Identitätsdiebstahl durch SIM-Swapping: BfDI gibt Hinweise zur sicheren Authentifizierung
SIM-Swapping ist besonders gefährlich, wenn die Opfer ihre Mobilfunknummer über smsTAN-Verfahren als Zugangsfaktor für verschiedene Online-Dienste verwenden. Denn diese können dann ebenfalls von den Kriminellen übernommen werden. Der Betug funktioniert z. B. mit gestohlenen Zugangsdaten für den Online-Account bei einem Telefonanbieter. Mit diesen Daten lässt sich der Betrüger eine Ersatz-SIM-Karte ausstellen. Noch einfacher funktioniert dies mit der eSIM, bei der nicht einmal mehr eine SIM-Karte per Post zugesandt werden muss.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als zuständige datenschutzrechtliche Aufsichtsbehörde für die Anbieter von Telekommunikationsdiensten wirkt bereits seit einiger Zeit darauf hin, den Schutz der personenbezogenen Daten bei den Prozessen im Callcenter weiter zu verbessern, um Missbrauchsfälle wie beispielsweise das SIM-Swapping zu erschweren. Entscheidend sind hier angemessene Schutzmechanismen für die Authentifikation, sei es im Callcenter, aber auch beim Online-Account des Mobilfunkanbieters oder im Handy-Shop.
In einem Arbeitspapier zu Authentifikation im Telekommunikationsbereich und Risikofeldern hat der BfDI aus den ihm im Rahmen seiner Aufsichtstätigkeit bekannt gewordenen Praxisfällen eine Zusammenstellung von typischen Risiken im TK-Bereich vorgenommen und mit Blick auf Grundprinzipien für eine Authentifikation sortiert.
BfDI PM vom 23.6.2023
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als zuständige datenschutzrechtliche Aufsichtsbehörde für die Anbieter von Telekommunikationsdiensten wirkt bereits seit einiger Zeit darauf hin, den Schutz der personenbezogenen Daten bei den Prozessen im Callcenter weiter zu verbessern, um Missbrauchsfälle wie beispielsweise das SIM-Swapping zu erschweren. Entscheidend sind hier angemessene Schutzmechanismen für die Authentifikation, sei es im Callcenter, aber auch beim Online-Account des Mobilfunkanbieters oder im Handy-Shop.
In einem Arbeitspapier zu Authentifikation im Telekommunikationsbereich und Risikofeldern hat der BfDI aus den ihm im Rahmen seiner Aufsichtstätigkeit bekannt gewordenen Praxisfällen eine Zusammenstellung von typischen Risiken im TK-Bereich vorgenommen und mit Blick auf Grundprinzipien für eine Authentifikation sortiert.