Der US Secret Service hat im Großraum New York (Bundesstaaten New York, New Jersey und Connecticut) über 300 SIM-Boxen und 100.000 SIM-Karten sichergestellt. Die Systeme waren in einem Radius von 35 Meilen (56 km) um den Veranstaltungsort der UN‑Generalversammlung verteilt und wurden als unmittelbare Bedrohung der nationalen Sicherheit eingestuft – bis hin zur theoretischen Möglichkeit, Teile des Mobilfunknetzes in New York zu stören.
Fundorte und Ermittlungsansatz: Mehrere Standorte, Tarnung in verlassenen Gebäuden
Nach Angaben der Ermittler waren die SIM-Farmen an mehr als fünf Standorten untergebracht, überwiegend in verlassenen Mehrfamilienhäusern. Laut BBC besteht ein Bezug zu Ermittlungen wegen anonymer telefonischer Drohungen gegen hochrangige US-Regierungsvertreter. Die Behörden gehen jedoch davon aus, dass die Kapazitäten der Infrastruktur deutlich über Telefonterror hinausreichten.
Technische Einordnung: Wie SIM-Boxen funktionieren und warum sie schwer zu entdecken sind
Eine SIM-Box ist ein Mehrkanal-GSM/UMTS/LTE‑Gateway, das Dutzende bis Hunderte SIM-Karten verwalten, remote steuern und rotieren kann. Zusammengeschaltet entstehen SIM-Farmen, die sich nach Anzahl der Leitungen und Verkehrsvolumen skalieren lassen. Mobilfunkbetreiber nutzen zur Erkennung typischerweise Verhaltensanalytik, Gerätesignaturen und Geolokations-Abgleiche. Angreifer kontern dies durch die Imitation legitimen Traffics, dynamische IMSI/IMEI‑Rotation und Lastverteilung – Faktoren, die Detektion und Sperrung erheblich erschweren.
Mögliche Angriffsszenarien auf Sprach- und Mobilfunkdienste
Erstens können massensynchrone Anrufe und SMS‑Fluten einzelne Netzsegmente, Call-Center oder Routing-Punkte überlasten. Solche TDoS‑Angriffe (Telephony DoS) sind aus Kritikinfrastrukturen bekannt; die US‑Cybersicherheitsbehörde CISA warnt seit Jahren vor Auswirkungen auf Notrufleitstellen (z. B. 911).
Zweitens ermöglichen automatisierte Kampagnen mit SIM‑Rotation das Umgehen von Filtern und Anti‑Fraud‑Systemen der Carrier, etwa zur Verschleierung von Herkunft und Volumen.
Drittens können die Systeme für anonyme, verschlüsselte Kommunikation genutzt werden, indem Verkehr geografisch verteilt und Ursprünge maskiert werden.
Bedrohungsbild und Kontext: Hybridoperationen als neuer Normalfall
Die Behörden sprechen von möglicher Beteiligung „staatlicher Stellen“ und von Personen, die den Bundesbehörden bekannt sind – ein Hinweis auf die mögliche Rolle ausländischer Nachrichtendienste. Der Fall unterstreicht, dass Telekommunikation zunehmend zum Schauplatz hybrider Operationen wird, die technische und psychologische Komponenten verbinden. Branchenverbände wie CFCA berichten seit Jahren von zweistelligen Milliardenverlusten durch Kommunikationsbetrug; Bypass-/SIM‑Box‑Fraud zählt dabei zu den Top-Kategorien. Auch die FCC und CISA haben wiederholt vor TDoS und robocall-basierten Störungen gewarnt.
Folgen für Netzbetreiber, Unternehmen und Behörden: Pragmatiker gewinnen
Für Mobilfunkbetreiber sind Erkennung in Echtzeit und aktive Eindämmung entscheidend: Anomalie-Analysen (Signalisierung, CDRs), Geolokations-Korrelation von SIMs, Ratenbegrenzungen für ausgehenden Verkehr, ML-Modelle für SIM-Box-typische Muster sowie enge Lagebilder mit Strafverfolgern. Praxisbeispiele zeigen, dass Kombinationen aus Signatur-basierten und verhaltensbasierten Kontrollen die Falschpositivquote senken, ohne Angriffe zu übersehen.
Organisationen sollten Sprach- und SMS‑Kanäle resilienter gestalten: MFA-Optionen jenseits des SMS‑Codes (App‑ oder FIDO‑basierte Verfahren), Anti‑Fraud‑Gateways für die Telefonie, Filter für Massenanrufe sowie BCP‑Tests, die Überlastszenarien in Telekomnetzen explizit abprüfen. Für Behörden sind interinstitutionelle Koordination, gemeinsames Monitoring kombinierter Bedrohungen (Telephony + IT‑DDoS) und regelmäßige Übungen mit Netzbetreibern und Notdiensten zentral.
Der Vorfall rund um die UN‑Generalversammlung verdeutlicht, dass skalierbare SIM‑Farmen kritische Kommunikation in Metropolregionen unter Druck setzen können. Wer heute Mobilfunk- und Sprachdienste betreibt oder davon abhängig ist, sollte Telekom‑Monitoring, proaktive Anti‑Fraud‑Mechanismen und mehrstufige Authentifizierung priorisieren, Incident‑Runbooks aktualisieren und Belastungstests durchführen. Jetzt ist der richtige Zeitpunkt, Resilienzpläne zu prüfen und mit Partnern entlang der Wertschöpfungskette abzugleichen.
