Wie die IMEI die Geräteverwaltung beeinflusst – und die Cybersicherheit gefährdet
Die IMEI-Nummer ist der Ausweis jedes Mobiltelefons. Sie identifiziert Geräte eindeutig, hilft beim Diebstahlschutz und strukturiert den Datenverkehr globaler Netze. Gleichzeitig eröffnet sie neue Angriffsflächen – allerdings nicht dort, wo man sie vermuten würde.
Die International Mobile Equipment Identity – kurz IMEI – fungiert als eindeutige Kennung für Mobilgeräte. Hinter dem 15-stelligen Code steht eine klare technische Struktur. Der sogenannte Type Allocation Code verrät Hersteller und Modell, darauf folgt eine Seriennummer und eine Prüfziffer. Diese Kennung wird bei der Fertigung in die Hardware eingebettet und bleibt über die gesamte Lebensdauer des Geräts gleich. Gespeichert wird sie oft in Datenbanken wie dem Equipment Identity Register, in denen Netzbetreiber prüfen können, ob ein bestimmtes Mobilgerät für den Netzbetrieb autorisiert ist. Global wird das System durch die Internationale Fernmeldeunion standardisiert; daher funktioniert die IMEI in jedem Mobilfunknetz der Welt.
Die IMEI in der Geräteverwaltung
Unternehmen setzen die IMEI vor allem für Mobile Device Management ein. Sie erleichtert, Endgeräte zu inventarisieren, zuzuordnen und zu authentifizieren. Wird etwa ein Mobilgerät verloren oder gestohlen, kann es im Mobilfunknetz unabhängig von der SIM-Karte gesperrt werden. Das funktioniert über Blacklists, die Netzbetreiber führen und abgleichen. Strafverfolgungsbehörden können auf Basis der IMEI zudem Bewegungsmuster rekonstruieren. Gerätehersteller wiederum verknüpfen die Kennung mit Garantie- und Qualitätsdaten.
Marco Wyrsch, Chief Security Officer bei Swisscom. (Source: swisscom.ch)
Die Effektivität der IMEI im Hinblick auf das Sperren von Geräten bleibe jedoch beschränkt: "In den 1990er Jahren wurde die Idee von globalen zentralen Equipment Identity Registers (EIR) gefördert, um gestohlene Geräte weltweit blockieren zu können. Diese zentralen Register wurden jedoch nie umgesetzt", erklärt Marco Wyrsch, Chief Security Officer bei Swisscom.
"Einige Netzbetreiber bieten die Möglichkeit, ein Gerät innerhalb ihres Netzwerks per EIR zu sperren. Die Nutzung von EIR hängt stark von den gesetzlichen Vorschriften des jeweiligen Landes ab. In der Schweiz gibt es derzeit keine solchen gesetzlichen Anforderungen für den Einsatz von EIR", ergänzt Wyrsch. Allerdings seien Datenbanken wie die International Mobile Equipment Identity Database "eine nützliche Ressource, um Informationen über IMEI-Nummern und deren Status abzurufen".
Christian Thiel, Professor für Wirtschaftsinformatik am Institut für Informations- und Prozessmanagement der Ostschweizer Fachhochschule. (Source: zVg)
Die Signifikanz der IMEI-Nummer zeigt sich besonders dort, wo Netzwerke, Geräte und Standards zusammen wirken. Die IMEI betrifft das Endgerät, während die SIM den Anwender identifiziert und es einem Telko ermöglicht, seine Dienste zu verrechnen. "Das sind alles Standards, die zusammenarbeiten müssen, sonst funktioniert das Telefonieren nicht. Aber SIM und Mobilgerät – mit IMEI-Nummer – sind bewusst getrennt", erklärt Christian Thiel, Professor für Wirtschaftsinformatik am Institut für Informations- und Prozessmanagement der Ostschweizer Fachhochschule.
Mit dieser ordnenden Funktion kommen operative und datenschutzrechtliche Aspekte hinzu. Thiel betont, dass es keine rechtlichen Vorgaben gibt, welche die IMEI speziell adressieren. Die Kennung sei zunächst gerätebezogen, werde faktisch aber oft der Person, der das Mobilgerät gehört, zugeordnet – in diesem Fall greife das volle Datenschutzregime.
Jan Alsenz, Principal Penetration Tester, Security Consultant & Researcher und Head of Innovation bei Oneconsult. (Source: zVg)
Jan Alsenz, Principal Penetration Tester, Security Consultant & Researcher und Head of Innovation bei Oneconsult, positioniert sich klarer. Weil IMEI-Nummern ein Gerät eindeutig identifiziert und in der Regel mit einer konkreten Nutzung verbunden sind, sollten sie "auch klar als Personendaten klassifiziert werden". Ob diese Einstufung überall konsistent angewendet wird, sei jedoch offen.
Die IMEI und die Cybersicherheit
Gleichzeitig hat die IMEI eine Sicherheitsdimension, die jedoch oft missverstanden wird. Risiken entstehen weniger dadurch, dass Cyberkriminelle mit der IMEI auf Inhalte auf einem Gerät zugreifen. "Andere Daten oder SMS können mittels der IMEI nicht ausgelesen werden", sagt Thiel. Dafür brauche es zusätzliche Faktoren wie Zugriff auf die SIM-Karte. Die heikleren Szenarien betreffen Identitätstäuschung und Manipulation. Kriminelle klonen oder "spoofen" IMEIs, um Blacklists zu umgehen, gestohlene Mobilgeräte zu tarnen oder Ermittlungen zu verwirren. Der Weg dorthin erfolge meist über Phishing-Angriffe, bei denen sich Täter als Provider ausgeben und IMEI-Nummern abfragen, durch physischen Zugriff auf Geräte oder über manipulierte Apps.
"Problematisch wird es vor allem, wenn die IMEI das einzige Merkmal im Mobile Device Management (MDM) von Unternehmen ist", ergänzt Thiel. "Wenn darüber auch noch der Zugriff geregelt ist, erhält man im Zweifelsfall Zugang zu internen Firmendaten." Angreifer könnten etwa ein anderes Gerät so manipulieren, dass es dieselbe IMEI trägt. "Für den Netzbetreiber wirkt es dann erst mal wie dasselbe Gerät."
Selbst wenn die Mehrfachnutzung einer IMEI erkannt wird, könnten Geräte nur mit einem konkreten Grund gesperrt werden. Im schlimmsten Fall geraten dadurch Unbeteiligte ins Visier von polizeilichen Ermittlungen, weil kriminelle Aktivitäten auf ihre Geräte-ID zurückfallen. Allerdings, sagt Thiel, wählen Cyberkriminelle meistens einen einfacheren Angriffspunkt als die IMEI. Zudem werde ihre Auslesung angesichts der Entwicklung von 5G und Internet of Things technisch anspruchsvoller.
Das Interview mit Christian Thiel als Video. (Source: Netzmedien)
Auch Jan Alsenz setzt einen Kontrapunkt zu Worst-Case-Szenarios: "Mir ist keine Lösung, insbesondere im Unternehmensumfeld, bekannt, welche die IMEI als vertrauenswürdigen Authentisierungsfaktor oder anderweitig wichtiges Element nutzen würde, sodass Spoofing oder Cloning ein Problem sein könnten." Eine Ausnahme sieht er allerdings bei der Missbrauchsmöglichkeit von Blacklists: "Die IMEI-Blockliste zu missbrauchen ist sicher eine valide Möglichkeit eines Angriffs." Allerdings müsste der Angreifer dazu zuerst die IMEI des Ziels kennen und der Missbrauch in einem bestimmten Kontext erfolgen.
Die IMEI im Unternehmenskontext
Als Inventarschlüssel ist die IMEI hilfreich, als alleinige Zugangsvoraussetzung aber nicht genug. Daher kombinieren MDM-Systeme Gerätekennungen mit zusätzlichen Faktoren. "Wenn es zusätzlich vernünftige Mechanismen gibt, wie etwa Zwei-Faktor-Authentifizierung und idealerweise die Vorgabe, dass nicht jede beliebige App installiert werden kann, dann ist das Risiko in den meisten Fällen tragbar", fügt Thiel hinzu.
Dass IMEI-Manipulationen überhaupt vorkommen, ist angesichts des Ertragsdrucks organisierter Kriminalität kaum überraschend. Blacklists werden umgangen, gestohlene Geräte umetikettiert, Ermittlungen erschwert. Der Untergrundmarkt bietet Tools zur Änderung; zugleich professionalisieren Netzbetreiber ihre Prüfroutinen und setzen auf Datenabgleiche. In der Bilanz bleibt die IMEI trotz aller Angriffsversuche ein wirksamer Schutzmechanismus – vor allem dann, wenn sie in ein mehrschichtiges Sicherheitskonzept eingebettet ist. Unternehmen können die Angriffsfläche zusätzlich verringern, indem sie sensible Funktionen wie Gerätekauf und -registrierung zentralisieren, automatisierte Compliance-Prüfungen einführen und ihre Mitarbeitenden für Phishing-Methoden sensibilisieren, die gezielt nach der IMEI fragen.
Künftige Entwicklungen werden vor allem durch Faktoren wie die wachsende Bedrohungslage, neue Regulationen und die Zusammenarbeit zwischen Netzbetreibern, Herstellern und Behörden geprägt. Ausserdem können technische Entwicklungen die Vertrauenswürdigkeit der Kennung erhöhen – etwa durch eine verbesserte Verschlüsselung von Geräteidentifikatoren oder KI-gestützte Verfahren zur Detektion von Fälschungen.
Thiel mahnt dennoch zur Realitätsnähe: Mit neuen Standards wie 5G werden Sicherheitsfunktionen robuster, aber nicht absolut sicher. Das Kräfteverhältnis bleibe eine Kosten-Nutzen-Abwägung auf beiden Seiten. "In sehr spezifischen Einzelfällen kann es dennoch Angriffe über die IMEI-Nummer geben", sagt er. Wer sich nach dem Stand der Technik schützt, gängige Risiken priorisiert und sein Sicherheitsmanagement laufend verbessert, adressiert das Gros der Gefahren – und behält genug Ressourcen für Sonderfälle.
Im Interview geht Christian Thiel, Professor für Wirtschaftsinformatik am Institut für Informations- und Prozessmanagement der Ostschweizer Fachhochschule, noch genauer auf die Rolle der IMEI in der Cybersicherheit ein.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Die IMEI-Nummer ist wie eine Fahrgestellnummer – riskant wird sie erst durch den Einsatz
KI, Supply Chains und Fake-Webseiten erhöhen das Cyberrisiko
BACS hat 2025 über 18 Millionen Franken ausgegeben
Best of Swiss Web 2026: Jetzt sind die Jurys gefragt
Wie die IMEI die Geräteverwaltung beeinflusst – und die Cybersicherheit gefährdet
Cyberangriffe in der Schweiz nehmen im Januar ab
Passwortmanager bieten weniger Schutz als versprochen
Englische Filmtitel 1 zu 1 ins Deutsche übersetzt
Bug Bounty Switzerland erweitert Geschäftsleitung
