protocol
SMS (Short Message Service)
Also known as: text message, txt
Ein Messaging-Protokoll aus den 1980er Jahren, das Kurznachrichten von bis zu 160 Zeichen zwischen Mobiltelefonen über Mobilfunk- und Signalisierungsnetze übermittelt.
SMS, kurz für Short Message Service, ist ein Text-Messaging-Protokoll, das in den 1980er Jahren als Teil der GSM-Spezifikation standardisiert wurde. Es war ursprünglich als niedrigpriorisiertes Signalisierungskanal-Feature für die Zustellung von Betreiberbenachrichtigungen an Abonnenten konzipiert und sollte nicht zum primären Kommunikationskanal zwischen Benutzern werden.
Eine einzelne SMS-Payload ist auf 140 Bytes begrenzt, was 160 Zeichen 7-Bit-GSM-kodierten Text oder 70 Zeichen 16-Bit-UCS-2 (für nicht-lateinische Alphabete und Emoji) entspricht. Längere Nachrichten werden in mehrere Teile aufgeteilt und vom empfangenen Mobiltelefon wieder zusammengesetzt – ein Mechanismus, der als verkettete SMS oder Long SMS bekannt ist.
In der Praxis gibt es zwei SMS-Formen, die für die meisten Benutzer heute relevant sind. P2P SMS (Person-zu-Person) ist der Standard-Textaustausch zwischen zwei Benutzern über ihre Mobilfunkbetreiber. A2P SMS (Application-to-Person) ist der Kanal, der Verifizierungscodes, Marketingnachrichten und automatisierte Benachrichtigungen von Diensten an Benutzer übermittelt und macht die Mehrheit des gesamten SMS-Volumens im Jahr 2026 aus.
A2P SMS ist das Arbeitspferd der OTP-basierten Authentifizierung, einschließlich der meisten 2FA-Implementierungen weltweit. Der Absender (ein Dienst wie Telegram, Google oder eine Bank) übergibt die Nachricht einem CPaaS-Anbieter, der sie über Verbindungsvereinbarungen mit Zielnetzbetreibern mit Protokollen wie SMPP leitet. Das empfangende Mobiltelefon erhält den Text auf demselben Kanal wie eine reguläre P2P-Nachricht – der Benutzer kann den Unterschied nicht leicht erkennen.
SMS ist strukturell unsicher: Es ist unverschlüsselt übertragen, anfällig für SS7-Abfangung, anfällig für SIM-Swap-Angriffe und wird über Systeme geleitet, deren Betreiber legitimen Lesezugriff haben. Trotzdem bleibt es der dominante Out-of-Band-Authentifizierungskanal, da es eine nahezu universelle Reichweite hat und keine App-Installation erfordert. Sein Ersatz durch RCS, IP-basiertes Messaging und Authenticator-Apps läuft seit über einem Jahrzehnt und ist noch nicht abgeschlossen.
Example
Der Dienst sendete einen 6-stelligen Verifizierungscode per SMS, um die neue Geräteanmeldung zu bestätigen.