Ein Freund von mir weigerte sich letztes Jahr, für seine Reise nach Istanbul eine eSIM zu nutzen. „Ich vertraue ihr nicht", sagte er. „Was, wenn jemand mein Telefon aus der Ferne hackt und meine Nummer stiehlt?" Dann kaufte er eine physische SIM an einem zufälligen Kiosk am Atatürk-Flughafen, übergab einem Fremden seinen Reisepass und füllte ein Formular mit seiner Heimatadresse aus.
Die Ironie entging ihm völlig.
Sicherheitsbedenken bei eSIM sind verständlich. Es ist neuere Technologie, unsichtbar (keine physische Karte, die man halten kann), und die meisten Menschen verstehen nicht wirklich, wie ihr Telefon sich überhaupt mit Netzen verbindet. Also erklären wir es ohne Fachjargon.
Wie eSIM-Sicherheit wirklich funktioniert
Jedes eSIM-Profil wird über ein System namens SM-DP+ heruntergeladen (der Begriff spielt keine Rolle). Was zählt: Dieses System verwendet Ende-zu-Ende-Verschlüsselung zwischen dem Server und dem eingebetteten Chip Ihres Telefons. Das Profil – das Ihre Teilnehmerdaten enthält – wird vor dem Verlassen des Servers verschlüsselt und kann nur vom spezifischen Sicherheitselement in Ihrem Gerät entschlüsselt werden.
Dieses Sicherheitselement ist manipulationssichere Hardware. Es handelt sich um dieselbe Klasse von Chips, die Ihre Apple Pay-Kartendaten oder Ihre Fingerabdruckdaten speichert. Niemand liest es aus der Ferne aus. Niemand klont es durch einen Rempler in der U-Bahn.
Physische SIM-Karten? Sie verwenden für die Netzauthentifizierung teilweise dieselbe Verschlüsselung, aber die Karte selbst kann physisch entfernt, mit günstiger Hardware geklont oder durch jemanden getauscht werden, der den Kundendienst Ihres Carriers manipuliert.
SIM-Tausch-Angriffe: eSIM ist tatsächlich sicherer
SIM-Tausch ist eine reale Bedrohung. Kriminelle rufen Ihren Carrier an, überzeugen ihn, sie seien Sie, und portieren Ihre Nummer auf eine neue SIM. Sobald sie Ihre Nummer haben, fangen sie Zwei-Faktor-Authentifizierungscodes ab und leeren Ihr Bankkonto. Es ist dem ehemaligen Twitter-CEO passiert. Es ist tausenden normaler Menschen passiert.
Hier ist der entscheidende Punkt: eSIM macht das schwieriger, nicht leichter. Bei einer physischen SIM ist der Tausch unkompliziert – der Carrier deaktiviert Ihre alte Karte und aktiviert eine neue. Bei eSIM erfordert die Profilübertragung eine Authentifizierung über die eSIM-Verwaltungsplattform des Carriers, die in der Regel zusätzliche Verifizierungsebenen umfasst.
Einige Carrier bieten jetzt eSIM-spezifischen Schutz an: Profil-Sperr-PINs, biometrische Bestätigung für Übertragungen und Echtzeit-Benachrichtigungen bei Änderungsversuchen. T-Mobile in den USA bietet zum Beispiel „SIM Protection" an, das unbefugte SIM-Änderungen vollständig blockiert.
Datenschutz: Was sieht Ihr eSIM-Anbieter tatsächlich?
Ihr eSIM-Anbieter kann dieselben Daten sehen, die jeder Carrier sieht: mit welchen Türmen Sie sich verbinden (ungefährer Standort), wie viele Daten Sie verbrauchen und wann Sie verbunden sind. Sie können den Inhalt Ihres verschlüsselten Datenverkehrs nicht sehen – Ihr HTTPS-Surfen, Ihre WhatsApp-Nachrichten, Ihre E-Mails.
Reise-eSIMs wie TripoSIM haben gegenüber Ihrem Heimatcarrier einen Datenschutzvorteil: Sie sind nur für Daten und zeitlich begrenzt. Ihr Heimatcarrier hat Ihren Namen, Ihre Adresse, Zahlungsdaten und jahrelange Standortdaten. Ein Reise-eSIM-Anbieter hat Ihre E-Mail-Adresse und eine Aufzeichnung des Datenverbrauchs für 7–30 Tage. Dann läuft er ab.
Wenn Datenschutz ein vorrangiges Anliegen ist, ist eine Reise-eSIM wohl privatsphärenschonender als das Roaming über Ihren Heimatcarrier, der Ihre internationalen Aktivitäten auf unbestimmte Zeit protokolliert.
Die QR-Code-Frage
Menschen machen sich Sorgen um die Abfangung von QR-Codes. Was, wenn jemand Ihren QR-Code screenshootet und Ihre eSIM nutzt?
Funktioniert nicht. Jeder QR-Code ist einmalig verwendbar und gerätegebunden. Sobald Sie das Profil gescannt und installiert haben, ist dieser QR-Code ungültig. Selbst wenn jemand eine Kopie hätte, würde er einen Fehler erhalten. Der SM-DP+-Server markiert ihn als verbraucht, sobald Ihr Telefon den Download abschließt.
Dennoch: Posten Sie Ihren QR-Code nicht vor der Installation auf Instagram. Gesunder Menschenverstand gilt weiterhin.
Echte Risiken, die es wert sind zu kennen
Keine Technologie ist 100 % kugelsicher. Hier sind die tatsächlichen Risiken, richtig eingeschätzt:
Verlorenes oder gestohlenes Telefon. Wenn jemand Ihr Telefon stiehlt und es entsperren kann, hat er Zugang zu Ihren eSIM-Profilen. Genau wie bei einer physischen SIM, außer dass er sie nicht herausnehmen und in ein anderes Gerät stecken kann. Verwenden Sie einen starken Passcode. Aktivieren Sie „Mein iPhone suchen" oder Google „Mein Gerät finden". Das ist kein eSIM-spezifisches Risiko – es ist ein Smartphone-Risiko.
Unsicheres WLAN bei der Installation. Sie brauchen Internet, um ein eSIM-Profil herunterzuladen. Falls Sie sich bei einem fragwürdigen öffentlichen WLAN-Netzwerk befinden, gibt es ein theoretisches (Betonung auf theoretisch) Risiko eines Man-in-the-Middle-Angriffs. Die SM-DP+-Verschlüsselung macht das extrem unwahrscheinlich, aber wenn Sie auf Nummer sicher gehen wollen, installieren Sie über Ihr Heim-WLAN. Installieren Sie nicht, während Sie mit „KOSTENLOSES_FLUGHAFEN_WIFI_TOTAL_SERIOES" verbunden sind.
Phishing. Jemand könnte Ihnen eine gefälschte „Ihre eSIM ist bereit"-E-Mail mit einem schädlichen QR-Code schicken. Das würde keine Malware installieren, aber Sie würden Zeit verschwenden und möglicherweise persönliche Daten auf einer gefälschten Checkout-Seite hinterlassen. Scannen Sie nur QR-Codes von der Website oder E-Mail Ihres tatsächlichen eSIM-Anbieters.
Das ehrliche Fazit
eSIM ist mindestens so sicher wie physische SIM, und in einigen wichtigen Punkten sicherer. Die Verschlüsselung ist stark. Die Hardware ist manipulationssicher. SIM-Tausch-Angriffe sind schwieriger. Die QR-Codes sind einmalig verwendbar.
Mein Freund, der am Flughafen Istanbul jene SIM kaufte? Seine physische SIM hörte nach zwei Tagen auf zu funktionieren und er hatte keinen Ausweg, weil der Kiosk-Mann weg war. Er nutzte für den Rest der Reise meinen eSIM-Hotspot. Er ist jetzt ein eSIM-Fan.
Wenn Sie noch nervös sind, beginnen Sie mit einer Kurzreise. Kaufen Sie einen 7-Tage-Plan, testen Sie ihn, sehen Sie wie er funktioniert. Sie werden sich fragen, warum Sie sich je Sorgen gemacht haben.