eSIM-Sicherheit: Was du über Datenschutz und Risiken wissen musst

Eine physische SIM kann gestohlen werden — eSIM nicht. Das Profil ist kryptografisch mit dem Gerät verknüpft und kann nicht einfach in ein anderes Gerät übertragen werden. Der GSMA-Standard RSP verwendet gegenseitige Authentifizierung zwischen Gerät und Anbieterserver, was Man-in-the-Middle-Angriffe beim Profildownload praktisch ausschließt. Physisch gesehen: Wer dein Gerät nicht hat, kommt nicht ans eSIM-Profil.

SIM-Swapping ist ein Angriff, bei dem ein Angreifer deinen Mobilfunkanbieter dazu bringt, deine Nummer auf eine von ihm kontrollierte SIM zu übertragen. Das funktioniert durch Social Engineering beim Kundendienst — nicht durch einen technischen Angriff auf die SIM selbst. Bei eSIM ist das Angriffspotenzial leicht erhöht, weil Profilübertragungen remote ausgelöst werden können. Gegenmaßnahme: Bei deinem Mobilfunkanbieter eine PIN für Kontoänderungen einrichten (Account-Freeze oder Port-PIN). Die meisten deutschen Anbieter bieten das an.

eSIM-Anbieter speichern typischerweise: E-Mail-Adresse, Zahlungsdaten, gebuchte Tarife und Aktivierungszeitpunkte. Standortdaten im technischen Sinne (welches Mobilfunknetz genutzt wird) werden vom Netzbetreiber vor Ort verarbeitet — nicht vom eSIM-Anbieter. OMNI eSIM unterliegt der DSGVO; Daten werden in der EU gespeichert. Vor dem Kauf: Datenschutzerklärung auf Datenspeicherort und Weitergabe an Dritte prüfen.

Gerätesperre aktivieren: Ohne PIN/Biometrie kein Zugriff auf eSIM-Einstellungen. Nur vertrauenswürdige Anbieter mit HTTPS-gesichertem QR-Code-Versand nutzen. eSIM-Profile löschen, die nicht mehr benötigt werden. Beim Mobilfunkanbieter eine Sicherheits-PIN für Kontoänderungen einrichten. Bei Geräteverlust sofort beim eSIM-Anbieter melden — Profil kann deaktiviert werden.