← Zurück zur Hauptseite

Wie sicher ist SMS?

Nutze sichere Alternativen wie Signal oder eine Authenticator-App anstelle von SMS zur Zwei-Faktor-Authentifizierung.

Kurzantwort

SMS ist ein veraltetes Kommunikationsprotokoll mit mehreren bekannten Sicherheitslücken. Es ist anfällig für Abhören, Spoofing und Man-in-the-Middle-Angriffe. Für besonders sensible Daten oder Zwei-Faktor-Authentifizierung sollte auf sicherere Alternativen wie verschlüsselte Messenger (z. B. Signal) oder Authenticator-Apps zurückgegriffen werden.

Wie sicher ist SMS? Eine Analyse der Risiken und Alternativen

SMS (Short Message Service) – seit Jahrzehnten ein zentraler Bestandteil der mobilen Kommunikation – gerät zunehmend in die Kritik. Die Frage „Wie sicher ist SMS?“ stellt sich insbesondere im Zusammenhang mit Datenschutz, Zwei-Faktor-Authentifizierung (2FA) oder Online-Banking. In diesem Beitrag untersuchen wir, wie sicher SMS tatsächlich ist, welche Risiken bestehen und wie moderne Alternativen aussehen.

Was ist SMS und wie funktioniert sie?

SMS ist ein textbasiertes Nachrichtenprotokoll, das bereits in den 1980er-Jahren entwickelt wurde. Der Dienst ermöglicht den Versand von Kurznachrichten (bis zu 160 Zeichen) zwischen Mobiltelefonen über das Signaling System No. 7 (SS7)-Protokoll.

Eigenschaften von SMS:

  • Zustellung über Mobilfunknetz, nicht übers Internet
  • Keine End-to-End-Verschlüsselung
  • Keine Authentifizierung des Absenders
  • Hohe Kompatibilität, funktioniert auf fast allen Mobiltelefonen weltweit

Trotz ihrer Einfachheit wird SMS bis heute regelmäßig verwendet – vor allem für 2FA oder als Backup-Kommunikation bei der Anmeldung in Online-Portalen.

Sicherheitslücken bei SMS

Trotz der scheinbaren Verlässlichkeit ist SMS keineswegs sicher. Die Architektur stammt aus einer Zeit, in der Sicherheit kein zentraler Faktor war. Im Folgenden beleuchten wir die wichtigsten Schwachstellen.

1. Keine Ende-zu-Ende-Verschlüsselung

Im Gegensatz zu modernen Messaging-Diensten wie WhatsApp, Signal oder Threema werden SMS ungefiltert über Mobilfunknetze übertragen, ohne dass sie verschlüsselt sind. Somit kann jeder, der Zugriff auf das Netz hat, auch auf die Inhalte zugreifen.

2. Abfangbarkeit durch SS7-Exploits

Das SS7-Protokoll ist bekannt für seine gravierenden Sicherheitslücken. Angreifer mit Zugang zu diesem System können:

  • Nachrichten mitlesen oder umleiten
  • Standorte von Nutzern tracken
  • Anrufe umleiten oder aufzeichnen

Solche Zugriffe sind technisch komplex, stehen aber staatlichen Stellen und professionellen Hackern offen.

3. SMS-Spoofing

Beim SMS-Spoofing wird der Absender manipuliert, sodass eine Nachricht anscheinend von einer vertrauenswürdigen Quelle stammt – etwa einer Bank oder Behörde.

  • Gefälschte Nachrichten werden als Phishing-Werkzeug genutzt
  • Nutzer werden auf Fake-Websites gelockt
  • Besonders gefährlich bei 2FA-SMS

4. SIM-Swapping-Angriffe

Hierbei verschaffen sich Kriminelle beim Mobilfunkanbieter Zugriff auf die eigene Rufnummer des Opfers, indem sie sich als legitimer Besitzer ausgeben. Nach dem SIM-Tausch erhalten sie dann alle eingehenden SMS – inklusive 2FA-Codes.

5. Fehlende Sender-Authentizität

Bei SMS gibt es keine Möglichkeit zu verifizieren, ob der Sender echt ist. Dadurch sind Phishing- und Social-Engineering-Angriffe besonders effektiv.

Warum wird SMS dennoch verwendet?

Trotz aller Schwachstellen sieht man SMS vielerorts als Mittel der Kommunikation und Sicherheitstechnik:

  • Breite Verfügbarkeit – funktioniert auch offline oder auf älteren Geräten
  • Kompatibel mit allen Mobilfunkbetreibern
  • Keine App-Installation erforderlich
  • Niedrige Einstiegshürde für Nutzer

Zudem wird SMS von vielen Diensten als Fallback genutzt, falls andere Methoden der Authentifizierung versagen.

SMS und Zwei-Faktor-Authentifizierung: Eine schlechte Idee?

Viele Online-Dienste wie E-Mail-Provider, Banken oder soziale Netzwerke setzen auf 2FA via SMS zur Absicherung der Konten. Doch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Sicherheitsexperten weltweit raten von SMS-basierten 2FA-Methoden ab.

Schwächen in der Praxis:

  • SIM-Swapping macht es Angreifern leicht, 2FA-Codes zu stehlen
  • Abfangen von SMS über SS7-Hacks
  • Kein Schutz bei gestohlenem Handy
  • Nutzer verlassen sich zu sehr auf vermeintliche Sicherheit

Empfehlungen des BSI und anderer Stellen:

  • Besser: TOTP-basierte Lösungen wie Google Authenticator oder FreeOTP
  • Noch besser: Hardware-Token wie YubiKey oder Nitrokey
  • Optimal: Mehrstufige Authentifizierungssysteme mit biometrischen Daten & gerätegebundenen Verfahren

Vergleich: SMS vs. sichere Alternativen

| Merkmal | SMS | Signal / Threema / WhatsApp | Authenticator-Apps | Hardware-Token | |------------------------|-------------|------------------------------|------------------------|----------------------| | End-to-End-Verschlüsselung | ❌ Nein | ✅ Ja | ✅ (algorithmisch) | ✅ (physisch gesichert) | | Spoofing-sicher | ❌ Nein | ✅ Ja | ✅ Ja | ✅ Ja | | Gerätebindung | ❌ Nein | ✅ Ja | ✅ Ja | ✅ Ja | | Offline-Nutzung | ✅ Teilweise | ❌ Nein | ✅ Ja | ✅ Ja | | Benutzerfreundlich | ✅ Einfach | ✅ Mittel | ✅ Mittel | ❌ Komplex |

Einsatzbereiche – wann ist SMS akzeptabel?

Trotz der vielen Sicherheitsprobleme gibt es noch legitime Einsatzbereiche für SMS:

  • Temporäre Kommunikation, etwa bei schlechter Internetverbindung
  • Nutzer ohne Smartphones oder Internetzugang
  • Service-Benachrichtigungen, wo keine Sicherheitsinformationen enthalten sind

ABER: Für sicherheitsrelevante Informationen sollte SMS nicht mehr verwendet werden.

Best Practices – der sichere Umgang mit SMS

Wenn der Einsatz von SMS nicht vermieden werden kann, sollten minimale Schutzmaßnahmen getroffen werden:

Tipps für Nutzer:

  • Vermeide SMS für Passwörter oder sensible Daten
  • Aktiviere eine PIN / Sperre für SIM-Karten
  • Nutze, wenn möglich, App-basierte Authentifikatoren
  • Sei skeptisch gegenüber unbekannten SMS mit Links

Tipps für Unternehmen:

  • Stelle alternative Authentifizierungsmethoden bereit
  • Verwende Sender-Validierung (Sender ID Registrierungen)
  • Verwende Kurzzeitcodes, die schnell verfallen
  • Informiere die Nutzer über Risiken von SMS-Phishing

Aktuelle Entwicklungen & Zukunft von SMS-Sicherheit

RCS als Nachfolger?

RCS (Rich Communication Services) gilt als moderner Ersatz für SMS. Vorteile:

  • Ende-zu-Ende-Verschlüsselung (bei Google Messages und Signal
  • Multimedia-Unterstützung
  • Lesebestätigungen & Verschlüsselungsprotokolle

Aber: Die Einführung ist fragmentiert, es herrscht Inkompatibilität aus Nutzersicht (iPhones unterstützen z. B. kein RCS).

E-Call und Behördliche Nutzung

Einige moderne Notrufsysteme (z. B. E-Call im Fahrzeugbereich) nutzen immer noch SMS – oft mangels Alternative. Sicherheit wird hier durch ergänzende Infrastruktur sichergestellt.

Regulatorische Initiativen

Datenschützer und Behörden fordern Verzicht auf SMS-2FA. Einige Unternehmen – z. B. Google oder Apple – bieten SMS-2FA nur noch als Notlösung.

Fazit

Die Antwort auf die Frage „Wie sicher ist SMS?“ lautet ganz klar: nicht sehr sicher. Als Kommunikationsmittel für Alltagsgespräche mag SMS ausreichen. Für sicherheitskritische Anwendungsfälle aber ist sie nicht mehr zeitgemäß.

Stattdessen stehen heute diverse sichere Alternativen bereit – von verschlüsselten Messengern über App-basierte Authentifizierung bis hin zum physischen Hardware-Token. Nutzer und Unternehmen sollten die Risiken ernst nehmen und entsprechende Schutzmaßnahmen treffen.

SMS gehört aufs Abstellgleis der IT-Sicherheit – und sollte nur dort eingesetzt werden, wo keine bessere Option existiert.

TL;DR

  • SMS ist nicht verschlüsselt, anfällig für Spoofing und Abfangen
  • Nicht geeignet für Zwei-Faktor-Authentifizierung (2FA)
  • Verwendet veraltete Protokolle (SS7) mit bekannten Schwächen
  • Sichere Alternativen: Signal, Authenticator-Apps, Hardware-Token

Weitere Informationen

DeltaNEXT IT Support

DeltaNEXT IT Support

Benötigen Sie technische Unterstützung? Unser Support-Team steht Ihnen zur Verfügung.

support@deltanext.de
+49 341 23 68 995
Zu DeltaNEXT

Wie funktioniert ein Quantencomputer?

Ein Quantencomputer nutzt die Prinzipien der Quantenmechanik, insbesondere Superposition und Verschränkung. Im Gegensatz zu klassischen Computern, die Daten in Bits verarbeiten, die als 0 oder 1 existieren, verwendet ein Quantencomputer Qubits, die gleichzeitig mehrere Zustände annehmen können. Diese Eigenschaft ermöglicht es Quantencomputern, komplexe Berechnungen erheblich schneller durchzuführen als klassische Computer.

Mehr lesen

Was ist Cloud Computing?

Cloud Computing ermöglicht den Zugriff auf Rechnerressourcen über das Internet. Dazu zählen Speicher, Rechenleistung und Datenbanken, die von Cloud-Anbietern bereitgestellt werden und flexible, skalierbare IT-Ressourcen ermöglichen.

Mehr lesen

Was ist das Internet der Dinge (IoT)?

Das Internet der Dinge (IoT) beschreibt ein Netzwerk aus physischen Geräten, Fahrzeugen und anderen Objekten, die Sensoren und Software eingebettet haben, um miteinander und mit anderen Systemen über das Internet zu kommunizieren.

Mehr lesen
Wie sicher ist SMS? - Technik Fragen