SIM-Swapping Angriff: Wie Kriminelle Ihre Mobilnummer stehlen

SIM-Swap, gestohlene Banking-Zugangsdaten, leergeräumte Konten – wann Mobilfunkanbieter und Bank für den Schaden haften

Das Smartphone klingelt nicht mehr, Anrufe gehen direkt auf die Mailbox, und das Mobilfunknetz zeigt kein Signal. Während der Nutzer versucht herauszufinden, was mit seiner SIM-Karte nicht stimmt, haben Täter längst die Mobilnummer übernommen und nutzen sie, um SMS-TAN-Codes abzufangen und Bankkonten leer zu räumen. SIM-Swapping ist eine der technisch raffiniertesten Angriffsformen auf persönliche Finanzen – und eine, bei der gleich zwei Parteien in der Haftung stehen können: der Mobilfunkanbieter und die Bank.

Was ist SIM-Swapping und wie funktioniert der Angriff?

SIM-Swapping – auch SIM-Hijacking genannt – bezeichnet die missbräuchliche Übertragung einer Mobilfunknummer auf eine neue SIM-Karte, die von Tätern kontrolliert wird. Nach einem erfolgreichen SIM-Swap leiten alle Anrufe und SMS, die an die Nummer des Opfers gerichtet sind, direkt zu den Tätern um. Damit haben Täter die vollständige Kontrolle über alle SMS-basierten Zwei-Faktor-Authentifizierungen.

Der Angriff läuft typischerweise in zwei Phasen ab. In der ersten Phase beschaffen sich Täter die persönlichen Daten des Opfers: Name, Adresse, Geburtsdatum, Kundennummer beim Mobilfunkanbieter und möglichst auch Kontodaten. Diese Daten stammen aus Datenlecks, Phishing-Angriffen oder über Social-Engineering-Anrufe beim Mobilfunkanbieter selbst.

In der zweiten Phase wenden sich Täter an den Mobilfunkanbieter – per Telefon, über den Online-Kundenbereich oder in einem Geschäft – und beantragen eine SIM-Karten-Übertragung auf eine neue Karte. Sie geben sich als der Kontoinhaber aus und nutzen die zuvor beschafften Daten zur Identitätsverifikation. Wenn die Identitätsprüfung des Mobilfunkanbieters unzureichend ist, wird die Übertragung genehmigt.

Ab diesem Moment ist die SIM-Karte des Opfers deaktiviert; alle SMS gehen an die Täter. Mit einem zuvor per Phishing erlangten Banking-Passwort und der nun kontrollierten Telefonnummer können Täter SMS-TAN-Codes für Bankzahlungen oder die Zwei-Faktor-Authentifizierung bei Kryptobörsen und anderen Diensten abfangen.

SIM-Swapping erkennen: Warnzeichen, die sofortiges Handeln erfordern

SIM-Swapping bleibt oft bis zu einer Stunde oder länger unbemerkt. In dieser Zeit können Täter erheblichen Schaden anrichten. Es gibt jedoch charakteristische Warnzeichen, bei denen sofortiges Handeln geboten ist.

Das deutlichste Signal ist der plötzliche Verlust des Mobilfunknetzes, ohne dass eine technische Erklärung wie ein bekannter Netzausfall vorliegt. Wenn das Smartphone auf „kein Netz“ oder „Notruf“ wechselt und andere Nutzer desselben Anbieters normale Verbindungen haben, ist das ein Alarmsignal. Gleichzeitig ist der Erhalt einer SMS oder E-Mail mit dem Hinweis auf eine SIM-Karten-Änderung, die man nicht selbst beantragt hat, ein direkter Beweis für einen laufenden SIM-Swap-Angriff.

Wenn Anmeldeversuche bei Banking-Apps oder Online-Diensten scheitern, obwohl die Zugangsdaten korrekt sind, können Täter bereits das Passwort geändert haben. Auch unerwartete E-Mails über Änderungen von Kontaktdaten bei der Bank oder bei Online-Diensten sind ein Hinweis darauf, dass fremde Parteien Zugriff auf das Konto erlangt haben.

Wer auch nur ein einziges dieser Signale bemerkt, sollte nicht warten, um Gewissheit zu erlangen, sondern sofort handeln: Mobilfunkanbieter anrufen und SIM-Karte sperren lassen, Bank anrufen und Konto sperren, alle Passwörter ändern – in dieser Reihenfolge und so schnell wie möglich.

Sofortmaßnahmen nach einem SIM-Swapping-Angriff

Jede Minute zählt bei einem SIM-Swap-Angriff. Der Aktionsplan muss ohne Verzögerung eingeleitet werden.

Der erste Schritt ist der Anruf beim Mobilfunkanbieter. Das Konto muss sofort gesperrt und die missbräuchlich ausgestellte SIM-Karte deaktiviert werden. Gleichzeitig muss eine neue SIM-Karte mit der eigenen Nummer ausgestellt werden. Diese Sperrung lässt sich über den Kundenservice aller großen deutschen Mobilfunkanbieter rund um die Uhr durchführen. Der Sperrnotruf 116 116 gilt für Bankkartensperrung; für den Mobilfunkaccount müssen die anbieterinternen Hotlines genutzt werden.

Der zweite Schritt ist der Anruf bei der Bank. Das Bankkonto muss umgehend gesperrt werden, um weitere Transaktionen zu verhindern. Über den bundesweiten Sperrnotruf 116 116 kann zusätzlich eine Kartensperre veranlasst werden. Wenn Zahlungen noch nicht final gebucht sind, besteht in einem engen Zeitfenster die Möglichkeit eines Stopps. Ausführliche Informationen dazu finden Sie in unserem Beitrag zu Überweisungen zurückfordern.

Der dritte Schritt ist die vollständige Sicherung aller Beweise. Dazu gehören Kontoauszüge mit den nicht autorisierten Transaktionen, alle Benachrichtigungen über SIM-Karten-Änderungen, Nachrichten vom Mobilfunkanbieter sowie Notizen über den genauen Zeitpunkt, an dem der Netzausfall bemerkt wurde und wann welche Maßnahmen ergriffen wurden. Diese Dokumentation ist die Grundlage für alle weiteren rechtlichen Schritte.

Der vierte Schritt ist die Strafanzeige bei der Polizei oder über die Online-Wache des Landeskriminalamts. Das Aktenzeichen wird für die Korrespondenz mit Bank und Mobilfunkanbieter benötigt.

Haftung des Mobilfunkanbieters: Wenn die Identitätsprüfung versagt hat

Der Mobilfunkanbieter haftet, wenn er die SIM-Karte ohne ausreichende Identitätsverifikation auf eine neue Karte übertragen hat. Zwischen dem Mobilfunkanbieter und dem Kunden besteht ein Telekommunikationsvertrag, aus dem Schutzpflichten erwachsen – darunter die Pflicht, die Mobilfunknummer nur nach einer Identitätsprüfung zu übertragen, die dem Standard der im Telefonmarkt üblichen Sorgfalt entspricht. Wenn die Übertragung aufgrund einer Täuschung über die Identität des Antragstellers erfolgte und die eingesetzte Prüfmethode nicht geeignet war, diese Täuschung zu erkennen, liegt eine Vertragspflichtverletzung vor.

Zusätzlich zur vertraglichen Haftung kommen deliktische Ansprüche nach § 823 Abs. 1 BGB in Betracht. Das allgemeine Persönlichkeitsrecht und das Eigentumsrecht sind absolut geschützte Rechte im Sinne dieser Norm. Die missbräuchliche Übertragung der Mobilnummer greift in das Persönlichkeitsrecht des Opfers ein und ermöglicht den Eingriff in sein Vermögen. Wenn der Mobilfunkanbieter durch unzureichende Sorgfalt bei der Identitätsprüfung diesen Eingriff ermöglicht hat, kann er auf Ersatz des entstandenen Schadens haften.

In der Praxis hängt die Stärke des Anspruchs davon ab, welche Identitätsverifikationsmethode der Anbieter eingesetzt hat. Wenn die Täter die SIM-Übertragung durch Angabe von Name, Adresse und Geburtsdatum – ohne weitere Verifizierung – durchsetzen konnten, ist das ein erhebliches Indiz für eine mangelhafte Sicherheitsarchitektur. Größere Mobilfunkanbieter, die über zusätzliche Sicherheitsmechanismen – wie separate Kunden-PINs oder biometrische Verifizierung – verfügen könnten, diese aber nicht eingesetzt haben, stehen in der Argumentation schwächer.

Haftung der Bank: Wenn SMS-TAN-Codes trotz Angriff akzeptiert wurden

Neben dem Mobilfunkanbieter kann auch die Bank für den entstandenen Schaden haften. Nach § 675u BGB ist ein Kreditinstitut verpflichtet, nicht autorisierte Zahlungsvorgänge unverzüglich zu erstatten. Die entscheidende Frage ist, ob eine durch SIM-Swapping abgefangene TAN eine wirksame Autorisierung der Transaktion darstellt.

Nach der Rechtsprechung mehrerer Gerichte gilt eine Autorisierung als nicht wirksam, wenn sie durch Täuschung erschlichen wurde. Wenn Täter die SMS-TAN durch die missbräuchliche Übernahme der Mobilnummer abgefangen haben und der Kontoinhaber selbst keine Kenntnis von der Transaktion hatte, fehlt die wirksame Zustimmung. Die Transaktion gilt damit als nicht autorisiert – und fällt unter die Erstattungspflicht der Bank.

Die Bank kann dieser Erstattungspflicht nur entgehen, wenn sie dem Kontoinhaber grobe Fahrlässigkeit nachweist. Das setzt voraus, dass der Kontoinhaber durch sein eigenes Verhalten wesentlich dazu beigetragen hat, dass Täter die SIM-Übertragung durchführen konnten – etwa durch Preisgabe des Kundenpins beim Mobilfunkanbieter auf telefonische Anforderung. Die normale Kompromittierung durch ein Datenleck oder einen Phishing-Angriff, dem das Opfer nicht grob fahrlässig ausgesetzt war, genügt für diesen Nachweis in der Regel nicht.

Zusätzlich ist die Frage relevant, ob die Bank über Transaktionsüberwachungssysteme verfügte, die das SIM-Swap-Angriffsmuster hätten erkennen können. Wenn in kurzer Zeit nach einer ungewöhnlichen Anzahl fehlgeschlagener Anmeldeversuche oder nach dem Austausch eines Zwei-Faktor-Authentifizierungsgeräts große Transaktionen ausgelöst wurden, hätte das Transaktionsüberwachungssystem einer sorgfältig agierenden Bank Alarm schlagen müssen.

SIM-Swapping und Kryptowährungen: Besondere Risiken und Möglichkeiten

SIM-Swap-Angriffe richten sich häufig nicht nur gegen Bankkonten, sondern auch gegen Kryptobörsen und Wallets, bei denen die Zwei-Faktor-Authentifizierung über SMS läuft. Mit der übernommenen Mobilnummer können Täter das Passwort zurücksetzen lassen, die Zwei-Faktor-Authentifizierung deaktivieren und anschließend alle Kryptovermögen abziehen.

Im Kryptobereich ist die Haftungssituation komplexer. Wenn eine regulierte Kryptobörse die Zwei-Faktor-Authentifizierung ausschließlich per SMS anbietet und keine zusätzlichen Sicherheitsebenen – wie E-Mail-Bestätigung, Abhebungslimits mit Verzögerung oder biometrische Verifizierung – implementiert hat, kann eine Haftung der Börse wegen unzureichender Sicherheitsarchitektur in Betracht kommen. Wenn Täter über die SMS-2FA ohne weitere Prüfung Krypto abziehen konnten, hat die Börse ihre Sorgfaltspflichten möglicherweise verletzt.

Parallel dazu haftet der Mobilfunkanbieter für den Kryptovermögensschaden aus denselben Grundsätzen wie für den Bankschaden. Ausführliche Informationen zu den Haftungsmöglichkeiten im Kryptobereich finden Sie in unserem Beitrag zu Internetbetrug und Bankenhaftung.

Schutz vor SIM-Swapping: Was Nutzer jetzt tun können

SIM-Swapping ist schwer vollständig zu verhindern, weil ein Teil des Angriffswegs beim Mobilfunkanbieter liegt und nicht beim Opfer. Dennoch gibt es Maßnahmen, die das Risiko erheblich reduzieren.

Die wichtigste Maßnahme ist der Wechsel von SMS-basierter Zwei-Faktor-Authentifizierung auf Authenticator-Apps wie Google Authenticator oder Authy. Diese Apps generieren Einmalcodes direkt auf dem Gerät, ohne SMS-Übertragung – ein SIM-Swap-Angriff kann diese Codes nicht abfangen. Für alle sensiblen Dienste – Banking, Kryptobörsen, E-Mail – sollte die Authenticator-App-2FA aktiviert werden, sofern angeboten.

Eine zweite Maßnahme ist das Setzen einer zusätzlichen PIN oder eines Passwortes beim Mobilfunkanbieter für SIM-Karten-Änderungen. Viele Anbieter erlauben es, einen separaten Sicherheitscode für Kontoänderungen zu hinterlegen, der über die normalen Kundendaten hinausgeht. Dieser Code sollte nirgendwo digital gespeichert werden.

Drittens sollten alle Benachrichtigungskanäle aktiviert werden: SMS-Benachrichtigungen bei Kontoaktivitäten, E-Mail-Benachrichtigungen über Loginversuche und sofortige Alarmierungen bei ausgelösten Zahlungen. Je früher ein SIM-Swap-Angriff bemerkt wird, desto geringer ist der mögliche Schaden.

Wann lohnt sich anwaltliche Beratung nach einem SIM-Swap-Angriff?

Anwaltliche Beratung lohnt sich nach einem SIM-Swap-Angriff in nahezu jedem Fall, in dem ein finanzieller Schaden entstanden ist. Ein Anwalt für Bank- und Kapitalmarktrecht prüft beide Haftungsstränge parallel: die Haftung des Mobilfunkanbieters wegen unzureichender Identitätsverifikation und die Haftung der Bank wegen nicht autorisierter Zahlungsvorgänge. Er bewertet, welche Sicherheitsstandards der Mobilfunkanbieter hätte einhalten müssen, ob die Bankentransaktion als nicht autorisiert einzuordnen ist und ob die Transaktionsüberwachung der Bank versagt hat.

Die koordinierte Geltendmachung von Ansprüchen gegen beide Parteien erhöht die Erfolgsaussichten und stellt sicher, dass keine Haftungsgrundlage ungenutzt bleibt. Fristen für Erstattungsansprüche gegen die Bank und für Schadensersatz gegen den Mobilfunkanbieter laufen unabhängig voneinander.

Einen allgemeinen Überblick über Haftungsansprüche bei digitalen Angriffen auf Bankkonten finden Sie in unserem Beitrag zum Finanzrecht und im Beitrag zum Thema Anwalt für Finanzbetrug.

Fazit: SIM Swapping – zwei Haftungsadressen, klarer Anspruchsweg

SIM-Swapping ist eine Angriffsform, die ihre Wirksamkeit aus einer Sicherheitslücke bezieht, die nicht beim Opfer liegt, sondern beim Mobilfunkanbieter. Wer eine unzureichend gesicherte SIM-Übertragung ermöglicht und damit Tätern den Weg in fremde Bankkonten ebnet, trägt dafür Verantwortung. Ebenso die Bank, die durch abgefangene SMS-TAN-Codes ausgelöste Transaktionen erstattet, wenn die Autorisierung durch Täuschung erschlichen wurde.

Für Betroffene bedeutet das: Schnell handeln, Beweise sichern und beide Haftungsadressen gleichzeitig angehen. Die Chancen auf vollständige Erstattung sind in diesen Fällen oft besser als vermutet – weil die Pflichtverletzung beim Mobilfunkanbieter in der Regel gut dokumentierbar ist.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Mobilfunkanbietern und Banken bis zur Durchsetzung von Erstattungs- und Schadensersatzansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu SIM Swapping