SIM-Swap-Angriffe: So schützen Sie Ihre Kryptowährungen vor dieser unterschätzten Gefahr

Was ist ein SIM-Swap-Angriff?

Ein SIM-Swap-Angriff, auch SIM-Hijacking genannt, ist eine Form des Social Engineering, bei der ein Angreifer Ihren Mobilfunkanbieter dazu bringt, Ihre Telefonnummer auf eine neue SIM-Karte zu übertragen, die sich in seinem Besitz befindet. Sobald die Übertragung abgeschlossen ist, empfängt der Angreifer alle SMS-Nachrichten und Anrufe, die eigentlich für Sie bestimmt sind, einschließlich der Einmalpasswörter (OTPs), die viele Dienste zur Zwei-Faktor-Authentifizierung verwenden.

Die Vorgehensweise ist erschreckend einfach: Der Angreifer sammelt zunächst persönliche Informationen über das Opfer, etwa durch Datenlecks, soziale Medien oder gezielte Phishing-Angriffe. Mit diesen Informationen kontaktiert er den Mobilfunkanbieter und gibt sich als der rechtmäßige Inhaber der Nummer aus. Er behauptet beispielsweise, sein Telefon verloren zu haben, und bittet um die Aktivierung einer neuen SIM-Karte.

In vielen Fällen genügen dem Angreifer grundlegende Informationen wie Name, Geburtsdatum und die letzten vier Ziffern der Sozialversicherungsnummer oder eine Rechnungsinformation. Manchmal werden auch korrupte Mitarbeiter des Mobilfunkanbieters bestochen, um die Übertragung durchzuführen, was den Angriff noch schwerer zu verhindern macht.

Warum Krypto-Besitzer besonders gefährdet sind

Kryptowährungsbesitzer sind aus mehreren Gründen bevorzugte Ziele für SIM-Swap-Angriffe. Erstens sind Krypto-Transaktionen irreversibel: Sobald ein Angreifer Zugriff auf eine Wallet oder ein Börsenkonto erhält und Mittel überweist, gibt es keine Bank und keine Behörde, die die Transaktion rückgängig machen könnte.

Zweitens verwenden viele Krypto-Börsen und Wallets nach wie vor SMS als Standard für die Zwei-Faktor-Authentifizierung. Was als zusätzliche Sicherheitsschicht gedacht ist, wird durch einen SIM-Swap zur offenen Hintertür. Der Angreifer kann das SMS-basierte OTP empfangen, das Passwort zurücksetzen und innerhalb von Minuten die gesamten Bestände abräumen.

Drittens geben viele Krypto-Enthusiasten in sozialen Medien unwissentlich Hinweise auf ihre Bestände. Ein Beitrag über einen erfolgreichen Trade, ein Screenshot einer Wallet-Balance oder die Teilnahme an bestimmten Krypto-Foren kann ausreichen, um als lohnendes Ziel identifiziert zu werden.

Die Schadenssummen bei erfolgreichen SIM-Swap-Angriffen auf Krypto-Besitzer sind oft verheerend. Fälle mit Verlusten von mehreren Hunderttausend bis hin zu Millionenbeträgen sind dokumentiert und betreffen sowohl Privatanleger als auch prominente Persönlichkeiten der Krypto-Szene.

Der typische Ablauf eines Angriffs auf Krypto-Konten

Ein SIM-Swap-Angriff auf ein Krypto-Konto folgt einem vorhersehbaren Muster. Zunächst identifiziert der Angreifer sein Ziel und sammelt persönliche Daten. Dann führt er den SIM-Swap beim Mobilfunkanbieter durch. Sobald er die Kontrolle über die Telefonnummer hat, setzt er das Passwort des E-Mail-Kontos zurück, das mit der Krypto-Börse verknüpft ist. Denn die meisten E-Mail-Anbieter ermöglichen eine Passwort-Zurücksetzung per SMS-Verifizierung.

Mit dem Zugriff auf das E-Mail-Konto kann der Angreifer nun das Passwort der Krypto-Börse zurücksetzen. Die Börse sendet einen Bestätigungslink per E-Mail und ein OTP per SMS, und der Angreifer kontrolliert beides. In vielen Fällen werden zunächst die Sicherheitseinstellungen des Kontos geändert, bevor die Mittel abgezogen werden, um möglichst viel Zeit zu gewinnen, bevor das Opfer den Angriff bemerkt.

Das Opfer bemerkt den Angriff typischerweise erst, wenn sein Mobiltelefon plötzlich kein Netz mehr hat. Bis dahin können bereits Minuten oder Stunden vergangen sein, in denen der Angreifer systematisch alle zugänglichen Konten kompromittiert hat.

Warum SMS-basierte Zwei-Faktor-Authentifizierung versagt

Die SMS-basierte Zwei-Faktor-Authentifizierung wurde in einer Zeit entwickelt, in der die Mobilfunknummer als relativ sicherer zweiter Faktor galt. Diese Annahme hat sich als grundlegend fehlerhaft erwiesen. Das Problem liegt nicht in der Idee der Zwei-Faktor-Authentifizierung selbst, sondern in der Verwendung von SMS als Übertragungskanal.

SMS-Nachrichten sind technisch gesehen nicht Ende-zu-Ende-verschlüsselt. Sie können abgefangen, umgeleitet und manipuliert werden. Neben SIM-Swap-Angriffen gibt es weitere Angriffsvektoren wie SS7-Exploits, bei denen Schwachstellen im Signalisierungssystem der Telekommunikationsnetze ausgenutzt werden, um SMS-Nachrichten abzufangen, ohne dass eine SIM-Karte getauscht werden muss.

Das National Institute of Standards and Technology (NIST) hat bereits vor Jahren die Empfehlung ausgesprochen, SMS-basierte 2FA durch sicherere Alternativen zu ersetzen. Dennoch bieten viele Dienste SMS als Standard oder sogar als einzige 2FA-Option an. Für Krypto-Besitzer ist dies ein inakzeptables Risiko.

Sofortmaßnahmen zum Schutz Ihrer Kryptowährungen

1. Hardware-Sicherheitsschlüssel verwenden: Ein physischer Sicherheitsschlüssel wie der YubiKey oder der SoloKeys Solo v2 bietet den stärksten Schutz gegen Account-Übernahmen. Diese Geräte verwenden das FIDO2/WebAuthn-Protokoll und sind immun gegen Phishing und SIM-Swap-Angriffe, da die Authentifizierung kryptografisch an die jeweilige Domain gebunden ist.

2. Authenticator-Apps statt SMS: Wenn ein Dienst keinen Hardware-Sicherheitsschlüssel unterstützt, verwenden Sie eine Authenticator-App wie Aegis (Android, Open Source) oder Raivo (iOS). Diese Apps generieren zeitbasierte Einmalpasswörter (TOTP) lokal auf Ihrem Gerät, ohne dass eine SMS-Übertragung erforderlich ist. Sichern Sie die TOTP-Seeds offline und verschlüsselt.

3. PIN beim Mobilfunkanbieter einrichten: Kontaktieren Sie Ihren Mobilfunkanbieter und richten Sie eine zusätzliche PIN oder ein Passwort ein, das bei jeder Kontoänderung abgefragt wird. Bei den meisten deutschen Anbietern können Sie eine sogenannte Kundenkennzahl oder ein Service-Passwort hinterlegen, das auch bei einem persönlichen Erscheinen in der Filiale vorgelegt werden muss.

4. Separate E-Mail für Krypto-Konten: Verwenden Sie für Ihre Krypto-Börsen und Wallets eine dedizierte E-Mail-Adresse, die nirgendwo sonst verwendet wird und deren Existenz nicht öffentlich bekannt ist. Diese E-Mail-Adresse sollte selbst mit einem Hardware-Sicherheitsschlüssel geschützt sein.

5. Nummernportierung sperren lassen: Einige Mobilfunkanbieter bieten die Möglichkeit, die Portierung Ihrer Nummer zu sperren. Erkundigen Sie sich bei Ihrem Anbieter nach dieser Option und aktivieren Sie sie, wenn verfügbar.

Fortgeschrittene Schutzmaßnahmen

Für Nutzer mit größeren Krypto-Beständen empfehlen sich weitergehende Maßnahmen. Erwägen Sie die Verwendung einer separaten Telefonnummer ausschließlich für Sicherheitszwecke, die nicht öffentlich bekannt ist und auf keine persönlichen Daten registriert ist. Prepaid-SIM-Karten ohne Identitätsnachweis können hier eine Option sein, sofern die rechtlichen Rahmenbedingungen dies zulassen.

Verwenden Sie einen Passwort-Manager wie KeePassXC (lokal, Open Source) oder Bitwarden, um für jeden Dienst ein einzigartiges, zufällig generiertes Passwort zu nutzen. Dies stellt sicher, dass selbst bei der Kompromittierung eines Kontos keine anderen Konten gefährdet sind.

Überprüfen Sie regelmäßig die Sicherheitseinstellungen aller Ihrer Konten. Viele Börsen bieten mittlerweile Adress-Whitelisting an, bei dem Auszahlungen nur an vorher genehmigte Adressen möglich sind, mit einer Wartefrist von 24 bis 48 Stunden für neue Adressen. Aktivieren Sie diese Funktion überall, wo sie verfügbar ist.

Minimieren Sie Ihre digitale Präsenz in Bezug auf Kryptowährungen. Vermeiden Sie es, in sozialen Medien über Ihre Bestände oder Trades zu sprechen. Deaktivieren Sie öffentliche Aktivitäts-Feeds auf Krypto-Plattformen. Jede Information, die Sie preisgeben, kann einem Angreifer als Ausgangspunkt dienen.

Was tun, wenn Sie Opfer eines SIM-Swap-Angriffs werden?

Wenn Sie plötzlich kein Mobilfunknetz mehr haben und keine SMS empfangen können, handeln Sie sofort. Kontaktieren Sie Ihren Mobilfunkanbieter umgehend von einem anderen Telefon aus und melden Sie einen möglichen SIM-Swap. Bitten Sie darum, alle kürzlich vorgenommenen Änderungen rückgängig zu machen und das Konto sofort zu sperren.

Ändern Sie parallel dazu die Passwörter aller kritischen Konten, insbesondere E-Mail und Krypto-Börsen, von einem sicheren Gerät aus. Wenn Sie noch Zugriff auf Ihre Konten haben, transferieren Sie Ihre Kryptowährungen sofort auf eine Hardware-Wallet, die nicht mit den kompromittierten Konten verbunden ist.

Dokumentieren Sie alles für eine mögliche Strafanzeige: Zeitpunkte, Symptome, kontaktierte Stellen und alle verdächtigen Aktivitäten auf Ihren Konten. In Deutschland können Sie eine Strafanzeige bei der örtlichen Polizei oder der Zentralstelle für Cyberkriminalität erstatten.

Monero bietet inhärenten Schutz

An dieser Stelle sei darauf hingewiesen, dass Monero-Nutzer in einer grundlegend besseren Ausgangslage sind als Nutzer transparenter Blockchains. Da Monero-Transaktionen standardmäßig vertraulich sind, kann ein Angreifer nicht durch die Analyse der Blockchain feststellen, ob ein bestimmtes Ziel lohnend ist. Die Kontostände sind von außen nicht einsehbar, und die Transaktionshistorie ist durch Ring-Signaturen und Stealth-Adressen geschützt.

Darüber hinaus empfehlen wir, Monero direkt über eine persönliche Wallet zu verwalten, anstatt sie auf einer zentralen Börse zu belassen. Eine Hardware-Wallet in Kombination mit der offiziellen Monero-GUI-Wallet bietet ein Sicherheitsniveau, bei dem ein SIM-Swap-Angriff ins Leere läuft, da es schlicht kein zentrales Konto gibt, das kompromittiert werden könnte.

Für den Kauf und Verkauf von Monero ohne Identitätsnachweis steht Ihnen MoneroSwapper zur Verfügung. Da kein Konto erforderlich ist und keine persönlichen Daten gespeichert werden, entfällt ein wesentlicher Angriffsvektor.

Fazit: Proaktiver Schutz ist unerlässlich

SIM-Swap-Angriffe sind keine theoretische Bedrohung, sondern eine alltägliche Realität im Krypto-Bereich. Die gute Nachricht ist, dass Sie sich mit relativ einfachen Maßnahmen wirksam schützen können. Ersetzen Sie SMS-basierte 2FA durch Hardware-Sicherheitsschlüssel oder Authenticator-Apps, richten Sie eine PIN bei Ihrem Mobilfunkanbieter ein und minimieren Sie Ihre digitale Angriffsfläche. Diese Investition in Ihre Sicherheit steht in keinem Verhältnis zu den potenziellen Verlusten eines erfolgreichen Angriffs.