SIM-Swapping: Der Betrug mit dem SIM-Duplikat und wie du dich schützt

SIM-Swapping ist ein Betrug, bei dem ein Täter ein Duplikat deiner SIM-Karte erlangt und deine Telefonnummer auf sein Handy "überträgt". Von diesem Moment an erhält er deine Anrufe und – am schlimmsten – die SMS mit den Verifizierungscodes deiner Bank. Hier erklären wir, wie sie es machen, welche Zeichen sie verraten und wie du dich absicherst.

Anders als bei den Betrugsmaschen, die du schon kennst, wirst nicht du selbst mit einem Anruf getäuscht. Der Schlag richtet sich gegen deinen Mobilfunkanbieter. Genau deshalb ist es so gefährlich: Du kannst alles richtig machen, keine seltsame Nummer beantworten und trotzdem die Kontrolle über deine Leitung verlieren. Die gute Nachricht: Es gibt konkrete Abwehrmaßnahmen, und viele sind kostenlos.

Was genau ist SIM-Swapping?

Deine Telefonnummer lebt nicht in der Plastik-SIM-Karte. Sie lebt in den Systemen deines Anbieters, die diese Nummer einer bestimmten SIM zuordnen. Wenn du ein Duplikat anforderst, weil du dein Handy verloren oder die Karte beschädigt hast, "trennt" der Anbieter die alte SIM und aktiviert die neue mit deiner gleichen Nummer. Das ist ein legitimer und notwendiger Dienst.

SIM-Swapping (auch betrügerisches SIM-Duplikat oder SIM-Swap genannt) bedeutet, dass ein Täter dieses Duplikat anfordert, indem er sich als du ausgibt. Gelingt es ihm, ist deine echte SIM in wenigen Minuten ohne Dienst und deine Nummer beginnt, auf dem Telefon des Angreifers zu funktionieren.

Ab da geht alles, was von deiner Nummer abhängt, in seine Hände über:

• Die SMS mit Verifizierungscodes (das bekannte 2FA oder OTP) deiner Bank, deiner E-Mail oder deiner sozialen Netzwerke.
• Die Bestätigungsanrufe, die manche Institute vor einem Vorgang tätigen.
• Die SMS zur Passwort-Wiederherstellung Dutzender Dienste.

Mit dem per SMS eintreffenden Code kann der Angreifer in dein Online-Banking eindringen, Überweisungen autorisieren oder dein Konto leerräumen. Und das alles, ohne dass dein Passwort durchgesickert ist: Es genügt ihm, diesen zweiten Faktor abzufangen, den du für sicher hieltest.

Wie schaffen sie es, sich gegenüber dem Anbieter als dich auszugeben?

Das SIM-Duplikat ist nicht der erste Schritt des Betrugs, sondern der letzte. Davor muss der Täter genug Daten über dich sammeln, um den Anbieter (oder einen Mitarbeiter) zu überzeugen, dass er der Inhaber der Leitung ist. Diese Vorphase ist reines Social Engineering.

Die Daten beschafft er durch die Kombination mehrerer Quellen:

• Datenlecks: Sicherheitsverletzungen bei Unternehmen, die Namen, Ausweisnummern, Telefonnummern und Adressen offenlegen.
• Phishing und Smishing: E-Mails und SMS, die dich auffordern, deine Daten zu "verifizieren". Wenn dir das bekannt vorkommt, dann weil es dieselbe Mechanik ist, die wir in unserem Leitfaden zum Smishing und SMS-Betrug erklären.
• Vishing: Anrufe, bei denen man sich als deine Bank oder dein Anbieter ausgibt, um dir Ausweisnummer, Geburtsdatum oder Kontonummer zu entlocken.
• Soziale Netzwerke: öffentliche Informationen, die du selbst geteilt hast, ohne ihr Bedeutung beizumessen.

Mit diesem zusammengestellten Dossier kontaktieren sie deinen Anbieter telefonisch, über die Website oder sogar persönlich im Shop und fordern das Duplikat an. Deshalb ist es gut zu verstehen, dass dem SIM-Swapping fast immer ein anderer Betrugsversuch vorausgeht. Wenn dich kürzlich ein Anruf oder eine SMS erreicht hat, die nach persönlichen Daten fragte, betrachte das als Warnsignal. Lerne, die Risikosignale einer Nummer zu lesen, bevor du irgendwelche Daten herausgibst.

Warum ist die SMS kein sicherer zweiter Faktor mehr?

Jahrelang galt es als ausreichend, einen Code per SMS zu erhalten, um einen Vorgang zu bestätigen. Die Logik war einfach: Nur du hast dein Handy, also erhältst nur du den Code. SIM-Swapping bricht diese Prämisse an der Wurzel. Wenn der Angreifer deine Nummer kontrolliert, erreicht ihn der Code.

Das hängt mit anderen Betrugsmaschen zusammen, die dasselbe schwache Glied ausnutzen. Wir haben es bei den Flash Calls und Ping-Anrufen zum Stehlen von OTPs gesehen: Einmalcodes sind für Kriminelle äußerst wertvoll, und die SMS ist der am leichtesten abzufangende Kanal.

Die Schlussfolgerung ist nicht "die SMS taugt nichts", sondern dass die SMS der schwächste Faktor unter den vorhandenen ist. Wenn du eine andere Verifizierungsmethode wählen kannst, tu es. Weiter unten erklären wir welche.

Welche Zeichen deuten darauf hin, dass man dir einen SIM-Swap macht?

Dein großer Verteidigungsvorteil ist, dass SIM-Swapping eine sehr sichtbare Spur hinterlässt: Dein Handy funktioniert nicht mehr. Das Problem ist, dass viele es mit einer technischen Störung verwechseln und Stunden brauchen, um zu reagieren. Jede Minute zählt.

Das sind die Zeichen, die du nicht ignorieren darfst:

Das wichtigste Zeichen ist der unerklärliche Netzverlust. Wenn du in einem Gebiet bist, in dem du immer Empfang hast, und er plötzlich verschwindet, und ein Neustart des Handys es nicht behebt, schieb es nicht auf später. Nimm ein anderes Telefon und ruf deinen Anbieter an, um zu bestätigen, dass deine SIM noch aktiv ist und niemand ein Duplikat angefordert hat.

Was tue ich in den ersten Minuten, wenn ich Verdacht habe?

Geschwindigkeit ist alles. Wenn du glaubst, gerade jetzt einen SIM-Swap zu erleiden:

1. Ruf deinen Anbieter von einem anderen Telefon aus an und verlange, jedes Duplikat zu sperren und deine SIM zu reaktivieren. Erkläre, dass du einen Betrug vermutest.
2. Kontaktiere deine Bank über ihren offiziellen Kanal (die App oder die Nummer auf der Kartenrückseite) und verlange, die Zugriffe und Online-Vorgänge einzufrieren.
3. Ändere die Passwörter deiner Haupt-E-Mail und deines Bankings von einem vertrauenswürdigen Gerät aus, nicht vom betroffenen Handy.
4. Überprüfe deine Konten auf Überweisungen oder Änderungen, die du nicht vorgenommen hast.
5. Erstatte Anzeige. Ruf die kostenlose 017 des INCIBE an, um dich beraten zu lassen, und erstatte Anzeige bei der Polizei.

Wenn du bereits Daten herausgegeben oder Abbuchungen erlitten hast, befolge den vollständigen Aktionsplan, den wir in was tun, wenn du deine Daten bei einem Betrug bereits herausgegeben hast beschreiben.

Wie schütze ich mich, bevor es passiert? Die Anbieter-PIN und andere Barrieren

Die Vorbeugung von SIM-Swapping hat zwei Fronten: dem Angreifer das Sammeln deiner Daten zu erschweren und dem Anbieter zu erschweren, ein Duplikat an jemanden auszuhändigen, der nicht du bist. Die wichtigste Maßnahme ist die PIN oder das Passwort beim Anbieter.

Die Anbieter-PIN: dein bester Schutzschild

Die meisten Anbieter in Spanien erlauben es, einen mit deinem Konto verknüpften Sicherheitscode oder eine PIN einzurichten. Es ist ein Code, der bei jedem sensiblen Vorgang verlangt wird, etwa bei einem SIM-Duplikat. Ohne diesen Code können sie den Wechsel nicht autorisieren, nicht einmal mit deinen persönlichen Daten.

Sie aktiviert sich nicht von selbst. Du musst sie ausdrücklich anfordern:

• Ruf deinen Anbieter an oder geh in deinen Kundenbereich.
• Beantrage die Aktivierung eines Sicherheitscodes oder einer PIN für SIM-Vorgänge.
• Wähle einen nicht erratbaren Code (keine Geburtsdaten oder Ausweisnummern).
• Bewahre ihn dort auf, wo du nicht alles andere aufbewahrst.

Sie ist kostenlos und die wirksamste existierende Barriere gegen das betrügerische Duplikat. Wenn du nicht weißt, ob dein Anbieter sie anbietet oder wie sie in deinem Fall genau heißt, sieh dir unseren Bereich Anbieter an oder frag direkt beim Kundenservice.

Ersetze die SMS durch stärkere Verifizierungsmethoden

Selbst wenn sie dir den SIM-Swap machen: Wenn deine kritischen Konten nicht von der SMS abhängen, fehlt dem Angreifer das Schlüsselstück. Vergleiche die Optionen:

Die praktische Empfehlung: Migriere den zweiten Faktor deiner Bank, deiner E-Mail und deiner sozialen Netzwerke zu einer Authentifizierungs-App oder zu Schlüsseln/Passkeys, wann immer der Dienst es zulässt. Behalte die SMS nur für Dienste vor, bei denen es keine Alternative gibt.

Reduziere den Daten-Fußabdruck, den man dir stehlen kann

Der SIM-Swap beginnt mit deinen Daten. Je weniger davon kursieren, desto schwerer machst du es ihnen:

• Gib niemals persönliche Daten am Telefon oder per SMS an jemanden heraus, der dich anruft oder anschreibt, ohne dass du es initiiert hast. Die goldene Regel ist wie immer dieselbe: auflegen und über den offiziellen Kanal prüfen.
• Misstraue der Dringlichkeit. Der Druck, "sofort" zu handeln, ist das Markenzeichen des Betrugs.
• Überprüfe, was du in Netzwerken postest. Dein Geburtsdatum, dein Heimatort oder der Name deines Haustiers können Antworten auf Sicherheitsfragen sein.
• Achte auf Datenlecks. Wenn man dich über eine Sicherheitsverletzung bei einem von dir genutzten Dienst informiert, ändere dieses Passwort und aktiviere ein starkes 2FA.

Aktiviere Benachrichtigungen und stärke die E-Mail

Dein E-Mail-Konto ist der Hauptschlüssel: Von dort werden fast alle anderen Passwörter wiederhergestellt. Schütze es mit der bestmöglichen Verifizierung und einem 2FA, das nicht von der SMS abhängt. Aktiviere außerdem die Benachrichtigungen der Bank für jeden Zugriff oder jede Bewegung: Sie sind dein Frühwarnsystem, weil sie dich über verdächtige Aktivität informieren, selbst wenn der Angreifer deine Nummer bereits kontrolliert (die Push gehen an das Gerät, nicht an die Leitung).

Worin unterscheidet sich SIM-Swapping von anderen Telefonbetrügereien?

Es ist leicht zu verwechseln, also machen wir es klar. Beim Vishing und beim Spoofing der Rufnummernanzeige täuscht dich der Täter direkt, indem er sich als deine Bank ausgibt, damit du ihm die Daten gibst oder etwas autorisierst. Beim SIM-Swapping richtet sich die Täuschung gegen den Anbieter, und du nimmst nicht einmal am Gespräch teil.

Ein weiterer entscheidender Unterschied: Bei den meisten Telefonbetrügereien ist die Verteidigung, nicht abzunehmen und keine Daten herauszugeben. Beim SIM-Swapping reicht das nicht, weil der Angriff im Hintergrund abläuft. Hier ist die Verteidigung strukturell: die Anbieter-PIN, das 2FA ohne SMS und die Überwachung des Netzempfangs.

Allerdings teilen sie ein gemeinsames Anfangsglied: das Sammeln von Daten durch Phishing, Smishing oder Vishing. Deshalb schützt dich das Absichern gegen diese ersten Versuche auch vor dem SIM-Swap. Wenn du oft viele verdächtige Anrufe erhältst, sieh dir an, wie man die meistgemeldeten Nummern identifiziert und blockiert, und konsultiere die Spam-Trends in Spanien, um zu wissen, welche Muster gerade kursieren.

Zusammenfassung: dein Anti-SIM-Swap-Plan

Wenn du dir vier Ideen merkst, dann diese:

1. Aktiviere noch heute die Anbieter-PIN. Sie ist kostenlos und die wirksamste Barriere.
2. Nimm die SMS aus deinem 2FA bei Bank, E-Mail und Netzwerken. Nutze Authentifizierungs-Apps oder Passkeys.
3. Behandle den plötzlichen Netzverlust als Notfall, nicht als technische Störung.
4. Schütze deine E-Mail über alles und aktiviere Bankbenachrichtigungen.

SIM-Swapping macht Angst, weil es einen Dienst angreift, den du für unantastbar hieltest: deine eigene Nummer. Aber es ist einer der Betrugsfälle, der sich am besten verhindern lässt, wenn du rechtzeitig die richtigen Maßnahmen ergreifst. Du musst kein Sicherheitsexperte sein; du brauchst einen Anruf bei deinem Anbieter und eine halbe Stunde zum Ändern von Einstellungen.

Und denk daran, dass die Community dein bestes Radar ist. Viele SIM-Swaps beginnen mit einem Anruf oder einer SMS zum Sammeln von Daten. Wenn du eine verdächtige erhältst, schlag sie nach und melde sie im Spam-Nummern-Verzeichnis von NoCall: Du hilfst einer anderen Person, die Bedrohung zu erkennen, bevor sie anbeißt. Um dich weiterzubilden, schau in unsere Leitfäden und in den restlichen Blog.