Südkorea verschärft seine Maßnahmen gegen Telefonbetrug und Identitätsmissbrauch grundlegend: Künftig wird die Aktivierung neuer SIM-Karten an eine verpflichtende biometrische Verifizierung per Gesichtserkennung gekoppelt. Die Regierung reagiert damit auf eine Welle von Voice-Phishing-Angriffen und massiven Datenlecks, die den Missbrauch gestohlener Identitätsdaten in großem Stil ermöglicht haben.
Biometrische SIM-Registrierung: Wie sich der Aktivierungsprozess ändert
Bislang genügte beim Kauf einer SIM-Karte in Südkorea die Vorlage eines offiziellen Ausweisdokuments. Dieses klassische Know-Your-Customer-Verfahren (KYC) hat sich jedoch als unzureichend erwiesen, da Kriminelle gestohlene oder gefälschte Dokumente nutzten, um unter falschen Identitäten neue Rufnummern zu registrieren.
PASS-App als zentrale Plattform für digitale Identität
Kernstück der Reform ist die Einbindung der bereits etablierten PASS-App, die von den drei größten Netzbetreibern SK Telecom, LG Uplus und Korea Telecom verwendet wird. PASS fungiert als digitale Identitätsplattform, in der verifizierte Kundendaten hinterlegt sind und für rechtsverbindliche elektronische Identifikationsprozesse eingesetzt werden.
Bei der Registrierung einer neuen Nummer muss der Käufer künftig in der PASS-App einen Gesichtsscan durchführen. Das System gleicht das Bild automatisiert mit den gespeicherten biometrischen Templates und den persönlichen Daten des Nutzers ab. Erst bei erfolgreicher Übereinstimmung wird die SIM-Karte freigeschaltet. Damit wird die klassische Ausweisprüfung um einen biometrischen Faktor ergänzt, was die Nutzung gestohlener Identitätsdaten und den Handel mit „grauen“ SIM-Karten deutlich erschwert.
Telefonbetrug, SIM-Missbrauch und Voice Phishing als zentrale Bedrohungen
Auslöser der Reform ist insbesondere die anhaltend hohe Zahl von Fällen des Voice Phishing und Telefonbetrugs. Angreifer registrierten über Jahre massenhaft Rufnummern auf die Daten unbeteiligter Dritter und nutzten diese unter anderem für Social-Engineering-Anrufe, die Erschleichung von Finanztransaktionen und Mikrokrediten sowie zur Verschleierung ihrer Identität, was die Strafverfolgung erheblich erschwert.
Nach Angaben der Behörden wurden im Jahr 2024 rund 92 % aller Fake-Nummern über virtuelle Mobilfunkanbieter (MVNO) registriert. Diese Anbieter unterliegen häufig weniger strengen KYC-Verfahren als klassische Netzbetreiber. Das Problem liegt damit nicht nur in gestohlenen Daten, sondern auch in uneinheitlichen Identifikationsstandards im Telekommunikationsmarkt.
Massendatenlecks als Katalysator für strengere Identifizierung
Die Entscheidung für eine biometrische SIM-Verifizierung fällt in eine Phase schwerwiegender Sicherheitsvorfälle. Allein im Jahr 2025 kam es in Südkorea zu zwei großen Datenpannen, die laut Regierungsangaben zusammen über 52 Millionen Menschen betrafen – mehr als die Hälfte der Bevölkerung.
Beim führenden Online-Händler Coupang wurden über 30 Millionen Nutzerkonten kompromittiert. Der Vorfall hatte nicht nur technische, sondern auch organisatorische Konsequenzen: Der CEO des Unternehmens verlor seinen Posten, was die gestiegene regulatorische und gesellschaftliche Erwartungshaltung an den Umgang mit personenbezogenen Daten unterstreicht.
Wenige Monate zuvor war bereits der Telekommunikationsriese SK Telecom Ziel eines Angriffs geworden. Angreifer erhielten Zugriff auf Daten von etwa 23 Millionen Abonnenten. Ermittlungen deckten gravierende Sicherheitsmängel auf, darunter im Klartext gespeicherte Zugangsdaten und einen aus dem Internet frei erreichbaren Server. Die Folgen waren drastisch: eine Geldstrafe von 100 Millionen US-Dollar sowie Entschädigungszahlungen von 100.000 Won (rund 67 US-Dollar) pro betroffenem Nutzer, teils als Guthaben, teils als Bonuspunkte.
Die Kombination aus großflächigen Datenlecks und schwachen Identitätsprüfungen bei der SIM-Ausgabe hat ein ideales Umfeld für professionelle Betrüger geschaffen – und bildet den unmittelbaren Hintergrund für die nun eingeführte biometrische Pflichtverifizierung.
Chancen und Risiken der Gesichtserkennung bei SIM-Karten
Aus sicherheitstechnischer Sicht bietet die biometrische SIM-Karten-Verifizierung mehrere Vorteile: Sie reduziert die Möglichkeit, massenhaft Nummern auf fremde Identitäten zu registrieren, erschwert die Anonymisierung von Tätern, verbessert die eindeutige Zuordnung einer Rufnummer zu einer realen Person und unterstützt Ermittlungsbehörden bei der Nachverfolgung komplexer Betrugsnetzwerke.
Schutz hochsensibler biometrischer Daten als Pflicht
Biometrische Merkmale wie das Gesicht gelten jedoch als besonders schützenswerte personenbezogene Daten. Anders als Passwörter oder Kreditkartendaten lassen sie sich nach einer Kompromittierung nicht einfach „wechseln“. Daraus ergeben sich strenge Anforderungen an Betreiber und App-Anbieter.
Aus fachlicher Sicht sind mindestens folgende Maßnahmen erforderlich:
- Starke Verschlüsselung der biometrischen Templates und strikte Trennung von Identitäts- und Nutzungsdaten.
- Feingranulares Berechtigungsmanagement, regelmäßige Sicherheits-Audits und Penetrationstests zur Minimierung interner und externer Angriffsflächen.
- Einsatz von Liveness Detection, um Angriffe mit Fotos, Videos oder Deepfakes zu erkennen und abzuwehren.
- Ein Multi-Faktor-Ansatz, bei dem Biometrie klassische Verfahren wie Ausweiskontrolle und Besitzfaktoren (z. B. Endgerät) ergänzt, aber nicht vollständig ersetzt.
International zeigt sich ein klarer Trend: Immer mehr Staaten koppeln die SIM-Registrierung an eine „Real-Name“-Identifizierung, teils bereits mit biometrischen Verfahren. Entscheidend ist, dass diese Maßnahmen in ein umfassendes Sicherheitskonzept eingebettet sind, das sowohl technische Absicherung als auch strengen Datenschutz berücksichtigt.
MVNO-Regulierung und Folgen für die Telekommunikationsbranche
Die Zahl, dass etwa 92 % der Fake-Rufnummern 2024 über MVNO registriert wurden, weist auf eine deutliche Regulierungslücke hin. Fachlich ist zu erwarten, dass biometrische Identitätsprüfungen und einheitliche KYC-Standards künftig auch für virtuelle Netzbetreiber verpflichtend werden, begleitet von deutlich verschärften Sanktionsmechanismen bei Verstößen gegen Datenschutz- und Sicherheitsauflagen.
Für Telekommunikationsunternehmen bedeutet dies umfangreiche Investitionen in sichere biometrische Infrastrukturen, den Ausbau ihres Informationssicherheits-Managements (z. B. nach ISO 27001), klare Incident-Response-Prozesse sowie regelmäßige unabhängige Sicherheitszertifizierungen.
Die südkoreanische Entwicklung macht deutlich, dass biometrische SIM-Karten-Verifizierung ein wichtiges Instrument im Kampf gegen Telefonbetrug und Identitätsdiebstahl sein kann, aber kein Allheilmittel ist. Unternehmen sollten ihre Sicherheitsarchitektur ganzheitlich stärken – von der Härtung ihrer Systeme über konsequente Verschlüsselung und minimierte Datenspeicherung bis hin zu Schulungen für Mitarbeitende. Nutzer wiederum sollten wachsam gegenüber unerwarteten Anrufen und SMS bleiben, keine sensiblen Daten am Telefon preisgeben und regelmäßig prüfen, ob auf ihren Namen unbekannte Verträge oder Konten existieren. Wer diese Punkte beachtet und sich über neue Identifizierungsanforderungen in digitalen Diensten informiert, reduziert sein persönliches Risiko deutlich und trägt zugleich zu einem insgesamt höheren Sicherheitsniveau im digitalen Ökosystem bei.
