Behörden räumen ein: Trotz gesetzlicher Pflicht seien viele Telefonnummern nicht verifiziert. Für die Betreiber von Plattformen wie Homegate, Tutti oder Ricardo stellt das ein massives Sicherheitsproblem dar.
In der Schweiz ist es einfach, eine unregistrierte SIM-Karte zu beschaffen.
Imagebroker / Chalirmpoj Pimpisarn / Imago
Brave Bürgerinnen und Bürger gehen in einen Shop von Swisscom, Sunrise oder Salt, wenn sie eine neue Handynummer beziehen wollen. Die SIM-Karte gibt es nur gegen Vorweisen der ID oder des Passes.
Dabei handelt es sich um ein gesetzliches Erfordernis. Die Telekomanbieter sind verpflichtet, die Identität ihrer Kunden anhand von amtlichen Dokumenten zu überprüfen. So weit die Theorie.
Dass die Kontrollen regelmässig versagen, ist allerdings auch den Behörden bewusst. «In der Praxis kann man nicht davon ausgehen, dass hinter jeder Mobilfunknummer eine verifizierte Identität steht», sagt Jean-Louis Biberstein. Er ist stellvertretender Chef des Bereichs Überwachung Post- und Fernmeldeverkehr beim Eidgenössischen Justizdepartement.
Sekundärmarkt für SIM-Karten
«Es gibt einen Sekundärmarkt für aktivierte Prepaid-SIM-Karten», so Biberstein. Dazu komme, dass gerade Wiederverkäufer bei der Registrierung nicht immer die notwendige Sorgfalt walten liessen oder mit falschen und gestohlenen Ausweisen oder Deepfakes getäuscht würden.
In der Schweiz gibt es Dutzende Firmen, die Mobilfunk-Dienstleistungen anbieten. Dafür arbeiten sie mit Swisscom, Sunrise und Salt zusammen oder mieten gleich deren Handynetze.
Manche dieser Firmen sind bekannt, etwa Aldi, Coop oder Lidl. Andere tragen phantasievolle Namen wie Digital Republic, Mucho Mobile, Spusu oder Talktalk. Viele schliessen die Verträge mit ihren Endkunden online ab, ohne diese je physisch zu treffen.
Das digitale Onboarding beruht auf einem Ausweis-Scan: Man muss die Vorder- und Rückseite eines amtlichen Dokuments mit der Handykamera abfotografieren. Danach macht man ein Selfie oder bewegt seinen Kopf im Video langsam hin und her. Die KI gleicht das Gesicht mit dem Foto auf dem Ausweis ab.
Deepfakes sind ein wachsendes Problem
Allerdings hilft KI in letzter Zeit auch vermehrt dabei, bei der Registrierung mit Deepfakes zu tricksen. Seriöse Anbieter verschicken physische SIM-Karten oft per Einschreiben. Doch das machen offenbar nicht alle Firmen. Und dann gibt es auch noch E-SIM-Karten, die rein digital zugeteilt werden.
«Manchmal werden SIM-Karten sogar gestohlen», sagt Biberstein. Ein weiteres Problem ist, dass Geschäftskunden die Möglichkeit haben, bei Telekomanbietern Handynummern zu beziehen, die gar nicht für den normalen Gebrauch vorgesehen sind. Sie werden zum Beispiel für Whatsapp-Accounts oder für SMS-Dienstleistungen verwendet.
Beim Bundesamt für Kommunikation (Bakom) spricht man in diesem Zusammenhang von «Nummernnutzungen, die fernmelderechtlich nicht geregelt sind». Dann bestehe auch nicht die Pflicht, die Endkunden zu identifizieren, so ein Bakom-Sprecher. In der Branche sind Fälle bekannt, bei denen solche Nummern weitergereicht und missbraucht wurden.
Kurz: Es ist in der Schweiz relativ leicht, an eine Handynummer zu gelangen, ohne seine wahre Identität offenzulegen – und das dürfte sich nicht so rasch ändern. Und das stellt die Firma Swiss Marketplace Group (SMG) vor ein grosses Problem.
Ein Unternehmen leidet besonders
Dieses Zürcher Unternehmen betreibt zahlreiche Online-Marktplätze wie Ricardo, Tutti, Homegate, Immoscout24, Autoscout24 oder Financescout24. Es sieht in Cyberkriminalität eine existenzielle Bedrohung seines Geschäftsmodells und beschäftigt einen Group Security Officer mit einem Team aus zwölf Spezialisten, um gegen diese anzukämpfen.
Online-Marktplätze sind für Betrüger besonders attraktiv: Ihre hohe Reichweite bedeutet Zugang zu einer grossen Zahl potenzieller Opfer. Weil die Kommunikation direkt zwischen den Usern stattfindet und diese auch vereinbaren, wie sie ihre Transaktion abwickeln, gibt es viele Angriffspunkte.
«Auf unseren Online-Marktplätzen für Kleinanzeigen ist im Rahmen des Know-your-customer-Prozesses die Angabe einer Schweizer Telefonnummer Teil der Registrierung», sagt die SMG-Sprecherin Michelle Gehri. «Schweizer Nummern können jedoch über unterschiedliche Kanäle oder Dienste bezogen werden; vereinzelt sind die Nummern ‹wiederverwendet› oder stammen aus Bezugswegen mit weniger strenger Identitätsprüfung.»
Hunderte von Fällen jeden Monat
Man sehe dieses Muster in der Grössenordnung von einigen Hundert Nummern pro Monat. Im Verhältnis zu legitimen Neuregistrierungen sei diese Anzahl zwar gering. Dennoch könne jede Registrierung mehrere Nutzerinnen und Nutzer betreffen. «Die Sicherheit jeder einzelnen Person ist für uns zentral, und wir sehen sie als gesellschaftliche Verantwortung», so die Sprecherin.
SMG hat allerdings einen Zielkonflikt: Betrugsfälle sind Gift für die Reputation von Homegate, Ricardo und Co. Die Firma will diese unterbinden. Gleichzeitig möchte sie Kunden auch nicht mit besonders aufwendigen Sicherheitsvorkehrungen vergraulen.
Eine Registrierung über die Handynummer, deren Echtheit einfach mit der Sendung eines Sicherheitscodes überprüft werden kann, ist eine elegante Lösung, um die Identität eines Kunden festzustellen. Allerdings nur, wenn diese Handynummern klar einer Person zuordenbar sind, so wie es der Schweizer Gesetzgeber eigentlich vorsieht.
Kriminelle legen neue Konten auf Online-Marktplätzen nicht nur an, um Fake-Angebote zu veröffentlichen, also um Geld zu kassieren, ohne die versprochene Ware zu liefern. Noch gefährlicher ist es, wenn die Betrüger Nutzer auf gefälschte Seiten lotsen und dort ihre Zahlungsdaten abgreifen. Oder die Passwörter zu ihren Plattform-Accounts.
Sogenannte Account-Takeover, also wenn Kriminelle die bestehenden Konten legitimer Kunden kapern, können besonders einschneidende Konsequenzen haben. Gemäss SMG verursachen solche Fälle im Durchschnitt Schäden von über 2000 Franken pro Fall.
Hohe Investitionen
Im Vergleich zu europäischen Plattformanbietern mit ähnlichem Profil sieht sich die SMG als Pionierin im Bereich Cybersicherheit. Allein bei den Marktplätzen Ricardo, Tutti und Anibis habe man in den letzten Jahren 3,2 Millionen Franken in die Sicherheit investiert.
Von diesen Massnahmen profitiere man nun. Trotz steigender Cyberkriminalität in der Schweiz seien die gemeldeten Betrugsversuche auf den SMG-Plattformen im zweiten Halbjahr 2025 deutlich zurückgegangen – von welchem Niveau, ist unklar.
Allerdings macht sich die Firma künftig auf ein Wettrüsten gefasst: Künstliche Intelligenz verändere die Bedrohungslage spürbar: «Angriffe werden schneller, automatisierter und skalierbarer.» Gleichzeitig erweitere KI die Verteidigungsmöglichkeiten – von der Früherkennung bis zur effizienteren Reaktion.
Ein Artikel aus der «NZZ am Sonntag»