Krypto vor SIM-Swap-Angriffen schützen
Ein SIM-Swap kann mit einem einzigen Support-Anruf beim Mobilfunkanbieter beginnen und damit enden, dass dein E-Mail-Postfach und deine Börsenkonten offenliegen, noch bevor du merkst, dass dein Smartphone kein Netz mehr hat. Der Angreifer braucht keine Malware. Er muss nur deine Telefonnummer auf eine von ihm kontrollierte SIM-Karte übertragen lassen. Um Krypto vor SIM-Swaps zu schützen, solltest du SMS-2FA deaktivieren, eine Authenticator-App nutzen, kurzfristige Börsenbestände von langfristigen Anlagen trennen und größere Krypto-Beträge in einer Self-Custody-Hardware-Wallet aufbewahren.
SIM-Swap ist eine der wirksamsten Methoden des Krypto-Diebstahls, weil sie genau die Sicherheitsmaßnahme umgeht, auf die sich viele verlassen: die Zwei-Faktor-Authentifizierung per SMS. SMS kann durch einen SIM-Swap abgefangen werden. Deshalb sollten Krypto- und Börsenkonten Authenticator-Apps statt SMS verwenden. Dieser Leitfaden erklärt, wie der Angriff genau funktioniert, woran du ihn währenddessen erkennst und was du tun kannst, um dich zu schützen.
So funktioniert ein SIM-Swap-Angriff
Der Angriff ist einfacher, als viele erwarten. Keine Malware. Kein klassisches Hacking. Nur Mobilfunk-Support.
Schritt 1: Recherche. Der Angreifer sammelt zunächst deine persönlichen Daten: Telefonnummer, Name, Wohnadresse und E-Mail-Adresse. Ein Teil davon stammt aus Datenlecks, darunter ein dokumentierter Vorfall bei einem großen Hardware-Wallet-Anbieter, bei dem Namen, Adressen, E-Mail-Adressen und Telefonnummern von über 270.000 Kunden offengelegt wurden. Danach kam es zu SIM-Swap-Angriffen auf diese Nutzer. Weitere Details stammen aus sozialen Medien oder anderen Online-Quellen.
Für Krypto-Nutzer ist die Gefahr am größten, wenn ein verwahrtes Börsenkonto vom SMS-basierten Zugang abhängt. Börsen-Wallets sind verwahrte Online-Hot-Wallets: Die Börse kontrolliert die Schlüssel, während du über einen Service-Login auf die Mittel zugreifst.
Dieser Login ist die Schwachstelle. Wenn deine Börse oder dein E-Mail-Konto SMS für Passwort-Resets oder Zwei-Faktor-Authentifizierung nutzt, wird deine Telefonnummer Teil des Wiederherstellungswegs. Sobald ein Angreifer diese Nummer kontrolliert, landen SMS, die für dich bestimmt sind, auf seinem Gerät.
Praktisch heißt das: Deine Bitcoin, ETH oder USDT auf einer Börse sind durch dein Börsenkonto geschützt. Wenn dieses Konto per SMS zurückgesetzt werden kann, ist das Wallet-Guthaben nur so sicher wie dein Mobilfunkkonto. Ein SIM-Swap macht aus einem Telefonnummernproblem ein Krypto-Kontoproblem.
Anzeichen für einen SIM-Swap
Das deutlichste Warnsignal ist ein Smartphone, das plötzlich den Mobilfunkempfang verliert, obwohl du weder das Gerät noch den Anbieter wechselst und dich auch nicht in einem Funkloch befindest. Behandle das als dringend, wenn dieselbe Telefonnummer mit deinem E-Mail-Konto, deinen Börsenkonten oder der Passwortwiederherstellung verknüpft ist.
Die Signale auf der Kontoseite sind genauso wichtig. Achte auf E-Mails zum Zurücksetzen von Passwörtern, die du nicht angefordert hast, auf Login-Benachrichtigungen für Börsen, die du nicht zuordnen kannst, oder auf Zwei-Faktor-Abfragen, obwohl du dich gerade nicht anmeldest. Wenn dein Posteingang Sicherheitswarnungen von Coinbase, Binance, Kraken, Gemini oder einer anderen verwahrten Plattform enthält, gehe von einem akuten Angriff auf das Konto aus, bis du das Gegenteil belegt hast.
Warte nicht auf die perfekte Erklärung. Wenn du plötzlich kein Mobilfunksignal mehr hast und unerwartete Passwort-Reset-E-Mails oder Sicherheitsabfragen erhältst, behandle die Situation wie eine aktive Kontoübernahme, besonders wenn größere Beträge auf einer Börse liegen. Prüfe deine Krypto-Börsenkonten über eine sichere Verbindung, kontrolliere die letzten Logins und Auszahlungen und entferne die SMS-Wiederherstellung überall dort, wo das Konto es erlaubt. Wenn du weiterhin ein großes Guthaben auf einer Börse hältst, verschiebe den langfristigen Anteil in die Self-Custody, sobald du die Kontrolle über das Konto zurückerlangt hast.
Dieser Abschnitt konzentriert sich bewusst auf Konten. Wiederherstellungsprozesse bei Mobilfunkanbietern unterscheiden sich je nach Anbieter, Land und Kontoeinstellungen. Der Krypto-Schritt ist überall derselbe: Begrenze den Schaden, indem du SMS aus dem Zugangsweg entfernst und größere Bestände von verwahrten Logins fernhältst.
So schützt du deine Krypto-Börsenkonten
Das ehrliche Problem: Die meisten richten sich für SMS-2FA ein, weil Börsen diese Option standardmäßig anbieten. Es fühlt sich nach Sicherheit an. Das ist es nicht, vor allem nicht bei Konten mit größeren Krypto-Beständen.
Angenommen, du hältst 5.000 $ auf Coinbase. Wenn du SMS durch eine Authenticator-App ersetzt, kann ein SIM-Swap-Angreifer zwar deine SMS empfangen, aber weiterhin keinen Login-Code erzeugen.
Entferne SMS-2FA aus jedem Krypto-Konto. Ersetze sie durch eine dieser Optionen:
Authenticator-App (Google Authenticator oder Authy). Diese Apps erzeugen lokal auf deinem Smartphone zeitbasierte Einmalcodes. Sie haben keine Verbindung zu Ihrer SIM-Karte. Ein Angreifer nach einem SIM-Swap erhält zwar deine SMS, kann aber keine Codes aus einer Authenticator-App erzeugen, auf die er keinen physischen Zugriff hat. Jedes Börsen- und jedes kryptobezogene Konto sollten eine Authenticator-App statt SMS verwenden.
Hardware-Sicherheitsschlüssel (zum Beispiel YubiKey). Nutze einen solchen Schlüssel für Börsenkonten mit hohem Wert, sofern die Plattform ihn unterstützt. Coinbase unterstützt YubiKey zum Kontoschutz. Ein SIM-Swap-Angreifer kann SMS stehlen, aber er kann den physischen Schlüssel nicht antippen, der für Login, Handel oder Auszahlungen erforderlich ist.
Sichere auch die Telefonnummer ab. Lege eine PIN für dein Mobilfunkkonto fest, die sich von deinem Entsperrcode für das Smartphone unterscheidet. Frage deinen Anbieter anschließend nach Portierungsschutz, Rufnummernsperre, SIM-Sperre oder einer Portierungssperre. Die Bezeichnungen unterscheiden sich je nach Anbieter. Das Ziel ist einfach: Nummernübertragungen und SIM-Änderungen sollen aus der Ferne schwerer zu genehmigen sein.
Verwende eine eigene E-Mail-Adresse für Krypto-Börsen. Nutze sie nicht für Shopping, soziale Medien oder Newsletter. Entferne die SMS-Wiederherstellung aus diesem E-Mail-Konto, schütze es mit einer Authenticator-App oder einem Hardware-Schlüssel und bewahre die Backup-Codes offline auf.
Starke Passwörter, aktualisierte Geräte, sorgfältige URL-Prüfung und private Wiederherstellungsphrasen bleiben wichtig. Sie senken das Hot-Wallet-Risiko, ändern jedoch nicht, wer die Börsenschlüssel hält. Deshalb hat die Absicherung von Börsenkonten Grenzen. Sie schützt Käufe, Verkäufe und kurzfristige Guthaben. Sie macht Coinbase, Binance, Kraken, Gemini oder ähnliche Plattformen nicht zu Self-Custody.
Trenne die Aufgaben daher. Lass auf einer Börse nur den Betrag liegen, den du kurzfristig zum Handeln oder Ausgeben brauchst. Verschiebe langfristige Bestände in eine Wallet, in der der private Schlüssel unter deiner Kontrolle steht.
Warum Hardware-Wallets gegen SIM-Swap immun sind
So sieht der Vergleich über verschiedene Aufbewahrungsmethoden hinweg aus:
| Aufbewahrungsort der Assets | SIM-Swap-Risiko | Warum |
|---|---|---|
| Börsenkonto mit SMS-2FA | Kritisch | SIM-Swap umgeht SMS-2FA direkt. Passwort wird zurückgesetzt, Konto geleert. |
| Börsenkonto mit Authenticator-App | Niedrig | SIM-Swap kann keine Codes aus der Authenticator-App erzeugen. |
| Tangem Hardware-Wallet (Self-Custody) | Keines | Zugriff erfordert den Besitz der physischen Karte. Keine Telefonauthentifizierung im Zugangsweg. |
Tangem liegt in der Kategorie „keines“, da der Zugriff die Karte voraussetzt. Die Tangem Cold Wallet speichert deine privaten Schlüssel in einem Samsung S3D350A Secure-Element-Chip, der gemäß Common Criteria auf EAL6+ zertifiziert ist. Der private Schlüssel wird bei der Einrichtung auf dem Chip erzeugt und verlässt die Karte unter keinen Umständen.
Um eine Transaktion zu signieren, hältst du die physische Karte an dein Smartphone. Mehr nicht. Kein SMS-Code. Kein E-Mail-Login. Kein Cloud-Konto. Die Karte ist der Schlüssel.
In der Praxis bedeutet das: Ein Angreifer könnte deine Telefonnummer per SIM-Swap übernehmen, dein E-Mail-Konto kapern, die Tangem-App herunterladen und sie auf seinem eigenen Gerät öffnen. Er kann trotzdem nicht auf deine Wallet zugreifen. Ohne die physische Karte in der Hand hat er nichts. Der Angriffsweg, der Börsenkonten leert, kommt bei Self-Custody-Hardware-Wallets nicht vor.
Das ist der grundlegende Unterschied zwischen verwahrter und nicht verwahrter Aufbewahrung. Verwahrte Wallets, etwa bei Börsen wie Coinbase, Binance und Kraken, kontrollieren die privaten Schlüssel, während du den Kontolink kontrollierst. Dieser Kontologin kann per SMS zurückgesetzt werden. Nicht verwahrte Hardware-Wallets legen den Schlüssel buchstäblich in deine Hände und entfernen den von der Telefonnummer abhängigen Wiederherstellungsweg vollständig.
Eine Einschränkung sollte klar benannt werden: Wenn du alle Tangem-Backup-Karten verlierst und keine Seed-Phrase hast, ist eine Wiederherstellung der Mittel unmöglich. Niemand, auch Tangem nicht, kann die Mittel wiederherstellen. Das ist die Abwägung echter Self-Custody. Dieselbe Architektur, die Angriffe aus der Ferne unmöglich macht, bedeutet auch, dass es keine Hintertür zur Wiederherstellung gibt. Tangem empfiehlt, die Karten an getrennten Orten aufzubewahren: eine bei dir, eine zu Hause, eine bei einer vertrauenswürdigen Person.
Seit 2018 hat Tangem mehr als 3 Millionen Geräte ausgeliefert, ohne dass es zu erfolgreichen Hackerangriffen gekommen ist. Die Firmware wird von Kudelski Security und Riscure auditiert. Der Quellcode der App ist auf GitHub als Open Source verfügbar. Das Sicherheitsmodell lässt sich prüfen, nicht nur behaupten.
Komplette Checkliste zum Schutz vor SIM-Swap
Arbeite diese Punkte der Reihe nach ab. Die erste Gruppe schützt deine Börsenkonten ab heute. Der letzte Punkt entfernt deine wichtigsten Bestände vollständig aus der Angriffsfläche für SIM-Swaps.
- Entferne SMS-2FA aus allen Krypto-Börsenkonten
- Füge allen Börsenkonten eine Authenticator-App hinzu (Google Authenticator oder Authy)
- Füge für Börsenkonten mit hohem Wert einen Hardware-Sicherheitsschlüssel hinzu
- Lege eine PIN für dein Mobilfunkkonto fest, die nicht deiner Smartphone-PIN entspricht
- Beantrage Portierungsschutz, SIM-Sperre, Rufnummernsperre oder eine Portierungssperre bei deinem Mobilfunkanbieter
- Erstelle eine eigene Krypto-E-Mail-Adresse
- Entferne SMS-Wiederherstellung aus dieser eigenen Krypto-E-Mail
- Verschiebe größere Krypto-Bestände von Börsen in eine Tangem Hardware-Wallet
Die Konto-Maßnahmen sind kostenlos und lassen sich an einem Nachmittag erledigen. Die Einrichtungszeit der Tangem Cold Wallet ist mit 1–3 Minuten angegeben. Zusammen senken diese Schritte das Risiko für Börsenkonten und verschieben langfristige Bestände von Zugangswegen, die von Telefonnummern abhängen.
Häufig gestellte Fragen
-
Nein. Wenn deine Krypto in einer Self-Custody-Hardware-Wallet wie Tangem liegt, kann ein SIM-Swap sie nicht stehlen. Der Angriff funktioniert nur gegen Konten, die durch SMS-basierte Authentifizierung geschützt sind. Self-Custody bedeutet, dass der private Schlüssel auf einem Hardware-Chip auf einer physischen Karte gespeichert ist. Es gibt weder ein durch eine Telefonnummer geschütztes Konto, das zurückgesetzt werden kann, noch einen E-Mail-Wiederherstellungsweg, den ein Angreifer ausnutzen könnte. Wer deine Nummer per SIM-Swap übernimmt, gewinnt nichts, womit er deine Wallet erreichen kann.
-
Beide sind für kryptobezogene Konten deutlich sicherer als 2FA per SMS. Die zugrunde liegende Empfehlung nennt Google Authenticator und Authy als Beispiele für Authenticator-Apps, die statt SMS verwendet werden sollten, da SMS per SIM-Swap abgefangen werden können. Der praktische Unterschied liegt in der Wiederherstellung. Wenn du 5.000 $ auf einer Börse hältst, ist jede der beiden Apps ein großes Upgrade gegenüber SMS, weil der Code nicht an deine Telefonnummer gesendet wird. Google Authenticator kann Codes lokal speichern, wenn die Cloud-Synchronisierung deaktiviert ist. Authy kann praktisch sein, wenn du ein Smartphone verlierst; ein Cloud-Backup bedeutet jedoch, dass du auch dein Authy-Konto selbst sorgfältig absichern solltest.
-
Ändere das, bevor du mehr Geld einzahlst. Beginne mit dem Börsenkonto, auf dem das größte Guthaben liegt, und arbeite dich dann durch die restlichen Konten. Ersetze SMS überall dort durch eine Authenticator-App, wo die Börse das unterstützt, speichere die Backup-Codes offline und prüfe, dass auch dein E-Mail-Konto keine SMS-Wiederherstellung nutzt. Wenn du 100 USDT für schnelle Trades auf einer Börse hältst, ist das Risiko auf dieses Kontoguthaben begrenzt. Wenn dort 1 BTC oder eine große ETH-Position liegt, sieht die Lage anders aus. Verschiebe den langfristigen Anteil in die Self-Custody, sobald das Konto abgesichert ist.
-
Sie beseitigt das Risiko für die Mittel, die du verschiebst, bei Börsenkonten. Sie schützt kein Geld, das weiterhin bei Coinbase, Binance, Kraken, Gemini oder einer anderen Verwahrungsplattform liegt. Betrachte es als die Trennung des Guthabens nach dessen Zweck. Dein Börsenkonto kann zum Kauf, zum Verkauf oder zum kurzfristigen Trading dienen. Deine Tangem Wallet hält die Krypto, die nicht einem Service-Login, einem Passwort-Reset oder einem SMS-Wiederherstellungsweg ausgesetzt sein soll. Wenn das Börsenkonto später kompromittiert wird, kann der Angreifer trotzdem nicht auf Assets zugreifen, die bereits auf die Karte verschoben wurden.
-
Nein. Tangem verlangt für die grundlegende Nutzung der Wallet weder eine Kontoregistrierung noch KYC. Tangem sammelt keine personenbezogenen Daten: keinen Namen, keine Adresse, keine E-Mail-Adresse und keine Telefonnummer. Transaktionen verbinden sich direkt mit öffentlichen Blockchain-Nodes, ohne dass Tangem-Server im Zugangsweg liegen. Es gibt kein Tangem-Konto, das kompromittiert werden könnte, und kein Profil mit personenbezogenen Daten, das einem Angreifer als Ausgangspunkt dienen könnte. Das ist wichtig, weil SIM-Swap-Angriffe oft mit Identitätsdaten beginnen. Ein Datenleck, das Namen, Wohnadressen, E-Mail-Adressen und Telefonnummern von 270.000 Kunden offenlegt, liefert Angreifern nützliches Material. Die grundlegende Wallet-Nutzung bei Tangem erzeugt kein solches Tangem-Kontoprofil.
Fragen Sie die KI, ob Tangem zu Ihren Bedürfnissen passt
