2 gleiche handynummern

Da praktisch jeder mittlerweile ein Handy oder Smartphone besitzt und ständig mit sich führt, werden mobile Endgeräte verstärkt zur Überprüfung der persönlichen Identität verwendet, insbesondere durch Online-Dienste. Dazu wird ein Einmal-Passcode via SMS oder Voicemail an das Handy des Nutzers durchgegeben. Dieser muss den Code dann zur Authentifizierung auf einer Website oder App eingeben, eventuell als Bestandteil einer Multi-Faktor-Authentifizierung (MFA) oder zur Wiederherstellung eines Accounts.

Handynutzer aufgepasst: Kriminelle machen sich den Trick mit der Ersatz-SIM-Karte zunutze, um auf persönliche Dienste wie Online-Banking zuzugreifen. Handynutzer aufgepasst: Kriminelle machen sich den Trick mit der Ersatz-SIM-Karte zunutze, um auf persönliche Dienste wie Online-Banking zuzugreifen.
Foto: Prostock-studio - shutterstock.com

Dabei handelt es sich um eine benutzerfreundliche und vermeintlich sichere Methode. Doch die Tatsache, dass die meisten Nutzer ihre Mobilfunknummern mit Bank-, E-Mail- und Social-Media-Konten verknüpft haben, lockt auch Angreifer auf den Plan. Verschaffen sie sich via SIM-Swapping Zugang zu einer fremden Handy-Nummer, können sie diese für eine Reihe krimineller Zwecke nutzen. So bekommt ein Angreifer alle SMS und Anrufe weitergeleitet oder kann selbst simsen oder - beispielsweise kostenpflichtige Dienste im Ausland - anrufen.

Außerdem ist er in der Lage, (fast) die gesamte Online-Präsenz an sich reißen, indem er Accounts hackt, bei denen eine Mobilfunk-basierte Authentifizierung (z.B. Twitter) oder Wiederherstellung des Passworts möglich ist - dazu gehören beispielsweise auch Gmail, Facebook oder Instagram. Prominente Opfer sind unter anderem Twitter-Mitbegründer und Ex-CEO Jack Dorsey oder Schauspielerin Jessica Alba: Ihre Twitter-Accounts wurden via SIM-Swapping gehackt, um im Anschluss anstößige Posts auf der Plattform zu versenden.

Teuer wird es, wenn das Opfer das immer noch (zu) häufig genutzte mTAN- oder smsTAN-Verfahren zur Freigabe von Online-Überweisungen verwendet, also die Bank die Transaktionsnummer per SMS an den Kunden schickt. Verfügt der Hacker zusätzlich über die Zugangsdaten für das Online-Banking, kann er bequem von zuhause aus das Konto seines Opfers leerräumen. Dass diese Methode nicht nur über dem großen Teich, sondern auch hierzulande genutzt wird, dokumentiert eine Meldung der Zentralstelle Cybercrime Bayern. Diese nahm Mitte 2019 ein Verbrecher-Trio fest, das mittels SIM-Swapping Zugriff auf mindestens 27 fremde Bankkonten erlangte und Überweisungen vornahm.

Die bevorzugte Methode zum Kapern einer Mobilfunknummer ist SIM-Swapping, SIM-Swap oder SIM-Hijacking. SIM-Swapping erfolgt in der Regel über das Kundenportal oder die Kunden-Hotline des Mobilfunk-Providers. Dort gibt sich der Hacker als sein Opfer aus und beantragt eine neue SIM, beispielsweise, weil sein Handy mitsamt der SIM-Karte verlorengegangen ist oder wegen des Formats nicht mehr bei dem neuen Smartphone passt. Oder aber er kündigt den Vertrag und beantragt eine Rufnummernmitnahme/Rufnummerportierung zum neuen Provider.

In beiden Fällen genügt natürlich nicht nur die Angabe der Mobilfunknummer; der Hacker muss zusätzliche persönliche Informationen des Opfers bereitstellen, wie Geburtsdatum, Adresse oder Kundenkennwort - Daten, die er sich etwa in sozialen Netzwerken beschafft (Social Engineering), via Phishing-Mails erhalten oder im Darknet gekauft hat. Bei einem Anruf im Servicecenter des Mobilfunkanbieters können mit etwas Überredungsgeschick schon leichter zugängliche Daten ausreichen, damit der Mitarbeiter dem Änderungswunsch trotz mangelnder Legitimation nachzukommt.

Im Anschluss muss sich der Angreifer bei herkömmlichen SIM-Karten noch die physische SIM beschaffen, etwa, indem er den Brief des Mobilfunkanbieters abfängt oder eine andere Adresse angibt. Einfacher geht dies mit einer eSIM, die etwa die vergangenen vier Smartphone-Generationen von Apple und Google unterstützen: Hier wird der eingebaute Chip auf elektronischen Weg mit dem eSIM-Profil beschrieben.

Sind SMS-Versand, Handy-Telefonate und mobile Datenverbindungen auf einmal nicht mehr möglich, kann dies ein Indiz dafür sein, dass die Rufnummer möglicherweise den Besitzer wechselte. Wahrscheinlicher ist allerdings, dass man sich lediglich in einem Funkloch befindet oder einer technischen Störung des Mobilfunknetzes vorliegt.

Eindeutiger ist es, wenn man plötzlich nicht mehr auf verschiedene Dienste zugreifen kann oder ungewöhnliche Vorgänge auf seinem Konto registriert. Da viele Angreifer nachtaktiv sind, merkt man die Probleme häufig erst am nächsten Morgen - dann ist es allerdings in der Regel bereits zu spät.

Beim Schutz vor SIM-Swapping gelten viele Tipps, die auch bei anderen Betrugsmaschen im Internet helfen:

  • Nutzen Sie ein aktuelles Betriebssystem mit den neuesten Sicherheits-Updates und - wo es Sinn macht - Antivirensoftware.

  • Verwenden Sie kein einheitliches Passwort für verschiedene Online-Dienste, sondern jeweils einen individuellen Code, der zudem ausreichend lang und komplex ist.

  • Aktivieren Sie Zwei-Faktor-Authentifizierung als zusätzliche Komponente sicherer Passwörter.

  • Überprüfen Sie gelegentlich, ob es ein Datenleck bei einem der von Ihnen genutzten Dienste gab und Ihre Daten in falsche Hände gerieten. Hinweise dazu liefert etwa der Identity Leak Checker vom Hasso-Plattner-Institut oder haveibeenpwned.com.

  • Vorsicht vor Phishing-Mails: Seriöse Unternehmen, insbesondere Banken, fordern ihre Kunden niemals auf, persönliche Daten über eine Link in einer Mail preiszugeben.

Auch die Mobilfunkbetreiber haben nach dem Aufkommen erster SIM-Swapping-Fälle in Deutschland Vorkehrungen getroffen. So bietet etwa die Telekom seit Sommer 2018 Identifikation per Stimme (Sprach-ID) an, bei Telekom, Vodafone und o2 ist ein spezielles Kundenkennwort bei der Kunden-Hotline verpflichtend. Nutzen Sie diese Möglichkeiten.

Empfehlenswert ist außerdem - soweit möglich - anstelle von SMS oder Anruf - eine andere Methode wie FaceID oder YubiKey - zur Zwei-Faktor-Authentifizierung zu wählen.

  1. Adminrechte
    Keine Vergabe von Administratorenrechten an Mitarbeiter
  2. Dokumentation
    Vollständige und regelmäßige Dokumentation der IT
  3. Sichere Passwörter
    IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
  4. Passwortdiebstahl
    Niemals vertrauliche Daten weitergeben oder/und notieren.
  5. E-Mail-Sicherheit
    E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
  6. Soziale Manipulation
    Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
  7. Vorsicht beim Surfen im Internet
    Nicht jeder Link führt zum gewünschten Ergebnis.
  8. Nur aktuelle Software einsetzen
    Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
  9. Verwendung eigener Software
    Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
  10. Unternehmensvorgaben
    Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
  11. Backups
    Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
  12. Diebstahlschutz
    Mobile Geräte und Datenträger vor Verlust schützen.
  13. Gerätezugriff
    Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
  14. Sicherheitsrichtlinien
    Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
  15. Zugriffsrechte
    Regelung der Zugriffsrechte auf sensible Daten
  16. Softwareupdates
    Automatische und regelmäßige Verteilung von Softwareupdates
  17. Logfiles
    Kontrolle der Logfiles
  18. Datensicherung
    Auslagerung der Datensicherung
  19. Sicherheitsanalyse
    Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
  20. Notfallplan
    Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
  21. WLAN-Nutzung
    Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
  22. Firewalls
    Absicherung der Internetverbindung durch Firewalls
  23. Biometrische Faktoren
    Einsatz von Zugangsschutz/Kennwörter/Biometrie
  24. Zugangskontrolle
    Physische Sicherung/Zugangskontrolle und -dokumentation
  25. Schutz vor Malware
    Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
  26. Webzugriffe
    Definition einer strukturierten Regelung der Webzugriffe
  27. Verschlüsselung
    Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
  28. Löschen
    Sicheres Löschen der Daten bei Außerbetriebnahme
  29. Update der Sicherheitssysteme
    Sicherstellung regelmäßiger Updates der Sicherheitssysteme
  30. Monitoring
    Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

Kann ich eine zweite SIM

Mit einer MultiSIM kannst du mehrere SIM-Karten mit einer einzigen Rufnummer verwenden. Dafür erstellt dein Anbieter einen Klon deiner SIM-Karte, den du dann in ein anderes Gerät stecken kannst. Trotzdem wird nur über eine einzige Rechnung verrechnet.

Wie bekomme ich eine 2 Handynummer?

Mit satellite erhältst du eine zweite kostenlose Handynummer auf deinem Smartphone, die mit 015678 beginnt. Über diese Nummer bist du weltweit erreichbar und kannst weltweit mit ihr telefonieren! Das besondere ist, dass du mit satellite über das Internet telefonierst.