SMS-Firewall: Schutz vor Phishing

Christian Fischer über Betrugsprävention im Mobilfunknetz der Telekom. Wie der Netzbetreiber mit smarter Technik gegen SMS-Betrugsangriffe vorgeht und warum das in Deutschland gar nicht so einfach ist.

Seit April 2025 sind bei der Deutschen Telekom neue Sicherheitsfunktionen im Einsatz: Dazu gehört die SMS-Firewall. Im Interview erläutert Christian Fischer, langjähriger Unternehmenssprecher der Telekom, die technischen Hintergründe, die rechtlichen Hürden und die nächsten Schritte im Kampf gegen SMS-Betrug.

Herr Fischer, wie funktioniert die SMS-Firewall?
Die SMS-Firewall filtert eingehende Kurznachrichten, bevor sie bei Kundinnen und Kunden ankommen. In der Anfangsphase blockierte sie ausschließlich SMS, die Links zu bekannten, schädlichen Webseiten enthält, etwa zu Schadsoftware oder Phishing-Seiten. Mittlerweile darf die Telekom auch Kurznachrichten herausfiltern, die ihre Marke in betrügerischer Absicht nachahmt. Dabei werden jeweils Verfahren eingesetzt, die das Fernmeldegeheimnis nicht verletzen.

Welche Arten von Betrug können so unterbunden werden?
Ein typisches Beispiel sind die weit verbreiteten Paket-SMS. Darin heißt es etwa, ein Paket könne nicht zugestellt werden – verbunden mit der Aufforderung, einem Link zu folgen. Klickt man darauf, installiert sich auf Android-Geräten oft im Hintergrund eine Schadsoftware. Oder der Link führt zu einer gefälschten Webseite, auf der sensible Daten abgegriffen werden. Gerade Kreditkarteninformationen werden auf diesem Weg gern „abgephischt“.

Wie kam es zur Entwicklung dieser Schutzfunktion?
Der Auslöser war eine massive Betrugswelle ab dem Jahr 2020; vor allem durch angebliche Paketbenachrichtigungen per SMS. Tätergruppen, die zuvor auf E-Mail-Phishing setzten, entdeckten SMS-Kurznachrichten als neuen Angriffsweg, da diese in Deutschland besonders geschützt sind.

Was ist mit rein textbasierten Phishing-SMS wie "Hallo Mama, ich habe eine neue Nummer…"?
Solche Nachrichten dürfen nach wie vor nicht gefiltert werden, da die Regulierer in der technischen Analyse der Nachrichteninhalte einen Bruch des Fernmeldegeheimnisses sehen. Die Systeme sind dazu in der Lage und tun das auch in anderen Ländern, in Deutschland ist das aber noch nicht zulässig. Wir stehen dazu im Austausch mit den zuständigen Behörden. Ziel ist es, künftig auch solche SMS anhand von technischen Merkmalen wie Hashwerten identifizieren zu können, ohne den Nachrichtentext selbst auszulesen. Bei E-Mails ist dieses Vorgehen längst gängige Praxis.

Und was ist mit Messenger-Diensten wie WhatsApp, Signal oder Telegram?
Diese Dienste sind Ende-zu-Ende verschlüsselt. Als Netzbetreiber haben wir darauf keinen Zugriff. Schutz kann hier nur durch Aufklärung erfolgen.

Was sind die nächsten Schritte beim Schutz vor Betrug?
Ein zentraler nächster Schritt ist die Schaffung klarer rechtlicher Grundlagen in Deutschland, um auch textbasierte Nachrichten prüfen zu dürfen, im Einklang mit dem Datenschutz.

Herr Fischer, vielen Dank für das Gespräch.