68 Millionen US-Dollar im Jahr 2021 durch SIM-Swapping ergaunert
Das FBI warnt vor einer starken Zunahme sogenannten SIM-Swappings, durch das Angreifer im Jahr 2021 einen Multi-Millionen-Schaden angerichtet haben.
(Bild: KPad/Shutterstock.com)
Durch SIM-Swapping ist im Jahr 2021 in den USA ein Schaden von 68 Millionen US-Dollar in 1611 gemeldeten Fällen entstanden. Ein starker Anstieg: Zwischen 2018 und 2020 erreichten das FBI 320 Beschwerden mit einer Schadenssumme von 12 Millionen US-Dollar. Bei SIM-Swapping versuchen die Angreifer, die SIM und somit die Telefonnummer und Identität eines Opfers zu übernehmen, um daraus Kapital zu schlagen.
Dazu versuchen Angreifer beispielsweise, beim Mobilfunkanbieter eine neue SIM zu erhalten oder eine Rufnummer zu portieren. Dadurch landen dann Anrufe, Textnachrichten und Ähnliches in den Händen der Betrüger. Die könnten damit etwa Zugang zu Diensten erhalten, indem sie dort die Funktion "Passwort vergessen" nutzen. Eine SMS-basierte Zwei-Faktor-Authentifizierung lässt sich so umgehen. Daher gibt das FBI in seiner Meldung Hinweise, wie potenzielle Opfer und Mobilfunkanbieter sich besser schützen können.
Bedrohungslage in Deutschland
SIM-Swapping kam in der Vergangenheit auch im deutschsprachigen Raum vor. Auf Nachfrage durch heise Security antworteten die großen Mobilfunkanbieter unisono, dass diese Art der Kriminalität hier praktisch nicht mehr stattfinde. Die Sicherheitsmaßnahmen wurden hierzulande deutlich verbessert.
Alexander Geckeler, Pressesprecher von telefonica, antwortete uns: "SIM-Swapping-Vorfälle waren ab etwa 2013 immer mal wieder bei allen Mobilfunk-Providern in Deutschland präsent. Seit zwei Jahren sind in diesem Bereich, was unsere Kundenbasis betrifft, keine Aktivitäten mehr feststellbar.
Seit den ersten bekannt gewordenen Fällen arbeiten wir kontinuierlich an der Verbesserung unserer Sicherheitsmaßnahmen und Prozesse, um das Vorgehen der Betrüger zu unterbinden. Durch intensive Zusammenarbeit mit den Banken und den Ermittlungsbehörden konnten in der Vergangenheit die meisten in diesem Bereich tätigen Tätergruppen überführt werden."
Das stimmt mit den Beobachtungen der Deutschen Telekom überein. Christian Fischer von der Telekom sagte gegenüber heise online: "Zuletzt [haben] 2019 die Mobilfunkprovider in Deutschland Polizei und Staatsanwaltschaft in Hannover dabei unterstützt, Onlinebanking-Betrüger ermitteln zu können. Zu diesem Zweck bestand über Monate Kontakt mit den Behörden. Der Betrug ist sehr aufwendig und setzt in Deutschland Helfershelfer aus dem Umfeld von Vertriebspartnern voraus. Nur dann ist es theoretisch möglich, Ersatz-SIM-Karten ohne Kenntnis der Opfer aktivieren und für kurze Zeit nutzen zu können. Fälle wie dieser haben dazu geführt, dass Schutzmechanismen und Kontrollen jeweils weiter perfektioniert worden sind."
Seit Jahren keine Fälle aufgetreten
Auch die Pressesprecherin von Vodafone, Tanja Vogt bestätigte uns: "Wir haben seit Jahren keine Fälle von SIM Swapping vorliegen, da wir unsere Sicherheitsmaßnahmen in den letzten Jahren kontinuierlich verstärkt haben.
Eine Portierung bedarf immer der Abstimmung zwischen den Providern, der Kunde muss für eine Portierung exakte Angaben beim neuen Provider machen und die Rufnummer in Abstimmung mit seinem bisherigen Provider portierungsfähig machen. Zudem ist für den neuen Vertrag eine Legitimierung erforderlich. Ein SIM-Swap muss durch den Kunden immer mit dem Kundenkennwort autorisiert werden. Eine neue Karte wird nicht an eine beliebige, sondern nur an die Adresse des Kunden verschickt. Eine Lieferadressänderung ist nur mit einer weiteren Authentisierung möglich."
Strafverfolgungsbehörden bestätigen
[Update] René Vorspohl von der Pressestelle des BKA berichtet ebenfalls, dass SIM-Swapping in Deutschland kaum noch auftritt: "Derartige Fälle waren in der Vergangenheit auch vereinzelt in Deutschland in Zusammenhang mit dem Phänomen Phishing und Online-Banking feststellbar, entfalten aber derzeit keine größere Relevanz. Eine mögliche Erklärung hierfür ist, dass dieser Modus Operandi in Deutschland durch die bankenseitige Verlagerung der Zwei-Faktor-Authentifizierung von SMS-basierten Token hin zur App-basierten Verifizierung nur noch bedingt für Betrugshandlungen im Rahmen des Online-Bankings genutzt werden kann." [/Update]
[Update 2] Da es für SIM-Swapping keinen eindeutigen PKS-Schlüssel (Polizeiliche Kriminal-Statistik) gebe, gestaltete sich die Recherche etwas schwieriger. Für 2018 konnte jedoch "eine Fallzahl im niedrigen zweistelligen Bereich ermittelt werden", erläutert Katrin Gladitz, Pressesprecherin des Landeskriminalamts Niedersachsen. "Im Jahr 2019 lagen die Fallzahlen im mittleren einstelligen Bereich. In den beiden darauffolgenden Jahren beliefen sich die Fallzahlen auf eine untere zweistellige Fallzahl", ergänzte Gladitz gegenüber heise Security. Sie erklärte weiter: "Mit Blick auf die DSGVO kann gesagt werden, dass diese nie zu 100 Prozent ausreichenden Schutz bietet, zum Beispiel bei vermeintlich 'freiwilliger' Herausgabe des Sicherheitskennwortes durch den Betroffenen."[/Update 2]
[Update 14.02.2022 11:20 Uhr] Stellungnahme des BKA ergänzt. [Update 15:30 Uhr] Erkenntnisse des LKA Niedersachsen ergänzt.
(dmk)
