Wie M-Pesas neue Funktion zur Nummernmaskierung Tausende von Betrügereien stoppen könnte

Seit der Einführung von Safaricoms Mobile-Money-Plattform M-Pesa im Jahr 2007 hinterlassen Nutzer jedes Mal, wenn sie Geld senden, Kraftstoff, Lebensmittel oder eine Boda-Boda-Fahrt bezahlen, ihre Telefonnummer, die in der Transaktionsbenachrichtigung erscheint, die an den Empfänger oder Einzelhändler gesendet wird. Diese Nummer könnte gespeichert, geteilt oder an böswillige Akteure verkauft werden, die in SIM-Swap-Betrug verwickelt sind.

Für die über 37 Millionen Kenianer, die die Plattform nutzen, ist dies ein mögliches Glied in einer Kette, die in einigen Fällen dazu geführt hat, dass Kunden ihre Gelder an Betrüger verloren haben.

Am Freitag genehmigte die kenianische Zentralbank (CBK) Safaricoms lang erwarteten Antrag, Telefonnummern von Nutzern bei Zahlungen zu verbergen. 

Die Entscheidung markiert einen bedeutenden Wandel im digitalen Datenschutz für die Nutzer der Plattform und einen direkten Eingriff in eine Betrugsbedrohung, die Tausende von Betrügereien im Land angeheizt hat.

„Hiermit möchten wir Sie darüber informieren, dass die CBK Ihren Antrag und die eingereichten Unterlagen zur Unterstützung der Lösung geprüft hat und Ihren Antrag zur Implementierung der Datenminimierung für Peer-to-Peer-Transaktionen genehmigt", sagte die CBK in ihrem Schreiben an Safaricom.

Im neuen System werden Telefonnummern bei Peer-to-Peer-Überweisungen teilweise maskiert. Wenn ein Empfänger die vollständige Nummer sehen möchte, muss er dies anfordern – und der Absender kann entweder zustimmen oder ablehnen.

Die Funktion verhindert auch, dass Einzelhändler den vollständigen Namen oder die Handynummer des Zahlers sehen, wenn Rechnungen beglichen oder Waren über die Till- oder Paybill-Nummern der Plattform gekauft werden, wodurch die Sichtbarkeit persönlicher Informationen reduziert wird, die für Millionen von Nutzern ein Anliegen war.

Zunehmende Betrugsbedrohungen 

Die Folgen leicht auffindbarer Telefonnummern waren deutlich. Im Jahr 2025 verhaftete das Direktorat für Kriminalermittlungen (DCI) sechs Cyberkriminalitätsverdächtige in Mombasa, die einen Betrugsring in der Küstenstadt betrieben. Laut DCI nutzten die Betrüger ID-Spoofing-Anwendungen – bezahlt mit über 500.000 KES (3.875 $) –, um sich als Bank- und Telekommunikations-Kundendienstmitarbeiter auszugeben.

Mit Telefonnummern, die aus legitimen Transaktionen gesammelt wurden, konnten sie Opfer davon überzeugen, dass sie mit einem vertrauenswürdigen Beamten sprachen, und so PINs und Passwörter herauslocken.

SIM-Swap-Betrug ist auch zu einem der schädlichsten Verbrechen in Kenias mobilzentrierter Wirtschaft geworden und nutzt die Tatsache aus, dass eine Telefonnummer gleichzeitig als Bank-Benutzername und Mobile-Money-Konto fungiert.  Betrüger täuschen oder bestechen Telekommunikationsmitarbeiter, um die Nummer eines Opfers auf eine neue SIM-Karte zu übertragen und den legitimen Besitzer von seiner Leitung auszusperren.

Sobald dies geschehen ist, setzen sie Mobile-Banking- und M-Pesa-PINs zurück, fangen Einmalpasswörter ab und leeren Konten innerhalb von Minuten. Das Ausmaß der Bedrohung hat wiederholt zu Warnungen der kenianischen Kommunikationsbehörde und der kenianischen Zentralbank geführt sowie zu strengeren SIM-Registrierungsregeln und stärkeren Anforderungen zur Kundenverifizierung.

Kenias oberstes Gericht hat Verbrauchern auch Schadensersatz für unerwünschte Kontaktaufnahmen und Spam durch private Unternehmen zugesprochen. Beispielsweise ist es üblich, dass lokale Unternehmen Werbebotschaften an Kunden senden, die per Mobile Money bezahlen.

Regulierungsbehörden verschärfen nun die Erwartungen daran, wie digitale Finanzdienstleistungen mit personenbezogenen Daten umgehen. Im Jahr 2024 machten Finanz- und Versicherungsunternehmen schätzungsweise 30 % der vom Büro des Datenschutzbeauftragten (ODPC) herausgegebenen Beschlüsse aus, wobei über 5.000 Beschwerden eingereicht wurden.