Eine Telefonnummer wurde entwickelt, um Kommunikation zu vermitteln, nicht um Identität zu beweisen. Sie wird extern vergeben, ist portierbar und kann neu zugeteilt oder recycelt werden. Die US-Regulierungsbehörde Federal Communications Commission (FCC) berichtet laut dem Beitrag, dass in den USA jährlich rund 35 Millionen Nummern recycelt werden. Dennoch behandeln viele Authentifizierungs- und Wiederherstellungsabläufe den bloßen Besitz einer Nummer als ausreichenden Identitätsnachweis.

Daraus entsteht eine gefährliche Abhängigkeit: Gelingt es einem Angreifer, einen Anbieter zur Übertragung einer Nummer zu bewegen, erbt er die digitale Identität des Opfers über zahlreiche Systeme hinweg. Die Einstiegshürde ist niedrig, weil der Angriff Prozessschwächen ausnutzt und keine technischen Sicherheitslücken. Kundendienstabläufe sind auf Bequemlichkeit und Schnelligkeit ausgelegt – genau diese Asymmetrie machen sich Angreifer zunutze.

Ein typischer Angriff beginnt mit der Informationsbeschaffung. Persönliche Daten aus Datenlecks, sozialen Medien, Phishing oder öffentlichen Quellen ermöglichen eine überzeugende Identitätsvortäuschung. Der Angreifer kontaktiert den Anbieter, gibt ein verlorenes oder beschädigtes Gerät an und fordert eine Ersatz-SIM an. Stützt sich die Prüfung auf statische persönliche Daten, besteht er die Kontrolle häufig. Besonders schwer wiegt eine Übernahme des E-Mail-Kontos, da E-Mail bei vielen anderen Diensten als zentraler Wiederherstellungspunkt dient und so Kettenübernahmen ermöglicht.

Die Angriffe beschränken sich nicht mehr auf einzelne Verbraucher. Auch Beschäftigte, Administratoren und Führungskräfte sind Ziele. Wird die Nummer eines Mitarbeiters per SIM-Swap übernommen, lässt sich die SMS-gestützte Mehr-Faktor-Authentifizierung für Firmen-E-Mail, VPN und Cloud-Zugänge umgehen. Dieser Brückenkopf ermöglicht laterale Bewegung, Rechteausweitung und Datenabfluss. Privilegierte Identitäten sind dabei besonders attraktiv.

SMS-basierte Authentifizierung war ein Kompromiss zugunsten der Benutzerfreundlichkeit. Sie ist anfällig für SIM-Swapping, Schwächen in Telekommunikationsnetzen und Malware und hängt von Infrastruktur außerhalb der Kontrolle der nutzenden Organisation ab. Für hochwertige Konten und sensible Systeme stuft der Autor SMS als Faktor mit geringer Sicherheit ein.

George empfiehlt mehrere Gegenmaßnahmen. Erstens phishing-resistente Verfahren wie Hardware-Sicherheitsschlüssel, Passkeys und gerätegebundene Authenticator-Apps, die auf an vertrauenswürdige Geräte gebundenem kryptografischem Nachweis beruhen und durch eine Rufnummernübertragung nicht abgefangen werden können. Zweitens eine Härtung der Kontowiederherstellung: Telefonnummern sollten für sensible Konten nicht als alleiniger Wiederherstellungsfaktor dienen.

Drittens rät er zu Erkennung von Identitätsbedrohungen und Risikominderung. SIM-Swapping erzeugt oft erkennbare Signale – plötzliche Änderungen an Authentifizierungsfaktoren, ungewöhnliche Wiederherstellungsversuche, unmögliche Reisemuster, neue Geräteregistrierungen oder rasche Passwort-Resets über mehrere Dienste hinweg. Risikobasierte Authentifizierung kann die Prüfung bei solchen Anomalien verschärfen. Viertens sollten das Least-Privilege-Prinzip und Privileged Access Management durchgesetzt werden, sodass die Kompromittierung einer einzelnen Identität keinen breiten Systemzugriff gewährt.

Die Telekommunikationsanbieter bleiben ein zentraler Kontrollpunkt: Risikoreiche Aktionen wie ein SIM-Swap sollten verschärfte Verifizierung, Verhaltensanalysen und Echtzeit-Benachrichtigungen der Kunden auslösen. Prüfprozesse müssen sich von statischen persönlichen Daten hin zu einer stärkeren, mehrschichtigen Validierung entwickeln.