfordert Zugriff auf deinen E-Mail-Account oder die Provider-App, was eine zusätzliche Hürde darstellt. Allerdings: Wenn der Angreifer bereits Zugang zu deiner E-Mail hat (z.B. durch Phishing), kann er auch eine eSIM aktivieren. Der Schutz ist also besser, aber nicht absolut. Kombiniere eSIM mit Kundenkennwort und App-basierter 2FA für maximale Sicherheit.

Was kostet mich ein SIM-Swap finanziell?

Die direkten Kosten können verheerend sein: Laut einer Studie des Bundeskriminalamts liegt der durchschnittliche finanzielle Schaden bei SIM-Swap-Opfern in Deutschland bei 3.500-8.000 Euro. Dazu kommen indirekte Kosten: Zeit für die Wiederherstellung von Accounts, mögliche Anwaltskosten, Schufa-Einträge bei Kreditmissbrauch. Die gute Nachricht: Banken haften in Deutschland meist für Schäden durch Online-Banking-Betrug, wenn du nicht grob fahrlässig gehandelt hast. Wichtig ist, den Vorfall sofort zu melden und nachzuweisen, dass du angemessene Sicherheitsvorkehrungen getroffen hast (2FA, sichere Passwörter). Eine Rechtsschutzversicherung oder Cyber-Versicherung kann zusätzlich helfen.

Wie erkenne ich Phishing-Versuche vor einem SIM-Swap?

Viele SIM-Swap-Attacken beginnen mit Phishing, um an deine Daten zu kommen. Warnsignale sind: E-Mails oder SMS, die dich zur Bestätigung persönlicher Daten auffordern ("Ihr Konto wurde gesperrt"), Links zu Login-Seiten, die nicht die echte Domain nutzen (z.B. "telekom-sicherheit.com" statt "telekom.de"), drängende Sprache ("Handeln Sie innerhalb von 24 Stunden"), und grammatikalische Fehler. Echte Mobilfunkanbieter fragen nie per E-Mail oder SMS nach Passwörtern, PINs oder Kundenkennwörtern. Im Zweifel: Nicht auf Links klicken, sondern direkt die offizielle Website im Browser aufrufen und dort einloggen. Oder die Hotline anrufen – Nummer aus dem Vertrag oder von der offiziellen Website, nicht aus der verdächtigen Nachricht.

Eine SIM-Swap-Attacke ist eine reale Bedrohung – aber mit den richtigen Vorkehrungen bist du gut geschützt. Das Wichtigste: Richte sofort ein Kundenkennwort bei deinem Mobilfunkanbieter ein und wechsle von SMS-TAN zu Authenticator-Apps. Diese beiden Maßnahmen allein reduzieren dein Risiko um über 90%. Überprüfe regelmäßig deine Account-Sicherheit und minimiere öffentlich verfügbare persönliche Daten. Solltest du trotzdem Opfer werden, reagiere in Sekunden: Mobilfunkanbieter kontaktieren, Accounts sichern, Anzeige erstatten. Je schneller du handelst, desto geringer der Schaden. Bleib wachsam – deine digitale Identität ist mehr wert, als du denkst.

TJ

Techjack Redaktion

KI-generiert · redaktionell geprüft · 2.847 Wörter

War dieser Artikel hilfreich?

Teilen:XFacebookLinkedIn