Unter Cy­ber­kri­mi­nel­len stellt man sich meistens tech­nik­af­fi­ne Nerds vor, die Malware pro­gram­mie­ren oder sich an­der­wei­tig un­er­laub­ten Zugriff auf fremde Com­pu­ter­sys­te­me ver­schaf­fen, um sensible Daten zu stehlen. Oft aber ist es we­sent­lich einfacher, an per­sön­li­che Daten und Pass­wör­ter zu kommen: Shoulder Surfing ist eine simple Mög­lich­keit, ah­nungs­lo­se Opfer aus­zu­spä­hen, um bei­spiels­wei­se Pass­wör­ter, PINs oder sonstige Zu­gangs­da­ten zu sammeln. Was Shoulder Surfing genau ist und wie Sie sich in der Öf­fent­lich­keit gegen diese Aus­späh­me­tho­de schützen können, erklären wir hier.

Was ist Shoulder Surfing?

Beim Shoulder Surfing stehlen Diebe per­sön­li­che Daten, indem sie ihre Opfer bei der all­täg­li­chen Ver­wen­dung elek­tro­ni­scher Geräte wie z. B. Geld­au­to­ma­ten, Be­zahl­ter­mi­nals an Kassen oder auch Laptops bzw. Smart­phones be­ob­ach­ten. Sie schauen ihnen bei diesen Ak­ti­vi­tä­ten wort­wört­lich „über die Schulter“.

Wie einfach der Datenklau in der Öf­fent­lich­keit ist, wird deutlich, wenn man unser aller Nut­zungs­ver­hal­ten genauer be­trach­tet: Wir nutzen re­gel­mä­ßig Smart­phones, Tablets oder Laptops in der Öf­fent­lich­keit. Dabei tippen wir Pass­wör­ter, PINs, Nut­zer­na­men und andere per­sön­li­che Daten in unsere Geräte ein, ohne dabei besondere Vorsicht walten zu lassen. In vollen öf­fent­li­chen Räumen ist es al­ler­dings immer möglich, un­wis­sent­lich be­ob­ach­tet zu werden. Während Sie bei­spiels­wei­se in einem ge­schäf­ti­gen Café zur Mit­tags­zeit ge­dan­ken­ver­sun­ken an Ihrem Laptop arbeiten, fällt Ihnen mitunter nicht auf, dass die Person am Tisch hinter Ihnen nicht nur freie Sicht auf Ihren Bild­schirm hat, sondern auch ganz genau hinschaut, wenn Sie Pass­wör­ter zu Ihren Online-Accounts eingeben.

Shoulder Surfer können in vielen Si­tua­tio­nen im Schutz der öf­fent­li­chen An­ony­mi­tät ungestört Daten abgreifen. Geben Sie bei­spiels­wei­se Ihre Kre­dit­kar­ten­in­for­ma­tio­nen in einem On­line­shop ein, kann ein Kri­mi­nel­ler die Zahlen entweder direkt auf dem Bild­schirm sehen oder sogar durch Ihre Fin­ger­be­we­gung er­schlie­ßen.

Einordung und Aus­prä­gun­gen des Shoulder Surfings

Shoulder Surfing gehört zu den Methoden des Social En­gi­nee­ring , das gänzlich darauf abzielt, durch zwi­schen­mensch­li­che Be­ein­flus­sung an ver­trau­li­che In­for­ma­tio­nen zu kommen. Was die Aus­prä­gung des Shoulder Surfings betrifft, lassen sich zwei Arten un­ter­schei­den:

Zum einen gibt es Angriffe, bei denen durch direkte Be­ob­ach­tung versucht wird, die Daten ab­zu­grei­fen. Dabei be­ob­ach­tet eine Person, die ihrem Opfer un­mit­tel­bar über die Schulter schaut, wenn dieses bei­spiels­wei­se die per­sön­li­che PIN an einem Kas­sen­ter­mi­nal eintippt.

Bei der zweiten Variante werden Be­trof­fe­ne bei ihren Hand­lun­gen zunächst per Video auf­ge­zeich­net. Die Kri­mi­nel­len können die auf­ge­nom­me­nen Videos dann später genau ana­ly­sie­ren und so ge­wünsch­te In­for­ma­tio­nen gewinnen. Anhand von Vi­deo­auf­nah­men ist es bereits heute möglich, die PIN zum Ent­sper­ren mobiler Endgeräte zu errechnen, selbst dann, wenn das Display nicht auf dem Vi­deo­mit­schnitt zu sehen ist. Allein die Fin­ger­be­we­gun­gen sind aus­rei­chend, um den Zu­gangs­code zu ermitteln.

Hinweis

Die Masche des Da­ten­klaus per Blick über die Schulter gab es schon lange vor dem Aufkommen von Internet und Smart­phones: Bereits in den 1980er Jahren spähten Kri­mi­nel­le die Nummern von Te­le­fon­kar­ten an Münz­te­le­fo­nen aus, um im Anschluss daran auf Kosten der Opfer Fern­ge­sprä­che zu führen oder die Karten unter dem Marktwert wei­ter­zu­ver­kau­fen.

Welche Kon­se­quen­zen kann Shoulder Surfing haben?

Sobald ein Dieb an per­sön­li­che Daten des Opfers gelangt, besteht die Gefahr des Betrugs, indem der Dieb im Namen des Opfers einkauft, Geld abhebt oder andere Geschäfte tätigt. In Deutsch­land ist daher auch bereits das Ausspähen oder Abfangen von Daten strafbar und wird mit Geld­stra­fe bzw. einer Frei­heits­stra­fe von bis zu einem Jahr geahndet.

Zu­sätz­lich zu privaten Schäden kann Shoulder Surfing auch ernst­haf­te Schäden für Un­ter­neh­men ver­ur­sa­chen: Wer in der Öf­fent­lich­keit arbeitet und dabei unbedarft An­mel­de­infor­ma­tio­nen für Tools, die Ser­ver­an­mel­dung oder den E-Mail-Account eintippt, öffnet Kri­mi­nel­len Tür und Tor und gefährdet nebenbei auch den Da­ten­schutz von Kunden und Kollegen bzw. Mit­ar­bei­tern.

Ge­gen­maß­nah­men: Das können Sie gegen Shoulder Surfing tun

Bei sämt­li­chen privaten und ge­schäft­li­chen digitalen Tä­tig­kei­ten in der Öf­fent­lich­keit sollten Sie schon aus Prinzip besonders vor­sich­tig sein. Sie können die Si­cher­heit Ihrer Daten durch das Be­her­zi­gen einiger wichtiger Tipps erheblich erhöhen.

Shoulder-Surfing-Schutz: Tipps bei der PIN-Eingabe

Für die PIN-Eingabe bei der Bezahlung mit EC- oder Kre­dit­kar­ten haben sich in der Ver­gan­gen­heit bei­spiels­wie­se folgende Maßnahmen als besonders effektiv erwiesen:

Tipp 1: Grund­sätz­lich empfiehlt es sich, das Ein­ga­be­ge­rät während der PIN-Eingabe mit der anderen Hand zu verdecken.

Tipp 2: An Bank­au­to­ma­ten hilft es, diese vor dem Geld­ab­he­ben zunächst auf schlecht be­fes­tig­te oder ver­däch­ti­ge An­bau­tei­le zu über­prü­fen. So kann bei­spiels­wei­se vor dem ei­gent­li­chen Kar­ten­le­ser eine zweite Le­se­ein­heit an­ge­bracht sein, die dazu dient, den Ma­gnet­strei­fen aus­zu­le­sen und damit Kar­ten­da­ten ab­zu­grei­fen.

Tipp 3: Eine weitere Mög­lich­keit besteht darin, kon­takt­lo­se Be­zahl­ver­fah­ren zu nutzen. Da bei diesen Verfahren keine PIN-Eingabe er­for­der­lich ist, können durch klas­si­sches Shoulder Surfing keine sensiblen In­for­ma­tio­nen erspäht werden.

Shoulder-Surfing-Schutz bei der ge­ne­rel­len Eingabe sensibler Daten

Wenn sich die Eingabe sensibler Daten am PC, Tablet oder Smart­phone in der Öf­fent­lich­keit nicht vermeiden lässt, sind folgende Si­cher­heits­maß­nah­men emp­feh­lens­wert:

Tipp 1: Suchen Sie sich vor der Eingabe sensibler Daten einen ge­eig­ne­ten Platz. Indem Sie direkt mit dem Rücken zur Wand sitzen, schützen Sie sich optimal vor un­ge­woll­ten Blicken.

Tipp 2: Auch die Ver­wen­dung eines Blick­schutz­fil­ters ist ratsam. Dabei handelt es sich um eine Folie, die auf dem Bild­schirm an­ge­bracht wird. Durch diese erscheint der Bild­schirm schwarz für jeden, der in einem schrägen Winkel auf das Display schaut. Somit wird das Mitlesen von In­for­ma­tio­nen durch Unbefugte bedeutend erschwert.

Tipp 3: Durch Nutzung einer Zwei-Faktor-Au­then­ti­fi­zie­rung weist ein Nutzer seine Identität nach, indem er zwei un­ter­schied­li­che und von­ein­an­der un­ab­hän­gi­ge Kom­po­nen­ten verwendet. Da diese Au­then­ti­fi­ka­ti­on nur dann er­folg­reich ist, wenn beide Faktoren zusammen und richtig ein­ge­setzt werden, ist der Schutz besonders hoch. Dieses Verfahren wird bei­spiels­wei­se häufig beim On­line­ban­king ein­ge­setzt. Hier erfolgt die Iden­ti­fi­ka­ti­on ty­pi­scher­wei­se durch die Kom­bi­na­ti­on eines Passworts (1. Faktor) mit einer TAN (2. Faktor), die für jeden Au­then­ti­fi­ka­ti­ons­vor­gang neu generiert wird.

Tipp 4: Eine weitere Ab­hil­fe­maß­nah­me besteht darin, einen Passwort Manager zu verwenden. Dies bedeutet, dass Sie an Ihrem PC nicht mehr jedes Passwort einzeln eingeben, sondern der Passwort-Manager diese Aufgabe für Sie nach Eingabe eines Mas­ter­pass­worts erledigt. Dadurch kann ein Un­be­fug­ter anhand Ihrer Tas­ta­tur­ein­ga­be keinen Rück­schluss auf das ei­gent­li­che Passwort ziehen – vor­aus­ge­setzt, Sie schützen Ihr Mas­ter­pass­wort ent­spre­chend.

Zum Hauptmenü