← Blog
Guide · 10 Min. Lesezeit · Updated April 2026

Wie SMS-Verifizierung funktioniert — Technische Erklärung

Wie SMS-Verifizierung funktioniert — Technische Erklärung

Schritt 1: OTP-Generierung

Wenn eine Plattform Ihre Telefonnummer verifizieren muss, generiert sie ein Einmalpasswort (OTP). Hier ist, was auf der Serverseite passiert:

  1. Benutzer sendet Telefonnummer — Das Backend der Plattform empfängt die Nummer und validiert ihr Format (Ländercode, Anzahl der Ziffern, gültige Vorwahl).
  2. OTP wird generiert — Ein kryptografisch zufälliger Code wird erstellt, normalerweise 4-6 Ziffern. Die meisten Implementierungen verwenden HMAC-SHA1 oder HMAC-SHA256 mit einem zeitbasierten oder zählerbasierten Seed (TOTP/HOTP-Standards aus RFC 6238/RFC 4226).
  3. OTP wird gespeichert — Der Code wird serverseitig mit einem Ablaufzeitstempel (normalerweise 60-300 Sekunden) gespeichert und mit der Telefonnummer verknüpft.
  4. Ratenbegrenzung wird angewendet — Die Plattform prüft, wie viele OTPs kürzlich für diese Nummer angefordert wurden. Die meisten Dienste erlauben 3-5 Versuche pro Nummer pro Stunde.
  5. SMS-API-Aufruf wird ausgelöst — Die Plattform sendet eine Anfrage an ihren SMS-Anbieter mit der Telefonnummer und dem Nachrichtentext.

Das OTP selbst ist normalerweise nur eine Zufallszahl. Plattformen betten das OTP nicht in gehashter Form in die Nachricht ein — es wird als Klartext im SMS-Body gesendet. Dies ist eine der grundlegenden Sicherheitslücken der SMS-Verifizierung.

Schritt 2: Das A2P-SMS-Ökosystem

A2P steht für Application-to-Person — Nachrichten, die von einer Softwareanwendung an das Telefon eines Menschen gesendet werden. Dies unterscheidet sich von P2P (Person-to-Person) Nachrichten. Das A2P-Ökosystem hat seine eigene Infrastruktur:

SMS-Aggregatoren

Die meisten Plattformen senden SMS nicht direkt über Mobilfunkanbieter. Stattdessen nutzen sie SMS-Aggregatoren — Unternehmen, die Verbindungen zu Hunderten von Mobilfunkanbietern weltweit unterhalten. Zu den wichtigsten Aggregatoren gehören:

Wenn Instagram Ihnen ein OTP sendet, durchläuft die Nachricht wahrscheinlich Twilio oder einen ähnlichen Aggregator, bevor sie Ihren Mobilfunkanbieter erreicht. Der Aggregator kümmert sich um Routing, Verhandlung mit Mobilfunkanbietern und Zustellbestätigung.

SMS-Routing

Der Aggregator bestimmt die optimale Route für die Zustellung der SMS. Für eine US-Nummer könnte dies bedeuten:

  1. Plattform-API-Aufruf → Aggregator (z. B. Twilio)
  2. Aggregator → Mobilfunkanbieter-Gateway (z. B. AT&T, T-Mobile)
  3. Mobilfunkanbieter-Gateway → SMSC (Short Message Service Center)
  4. SMSC → MSC (Mobile Switching Center)
  5. MSC → Basisstation → Telefon des Benutzers

Internationale Nachrichten erhöhen die Komplexität. Ein OTP von einer US-basierten Plattform an eine indische Nummer könnte über 2-3 zwischengeschaltete Mobilfunkanbieter geleitet werden, bevor sie ihr Ziel erreicht. Jeder Schritt erhöht die Latenz und die geringe Wahrscheinlichkeit eines Fehlers.

Möchten Sie das in Aktion sehen?

VerifySMS kostenlos testen →

Virtuelle Nummern erhalten und OTPs in Echtzeit empfangen

Schritt 3: SS7 und die Signalisierungsschicht

SS7 (Signaling System No. 7) ist die Protokollsuite, die steuert, wie Telefonnetze kommunizieren. Entwickelt in den 1970er Jahren, ist es immer noch das Rückgrat der globalen Telefonie. Wenn eine SMS gesendet wird, kümmert sich SS7 um:

SS7-Sicherheitsprobleme

SS7 wurde in einer Zeit entwickelt, als nur vertrauenswürdige Telekommunikationsbetreiber Netzwerkzugang hatten. Heute ist der SS7-Zugang für Tausende von Entitäten verfügbar, was zu Sicherheitslücken führt:

Diese Schwachstellen sind der Grund, warum Sicherheitsexperten empfehlen, von SMS-basierter 2FA zu App-basierten Authentifikatoren (TOTP) oder Hardware-Schlüsseln (FIDO2) abzurücken. Für die anfängliche Kontoüberprüfung (Nachweis des Zugangs zu einer Nummer) bleibt SMS jedoch der Industriestandard, da sie die größte Reichweite hat.

Schritt 4: Wie virtuelle Nummern SMS empfangen

Virtuelle Telefonnummern funktionieren, indem sie die physische SIM-Karte und die Funkkomponenten durch Software ersetzen. So empfängt eine virtuelle Nummer ein OTP:

  1. Nummernzuweisung — Der Anbieter virtueller Nummern least Nummernblöcke von Mobilfunkanbietern. Dies sind echte Telefonnummern mit gültigen Mobilfunkanbieter-Registrierungen.
  2. SIM-Bank oder Soft-SIM — Der Anbieter betreibt physische SIM-Karten in Hardware (SIM-Banken mit Hunderten oder Tausenden von SIMs) oder nutzt Softwareintegrationen auf Carrier-Ebene, um Nachrichten zu empfangen.
  3. SMS erreicht Mobilfunkanbieter — Die OTP-Nachricht wird an den Mobilfunkanbieter geliefert, der mit der virtuellen Nummer verbunden ist, genau wie jede andere SMS.
  4. Nachricht wird weitergeleitet — Die SIM-Bank oder die Carrier-Integration erfasst die eingehende SMS und leitet sie per API an das Backend des Anbieters weiter.
  5. Benutzer sieht den Code — Das Dashboard oder die API des Anbieters zeigt dem Benutzer die empfangene SMS an.

Die entscheidende Erkenntnis: Aus Sicht der sendenden Plattform sieht eine virtuelle Nummer genauso aus wie ein physisches Telefon. Die SMS folgt demselben Routing-Pfad. Der Unterschied liegt in der letzten Meile — anstatt auf einem Telefonbildschirm angezeigt zu werden, wird die Nachricht von Software erfasst.

Schritt 5: Plattformseitige Verifizierung

Nachdem der Benutzer das OTP erhalten und auf der Plattform eingegeben hat, erfolgt die serverseitige Verifizierung:

  1. Code-Vergleich — Die Plattform vergleicht den eingegebenen Code mit dem gespeicherten OTP.
  2. Ablaufprüfung — Wenn das OTP abgelaufen ist (normalerweise 60-300 Sekunden), schlägt die Verifizierung fehl.
  3. Versuchszählung — Die meisten Plattformen erlauben 3-5 falsche Versuche, bevor die Verifizierung gesperrt wird.
  4. Nummernklassifizierung — Einige Plattformen prüfen die Nummer gegen VoIP/virtuelle Nummern-Datenbanken, um Missbrauch zu kennzeichnen.
  5. Erfolg oder Misserfolg — Wenn der Code übereinstimmt und nicht abgelaufen ist, wird die Telefonnummer als verifiziert markiert.

Wie Plattformen virtuelle Nummern erkennen

Einige Plattformen versuchen, virtuelle Nummern zu blockieren. Die von ihnen verwendeten Methoden:

ErkennungsmethodeWie es funktioniertEffektivität
Nummertyp-LookupFragt Mobilfunkanbieter-Datenbanken ab, um zu prüfen, ob die Nummer Mobilfunk, Festnetz oder VoIP istMittel — viele virtuelle Nummern sind als Mobilfunknummern registriert
Mobilfunkanbieter-DatenbankprüfungVergleicht die Nummer mit bekannten VoIP-AnbieterbereichenMittel — funktioniert für große Anbieter, übersieht kleinere
HLR-LookupFragt das Home Location Register nach SIM-Kartendetails abHoch für die Erkennung von reinen Software-Nummern, niedriger für SIM-Bank-Nummern
VerhaltensanalyseVerfolgt, wie viele Konten mit Nummern aus demselben Bereich erstellt wurdenHoch im Laufe der Zeit, erfordert aber Datenakkumulation

Anbieter virtueller Nummern kontern diese Erkennungen, indem sie Carrier-Grade-Nummern verwenden, die als Mobilfunkleitungen registriert sind, diverse Nummern-Pools unterhalten und Nummern häufig rotieren. Der Zyklus der Erkennungs-Umgehung ist fortlaufend.

Warum SMS-Verifizierung trotz ihrer Schwächen bestehen bleibt

SMS-Verifizierung hat bekannte Sicherheitslücken, bleibt aber die dominierende Methode. Die Gründe sind praktisch:

Die Branche bewegt sich langsam in Richtung Alternativen. Passkeys (FIDO2), App-basierte TOTPs und Push-Benachrichtigungen gewinnen an Bedeutung. Aber für die anfängliche Telefonverifizierung — den Nachweis, dass ein Benutzer eine Telefonnummer kontrolliert — bleibt SMS der Standard.

Die Rolle virtueller Nummern in diesem Ökosystem

Virtuelle Nummern besetzen eine spezielle Nische: Sie bieten Zugriff auf Telefonnummernebene, ohne ein physisches Gerät zu benötigen. Dies ist nützlich für legitime Szenarien, darunter:

Aus technischer Sicht funktionieren virtuelle Nummern, weil sie die Tatsache ausnutzen, dass SMS-Verifizierung nur die Kontrolle über eine Nummer beweist — nicht, dass die Nummer auf einem physischen Telefon in der Tasche einer Person ist. Solange die Nummer gültig ist und A2P-Nachrichten empfangen kann, gelingt die Verifizierung.

Fortgeschritten: Optimierung der OTP-Zustellung

Wenn Sie ein Entwickler sind, der SMS-Verifizierung implementiert, sind hier technische Überlegungen für eine zuverlässige Zustellung:

SMS-Verifizierung aus der Empfängerperspektive sehen

VerifySMS kostenlos testen →

150+ Länder · Sofortige Aktivierung · 0,10 $/Nummer

Weitere Artikel auf Deutsch

Alle Blogartikel auf Deutsch →

>Verwandte Artikel