Ein gestohlenes Handy war für Diebe lange wertlos, sobald die Aktivierungssperre griff. Die Deutsche Telekom warnt jetzt vor einer Masche, die genau diese Sperre aushebelt, und trifft damit auch jedes Diensthandy im Reisegepäck.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenSmishing beginnt in diesem Fall nicht mit einer dubiosen Paket-SMS, sondern mit dem eigenen verlorenen Telefon. Nach einem Diebstahl im Urlaub aktivieren die meisten Bestohlenen den Verloren-Modus und hinterlegen eine Rückrufnummer auf dem Sperrbildschirm. Genau diese Hilfsbereitschaft wird zum Einfallstor.
Das Wichtigste in Kürze
- Die Telekom hat hunderte Fälle registriert, in denen Diebe Bestohlene nach dem Handydiebstahl gezielt kontaktieren.[1]
- Das Ziel ist nicht das gesperrte Gerät, sondern die Apple-ID oder das Google-Konto dahinter.
- Zugangsdaten preiszugeben hebelt die Aktivierungssperre selbst aus und öffnet Fotos, Mails und Bezahldienste.
- Für Firmen zählt das Diensthandy zur Angriffsfläche, denn ohne Geräteverwaltung und Passkeys bleibt jede Sperre wertlos.
Wie läuft die Masche ab?

Diebe lesen die Kontaktnummer vom Sperrbildschirm des gestohlenen Handys ab, geben sich per Nachricht als ehrliche Finder aus und leiten das Opfer auf eine gefälschte Apple- oder Google-Anmeldeseite. Mit den erbeuteten Zugangsdaten lösen sie das Gerät aus dem Konto und entfernen die Aktivierungssperre.
Technisch stark, menschlich angreifbar: Die Aktivierungssperre gilt als wirksamste Hürde gegen Diebstahl, weil ein fremdes Gerät ohne die passende Apple-ID nur Elektroschrott ist. Die Täter brechen diese Hürde nicht, sie umgehen sie über den Menschen.
Zwei Beutestücke stecken hinter dem Klick. Das Gerät wird nach der Kontoübernahme aus der Fernverwaltung gelöscht und damit wieder verkäuflich, zugleich liegen Fotos, Mails und Bezahldienste offen. Dass die Täter mit fehlerfreien, oft KI-getexteten Nachrichten arbeiten, hat das BSI schon für das KI-gestützte Phishing im Alltag beschrieben.
Dieselbe Logik wie beim Betrug mit geklonten Stimmen am Telefon greift auch hier: Nicht die Technik versagt, das Vertrauen in eine hilfreiche Nachricht wird zur Waffe.
Warum nehmen Smishing und Quishing gerade zu?
Weil der Kanal wirkt: SMS und QR-Codes umgehen viele E-Mail-Filter. Microsoft hat im ersten Quartal 2026 einen Anstieg der QR-Code-Angriffe um 146 Prozent registriert, von 7,6 auf 18,7 Millionen pro Monat. Rund jede neunte Phishing-Mail trug im März einen QR-Code.
Quishing nennt sich die Spielart, bei der der Phishing-Link im QR-Code steckt und sich vor dem Scannen nicht mehr prüfen lässt. Auf gefälschten Parktickets oder Ladesäulen-Aufklebern landet die Beute direkt auf dem privaten Smartphone, das im Firmennetz oft weniger Schutz genießt als der Desktop.
Absender ohne Herkunftsnachweis machen den Kanal so ergiebig. Andere Länder ziehen nach, etwa mit der Pflicht, dass Firmen ihre SMS-Absender registrieren müssen. Wie leicht sich sogar Zwei-Faktor-Codes abgreifen lassen, hat zuletzt eine Lücke in einer Authenticator-App gezeigt.
Die Aktivierungssperre ist technisch stark, aber sie schützt nur das Blech. Sobald jemand seine Zugangsdaten herausgibt, öffnet er dem Dieb das ganze digitale Leben, und kein Update der Welt hält ihn dann noch auf.
— Markus Seyfferth, Chefredakteur Dr. Web
Was sollten deutsche Entscheider jetzt veranlassen?
Diensthandys gehören unter eine Geräteverwaltung, die Konten über Passkeys statt Passwörter absichert, sodass abgegriffene Zugangsdaten allein keine Anmeldung erlauben. Dazu gehört eine klare Ansage an reisende Mitarbeiter, keine Logins über Links zu öffnen und die SIM im Verlustfall sofort sperren zu lassen.
Vor der Dienstreise zählen ein aktuelles Cloud-Backup und installierte Updates, unterwegs ein VPN im öffentlichen WLAN und der Verzicht auf fremde USB-Ladestationen. Verdächtige SMS lassen sich in Deutschland kostenlos an die Kurzwahl 7726 weiterleiten, die die Telekom als Meldekanal betreibt.
Regulatorisch ist mobile Gerätesicherheit längst Chefsache, denn unter NIS2 haftet die Geschäftsführung für angemessene Schutzmaßnahmen. Warum gerade der Mittelstand hier eine Lücke trägt, zeigt der Blick auf die boomende, aber ungleich verteilte Cyberversicherung.
Der wichtigste Reflex bleibt der einfachste: Ein gestohlenes Gerät niemals selbst aus dem Apple- oder Google-Konto entfernen, denn genau darauf zielen die Diebe. Solange die Aktivierungssperre steht, bleibt das Handy für sie wertlos.
Quelle
[1] Deutsche Telekom: „Beware of treacherous short messages“ ↩
Mehr Newshunger?
- Datenleck bei Netze BW: Wie Kriminelle über einen Zähler-Dienstleister an Stromkundendaten kamen
- Kein einziger Bug: Wie ShinyHunters ein Jahr lang Salesforce-Daten stahl
- Drei Sekunden genügen: Wie geklonte KI-Stimmen den Telefonbetrug verändern
- 570 Sicherheitslücken an einem Tag: KI treibt Microsofts Patchday auf Rekordniveau
- WM 2026: Betrugswelle rollt schon vor dem Anpfiff
- Datenleck bei Lidl: Warum der Dienstleister das eigentliche Einfallstor war