Handy gestohlen: Apple Pay und Google Wallet sofort sperren

Ein gestohlenes Handy mit aktivem Apple Pay oder Google Wallet ist ein kontaktloses Zahlungsterminal in den falschen Haenden. Wer dir dein entsperrtes iPhone in der Berliner U-Bahn oder auf dem Muenchner Oktoberfest stiehlt, kann an jedem NFC-Terminal frei einkaufen, bis du handelst. Die 10-Minuten-Sequenz unten schliesst alle Zahlungskanaele in der richtigen Reihenfolge, ohne dabei dein bestes Ortungswerkzeug zu zerstoeren.

Mehr zum allgemeinen Ablauf nach einem Handydiebstahl findest du im vollstaendigen Ratgeber fuer gestohlene Handys.

Warum Apple Pay und Google Wallet nach dem Diebstahl aktiv bleiben

Apple Pay und Google Wallet speichern keine echten Kartennummern auf dem Geraet. Sie verwenden tokenisierte Geraetekartennummern (DPAN), die bei jeder Zahlung generiert werden. Solange dieser Token aktiv ist, funktioniert er wie eine echte Karte.

Das Problem: Der DPAN bleibt gueltIG, bis du ihn explizit widerrufst. Selbst wenn du deine physische Kreditkarte bei der Bank sperrst, laeuft der DPAN weiter, weil er ein separates Konstrukt auf Netzwerkebene ist (Visa Token Service, Mastercard MDES). Ein Dieb kann direkt nach dem Raub am naechsten Supermarkt einkaufen gehen, solange er das Telefon hat und der Bildschirm noch entsperrt ist.

Bei Face-ID- und Touch-ID-gesicherten Geraeten braucht der Dieb ausserdem biometrische Daten oder deinen Code fuer jede Standardzahlung. Entsperrte Bildschirme sind das eigentliche Risiko und die Situation, die in belebten Umgebungen am haeufigsten auftritt.

Die 10-Minuten-Sequenz im Detail

Reihenfolge ist entscheidend. Schritt 8 vor Schritt 1 zu machen, ist der haeufigste Fehler und kostet dich den wichtigsten Ortungsvorteil.

Schritt 1 (0-1 Minute): Gerät auf einem anderen Geraet als verloren markieren.

Oeffne icloud.com/find in einem beliebigen Browser und melde dich mit deiner Apple-ID an. Waehle dein Geraet aus und tippe auf “Als verloren markieren”. Das aktiviert den Verloren-Modus, der gleichzeitig:

• Die Aktivierungssperre einschaltet (das Geraet fuer den Dieb unbrauchbar macht)
• Alle Apple-Pay-Token auf dem Geraet sofort deaktiviert
• Deine Telefonnummer auf dem Sperrbildschirm anzeigt
• Die letzte bekannte Position im Hintergrund uebermittelt

Schritt 2 (1-2 Minuten): Google Wallet sperren, falls du ein Android-Geraet hast.

Gehe zu wallet.google.com und melde dich mit deinem Google-Konto an. Entferne unter “Zahlungsmethoden” alle gespeicherten Karten. Alternativ: android.com/find aufrufen und das Geraet sperren. Das sperrt Google Wallet ohne den Geraet-Standort zu verlieren.

Schritt 3 (2-4 Minuten): Nahverkehrskarte separat sperren.

Der Verloren-Modus loest das Express-Nahverkehrsproblem nicht vollstaendig. Einige Nahverkehrsnetze verarbeiten NFC-Taps im Offline-Modus. Ein Dieb in der U-Bahn kann mehrmals tippen, bevor das Netzwerk synchronisiert. Sperr die Karte direkt ueber das Portal des Anbieters:

• BVG Berlin: bvg.de oder BVG-Fahrinfo-App, Konto anmelden, Karte sperren
• MVV Muenchen: mvv-muenchen.de, Kundenkonto, Karte deaktivieren
• HVV Hamburg: hvv.de, Mein HVV, Karte entfernen
• DB Navigator: bahn.de, Kundenkonto, Zahlungsmittel entfernen

Schritt 4 (4-6 Minuten): Sperr-Notruf anrufen.

Der zentrale Sperr-Notruf 116 116 ist rund um die Uhr kostenlos erreichbar und sperrt SIM-Karten und physische Bank- und Kreditkarten. Halte bereit: IBAN, Kartennummern, Geburtsdatum. Die 116 116 sperrt nicht automatisch Apple Pay oder Google Pay Token.

Direkthotlines der Mobilfunkanbieter:

• Telekom: [0800 33 02202](tel:0800330 2202)
• Vodafone: 0800 172 1212
• O2: [089 78 79 79 400](tel:08978797 9400)
• 1&1: 0721 9600

Schritt 5 (6-8 Minuten): Polizei anrufen oder Anzeige erstatten.

Ruf 110 an oder erstatte Anzeige unter polizei.de (in den meisten Bundeslaendern online moeglich). Du brauchst das Aktenzeichen fuer die Versicherung, den Mobilfunkanbieter und spaetere Bankbestreitungen. Notiere: Uhrzeit, Ort, Umstaende des Diebstahls, IMEI-Nummer (du findest sie auf der Originalverpackung oder im Apple-Konto unter Geraete).

Schritt 6 (8-10 Minuten): Verdaechtige Transaktionen pruefen und Bestreitungen vorbereiten.

Melde dich bei deiner Bank und deinen Kreditkartenanbietern an. Notiere alle Transaktionen nach dem Zeitpunkt des Diebstahls. Visa und Mastercard haben eine Null-Haftungs-Richtlinie fuer nicht autorisierte kontaktlose Zahlungen. Das ZAG (Zahlungsdiensteaufsichtsgesetz) gibt dir in Deutschland das Recht auf Rueckbuchung fuer nicht autorisierte Transaktionen, vorausgesetzt du meldest sie zeitnah.

Apple Pay vs. Google Wallet vs. Samsung Pay: Verhalten bei gestohlenen Geraeten

Express-Nahverkehr: Die stille Schwachstelle

Express-Nahverkehr ist die Funktion, mit der du das Telefon ohne Aufwecken oder Authentifizierung ans Drehkreuz haeltst. Das ist praktisch. Bei einem gestohlenen Telefon bedeutet es: Der Dieb faehrt kostenlos auf deine Rechnung, bis du handelst.

Berliner BVG-Integration, Muenchner MVV, Hamburger HVV und DB-Fernverkehr-Tickets in der Wallet-App funktionieren alle im Express-Modus. Die Karte belastet leise, manchmal in Betragen, die auf einem Kontoauszug leicht zu uebersehen sind.

Der Standardrat “Geraet als verloren markieren” loest das Express-Problem nicht bei allen Systemen sofort. Sperr die Karte zusaetzlich direkt im Portal des Nahverkehrsanbieters, wie in Schritt 3 beschrieben.

iOS 17.3 Gestohlener-Geraet-Schutz: Was er tut und was er nicht tut

iOS 17.3 (veroeffentlicht Januar 2024) fuegt fuer iPhones mit Face ID eine Sicherheitsebene hinzu, die bei Diebstahl an einem unbekannten Ort greift. An einem unbekannten Ort (also nicht zu Hause oder am Arbeitsplatz):

• Wallet-Karten koennen nicht ohne eine zusaetzliche Face-ID-Verifizierung entfernt werden
• Apple-ID-Passwortaenderungen verursachen eine Stunde Verzoegerung
• Das Ausschalten von “Wo ist?” erfordert Face ID

Was er nicht tut: Er verhindert keine NFC-Zahlungen mit dem entsperrten Bildschirm. Er hilft nicht, wenn der Dieb deinen Code kennt. Er greift nicht an bekannten Orten.

Aktivieren kannst du ihn unter Einstellungen > Datenschutz und Sicherheit > Gestohlener-Geraet-Schutz.

Google Wallets Fernaktionen unter wallet.google.com

Fuer Android-Nutzer ist wallet.google.com das Equivalent zu iCloud.com fuer iPhone. Du brauchst nur deinen Google-Konto-Benutzernamen und dein Passwort auf einem beliebigen Geraet.

Unter “Zahlungsmethoden” siehst du alle gespeicherten Karten. Du kannst:

• Einzelne Karten entfernen
• Alle Karten auf einmal entfernen
• Karten fuer ein bestimmtes Geraet sperren

Gehe zudem zu android.com/find, um das Geraet komplett zu sperren. Das verhindert, dass der Dieb die Wallet-App nutzt, ohne das Geraet zu loeschen. Der letzte bekannte Standort bleibt weiterhin sichtbar.

Wenn du Samsung Pay nutzt, ist der entsprechende Fernzugriff unter samsung.com/findmymobile verfuegbar.

Wann du loechen solltest und wann nicht

Loesch nicht, solange eine realistische Chance auf Wiederbeschaffung besteht. Das Fernloeschen deaktiviert Apple Pay und Google Wallet, aber es deaktiviert auch:

• Den Verloren-Modus (das Geraet ist danach nicht mehr gesperrt, wenn es wieder auftaucht)
• Die Ortung in “Wo ist?” und Find My Device
• Die Aktivierungssperre, falls du das Geraet danach aus deinem Konto entfernst

Loesche, wenn:

• Die Polizei die Ermittlung eingestellt hat oder ohne Ergebnis abgeschlossen wurde
• Das Geraet sehr sensible Daten enthaelt (Arbeits-E-Mails, Bankanmeldeinformationen, medizinische Daten)
• Der Diebstahl schon laenger als 48 Stunden zurueckliegt und kein Ortungssignal mehr auftaucht

Die richtige Reihenfolge: erst Verloren-Modus, dann Polizeianzeige, dann warten, dann gegebenenfalls loeschen.

Die Belegkette: Verdaechtige Transaktionen finden

Pruefe diese Quellen fuer Aktivitaetsprotokolle nach dem Diebstahl:

• Apple Pay: iCloud.com > Geraete > [dein Geraet] > Transaktionen (die letzten 24 Stunden sind sichtbar)
• Google Wallet: wallet.google.com > Transaktionsverlauf
• Bank-App: alle Transaktionen ab dem genauen Diebstahlzeitpunkt
• Mobilfunk-Nachweis: Anruf- und SMS-Protokoll beim Anbieter anfragen (per Anschreiben)

Exportiere oder fotografiere alle Belege. Die Zeitstempel braucht deine Bank fuer die Bestreitung.

Bankbestreitungen in Deutschland: Deine Rechte

Visa Zero Liability und Mastercard Zero Liability decken nicht autorisierte kontaktlose Transaktionen ab, auch wenn sie ueber ein gestohlenes Geraet erfolgten. Voraussetzung: zeitnahe Meldung, kein grob fahrlaessiges Verhalten.

In Deutschland gilt zusaetzlich das Zahlungsdiensteaufsichtsgesetz (ZAG): Bei nicht autorisierten Zahlungsauftraegen hat die Bank den Betrag unverzueglich zu erstatten, sofern du die Transaktion innerhalb von 13 Monaten nach Buchung bestreitest. Bei grob fahrlaessiger Sorgfaltspflichtverletzung (z.B. PIN auf einem Zettel neben der Karte) kann die Bank die Haftung auf dich abwaelzen.

Was du bereitstellen musst:

• Aktenzeichen der Polizeianzeige
• Zeitstempel der verdaechtigen Transaktionen aus den Wallet-Protokollen
• Schriftliche Erklaerung mit Ort und Zeit des Diebstahls

Melde umgehend. Jeder Tag Verspaetung erzeugt Unklarheit, die Banken nutzen.

Nach dem Abschluss der Zahlungssperre: Erinnere deinen Mobilfunkanbieter daran, die IMEI in der internen Sperrliste zu vermerken. Anders als in Grossbritannien gibt es in Deutschland keine zentrale nationale IMEI-Sperrdatenbank, aber der Vermerk beim Anbieter verhindert zumindest, dass der Dieb das Geraet in deinem Netz weiterbetreibt. Mehr zu allen weiteren Schritten nach einem Diebstahl findest du im gestohlenes-Handy-Ratgeber.

Den Ortungsversuch parallel zu starten, ist ein eigenstaendiger Prozess. Die vollstaendige Anleitung fuer iPhone findest du unter Find My iPhone komplett, fuer Android-Geraete im Google Find My Device Ratgeber. Was Diebe nach einem Handyraub typischerweise als naechstes tun, beschreibt Was machen Diebe mit gestohlenen Handys.