Handybetrüger räumen Konten leer – so können Sie sich schützen

Die Handynummer

Früher war Telefonabzocke anders: Es war die Masche von nächtlichen Quizshows von Shopping-Sendern, deren Moderatoren ununterbrochen redeten. "Jetzt" sei die Chance, unglaublich viel Geld zu gewinnen. Stattdessen verloren die Menschen vor den Bildschirmen nur viel Geld, indem sie immer wieder vergebens die teuren Hotlines anriefen.

Die Abzocker der digitalen Welt, die Hacker, reden auf niemanden ein. Sie drängen auch niemanden, irgendetwas zu tun. Nein, sie können das Geld ihrer Opfer erbeuten, ohne einen Schritt vor die Tür zu setzen. Ihr neuester Trick: Sie übernehmen die Handynummer ihres Opfers, indem sie sich beim Provider als der eigentliche Besitzer ausgeben. Diese Art des Identitätsklaus nennt sich SIM-Swapping.

Zuletzt war das Phänomen eher aus den USA bekannt. Doch nun schlägt es auch in Deutschland Wellen. Bei einer Razzia gegen Internetkriminelle wurde im vergangenen Sommer ein 25-Jähriger aus der Nähe von Essen festgenommen, der angeblich der Kopf einer SIM-Swapping-Bande war.

So funktioniert SIM-Swapping

Das Vorgehen der Cyberkriminellen: Sie überlisten die Sicherheitsmechanismen von Mobilfunkanbietern – online oder in der Service-Hotline – und lassen die Daten der SIM-Karte ihres Opfers auf eine eigene SIM-Karte übertragen. Dazu muss der Angreifer nur die Handynummer seines Opfers kennen und sich als der Besitzer dieser Nummer ausgeben. Erleichtert wird das durch die sogenannte eSIM-Karte, eine SIM-Karte, die direkt online freigeschaltet werden kann.

Auf ihrer eigenen SIM-Karte besitzen die Täter dann auch die Mobilnummer ihres Opfers. Und die ist für sie Gold wert: Sie loggen sich in die Bankkonten ihrer Opfer ein – die Passwörter dafür haben sie vorher schon erbeutet – und überweisen von dort Geld auf von ihnen geführte Konten. Die mobilen TANs, die sie für die Verifizierung der Überweisungen brauchen, bekommen sie per SMS an die geklaute Nummer geschickt.

Der Betrogene merkt den Klau seiner Telefonnummer daran, dass er keine Telefonate mehr führen und keine SMS mehr senden kann. Aber dann ist es womöglich schon zu spät: Die Piraten füllen ihre Konten oft nachts.

Was tun die Mobilfunkanbieter dagegen? Wir fragen bei der Telekom nach.

Ein Kundenkennwort erhöht die Sicherheit

Sprecher Husam Azrak versichert, dass der Schutz der Kunden vor Internetkriminalität höchste Priorität habe. Die Telekom setze dabei auf eine Mischung aus Sensibilisierung ihrer Kunden und eigenen Sicherheitsmechanismen. "100-prozentige Sicherheit wird man nie haben", räumt er ein. "Aber man kann etwas tun, um eine 95-prozentige Sicherheit zu erlangen."

Der Schutz fängt beim Anrufen der Service-Hotline an: Betrüger könnten vorgeben, ihre SIM-Karte verloren zu haben und telefonisch eine sogenannte Portierung der Telefonnummer beantragen. Dabei wird die Nummer auf einer neuen SIM-Karte aktiviert.

Um Missbrauch durch Unbefugte zu verhindern, fragen die Provider zwar Daten ab, mit denen sich der Besitzer der Telefonnummer identifizieren soll. Doch persönliche Informationen wie das Geburtsdatum, die Adresse und anderes können sich Betrüger leicht im Internet beschaffen – über die sozialen Netzwerke etwa oder von Datenhändlern.

Bei der Telekom soll ein vorher festgelegtes Kundenkennwort für zusätzlichen Schutz sorgen. Anrufer müssen dieses nennen, um telefonisch Aufträge zu erteilen – eine Methode, die alle drei großen Mobilfunkanbieter nutzen. Laut Pressesprecher Azrak setzt die Telekom seit kurzem auch eine Stimmerkennung ein, um den Anrufer zu identifizieren. So wird es SIM-Swappern erschwert, sich am Telefon als eine andere Person auszugeben, um deren Telefonnummer auf ihre SIM-Karte zu übertragen.

Was Nutzer jetzt tun sollten

Online setzt die Telekom auf die Zweifaktor-Authentifizierung: Aufträge funktionieren nur, wenn man eine doppelte Hürde überspringt. Das können zum Beispiel ein Passwort und eine mobile TAN sein, die per SMS aufs Handy geschickt wird. Laut Azrak will die Telekom demnächst auch den Login ihres Kundenportals mit einer zweifachen Sicherheit ausstatten.

Grundsätzlich ist es zwar eine gute Idee, Online-Konten durch zusätzliche Code-Abfragen beim Login abzusichern. Doch wenn die Codeschlüssel immer an eine bestimmte Telefonnummer geschickt werden, können sie von SIM-Swapping-Betrügern abgefangen werden.

Apps wie Google Authenticator oder Authy bieten eine sicherere und ebenfalls komfortable Alternative zur Zweifaktor-Authentifizierung via SMS-Code. Hier werden die Login-Schlüssel nur auf dem Smartphone angezeigt.

• Wie sicher ist Ihr Passwort? Die besten Kennwort-Strategien im Überblick
• Zwei-Schritt-Anmeldungen: So einfach geht es
• Bei Rückruf Abzocke: Lockanrufe aufs Handy nehmen wieder zu

Die Telekom appelliert zudem an ihre Kunden, mit einer Firewall, einem Anti-Viren-Programm, automatischen Sicherheits-Updates und einem Passwort-Manager für einen Basisschutz am Heimrechner und im Browser zu sorgen. Außerdem sollte das Online-Kundenkonto ausreichend abgesichert sein, etwa durch ein starkes Passwort. Azrak: "Ein überall gleiches Passwort ist das größte Einfallstor für Hacker."

Hinweis: Das Portal t-online.de ist ein unabhängiges Nachrichtenportal und wird von der Ströer Digital Publishing GmbH betrieben.