Unter Cyberkriminellen stellt man sich meistens technikaffine Nerds vor, die Malware programmieren oder sich anderweitig unerlaubten Zugriff auf fremde Computersysteme verschaffen, um sensible Daten zu stehlen. Oft aber ist es wesentlich einfacher, an persönliche Daten und Passwörter zu kommen: Shoulder Surfing ist eine simple Möglichkeit, ahnungslose Opfer auszuspähen, um beispielsweise Passwörter, PINs oder sonstige Zugangsdaten zu sammeln. Was Shoulder Surfing genau ist und wie Sie sich in der Öffentlichkeit gegen diese Ausspähmethode schützen können, erklären wir hier.
Beim Shoulder Surfing stehlen Diebe persönliche Daten, indem sie ihre Opfer bei der alltäglichen Verwendung elektronischer Geräte wie z. B. Geldautomaten, Bezahlterminals an Kassen oder auch Laptops bzw. Smartphones beobachten. Sie schauen ihnen bei diesen Aktivitäten wortwörtlich „über die Schulter“.
Wie einfach der Datenklau in der Öffentlichkeit ist, wird deutlich, wenn man unser aller Nutzungsverhalten genauer betrachtet: Wir nutzen regelmäßig Smartphones, Tablets oder Laptops in der Öffentlichkeit. Dabei tippen wir Passwörter, PINs, Nutzernamen und andere persönliche Daten in unsere Geräte ein, ohne dabei besondere Vorsicht walten zu lassen. In vollen öffentlichen Räumen ist es allerdings immer möglich, unwissentlich beobachtet zu werden. Während Sie beispielsweise in einem geschäftigen Café zur Mittagszeit gedankenversunkenan Ihrem Laptop arbeiten, fällt Ihnen mitunter nicht auf, dass die Person am Tisch hinter Ihnen nicht nur freie Sicht auf Ihren Bildschirm hat, sondern auch ganz genau hinschaut, wenn Sie Passwörter zu Ihren Online-Accounts eingeben.
Shoulder Surfer können in vielen Situationen im Schutz deröffentlichen Anonymität ungestört Daten abgreifen. Geben Sie beispielsweise Ihre Kreditkarteninformationen in einem Onlineshop ein, kann ein Krimineller die Zahlen entweder direkt auf dem Bildschirm sehen oder sogar durch Ihre Fingerbewegung erschließen.
Shoulder Surfing gehört zu den Methoden des Social Engineering , das gänzlich darauf abzielt, durch zwischenmenschliche Beeinflussung an vertrauliche Informationen zu kommen. Was die Ausprägung des Shoulder Surfings betrifft, lassen sich zwei Arten unterscheiden:
Zum einen gibt es Angriffe, bei denen durch direkte Beobachtung versucht wird, die Daten abzugreifen. Dabei beobachtet eine Person, die ihrem Opfer unmittelbar über die Schulter schaut, wenn dieses beispielsweise die persönliche PIN an einem Kassenterminal eintippt.
Bei der zweiten Variante werden Betroffene bei ihren Handlungen zunächst per Video aufgezeichnet. Die Kriminellen können die aufgenommenen Videos dann später genau analysieren und so gewünschte Informationen gewinnen. Anhand von Videoaufnahmen ist es bereits heute möglich, die PIN zum Entsperren mobiler Endgeräte zu errechnen, selbst dann, wenn das Display nicht auf dem Videomitschnitt zu sehen ist. Allein die Fingerbewegungen sind ausreichend, um den Zugangscode zu ermitteln.
Die Masche des Datenklaus per Blick über die Schulter gab es schon lange vor dem Aufkommen von Internet und Smartphones: Bereits in den 1980er Jahren spähten Kriminelle die Nummern von Telefonkarten an Münztelefonen aus, um im Anschluss daran auf Kosten der Opfer Ferngespräche zu führen oder die Karten unter dem Marktwert weiterzuverkaufen.
Sobald ein Dieb an persönliche Daten des Opfers gelangt, besteht die Gefahr des Betrugs, indem der Dieb im Namen des Opfers einkauft, Geld abhebt oder andere Geschäfte tätigt. In Deutschland ist daher auch bereits das Ausspähen oder Abfangen von Daten strafbar und wird mit Geldstrafe bzw. einer Freiheitsstrafe von bis zu einem Jahr geahndet.
Zusätzlich zu privaten Schäden kann Shoulder Surfing auch ernsthafte Schäden für Unternehmen verursachen: Wer in der Öffentlichkeit arbeitet und dabei unbedarft Anmeldeinformationen für Tools, die Serveranmeldung oder den E-Mail-Account eintippt, öffnet Kriminellen Tür und Tor und gefährdet nebenbei auch den Datenschutz von Kunden und Kollegen bzw. Mitarbeitern.
Bei sämtlichen privaten und geschäftlichen digitalen Tätigkeiten in der Öffentlichkeit sollten Sie schon aus Prinzip besonders vorsichtig sein. Sie können die Sicherheit Ihrer Daten durch das Beherzigen einiger wichtiger Tipps erheblich erhöhen.
Für die PIN-Eingabe bei der Bezahlung mit EC- oder Kreditkarten haben sich in der Vergangenheit beispielswiese folgende Maßnahmen als besonders effektiv erwiesen:
Tipp 1: Grundsätzlich empfiehlt es sich, das Eingabegerät während der PIN-Eingabe mit der anderen Hand zu verdecken.
Tipp 2: An Bankautomaten hilft es, diese vor dem Geldabheben zunächst auf schlecht befestigte oder verdächtige Anbauteilezu überprüfen. So kann beispielsweise vor dem eigentlichen Kartenleser eine zweite Leseeinheit angebracht sein, die dazu dient, den Magnetstreifen auszulesen und damit Kartendaten abzugreifen.
Tipp 3: Eine weitere Möglichkeit besteht darin, kontaktlose Bezahlverfahren zu nutzen. Da bei diesen Verfahren keine PIN-Eingabe erforderlich ist, können durch klassisches Shoulder Surfing keine sensiblen Informationen erspäht werden.
Wenn sich die Eingabe sensibler Daten am PC, Tablet oder Smartphone in der Öffentlichkeit nicht vermeiden lässt, sind folgende Sicherheitsmaßnahmen empfehlenswert:
Tipp 1: Suchen Sie sich vor der Eingabe sensibler Daten einen geeigneten Platz. Indem Sie direkt mit dem Rücken zur Wand sitzen, schützen Sie sich optimal vor ungewollten Blicken.
Tipp 2: Auch die Verwendung eines Blickschutzfilters ist ratsam. Dabei handelt es sich um eine Folie, die auf dem Bildschirm angebracht wird. Durch diese erscheint der Bildschirm schwarz für jeden, der in einem schrägen Winkel auf das Display schaut. Somit wird das Mitlesen von Informationen durch Unbefugte bedeutend erschwert.
Tipp 3: Durch Nutzung einer Zwei-Faktor-Authentifizierung weist ein Nutzer seine Identität nach, indem er zwei unterschiedliche und voneinander unabhängige Komponenten verwendet. Da diese Authentifikation nur dann erfolgreich ist, wenn beide Faktoren zusammen und richtig eingesetzt werden, ist der Schutz besonders hoch. Dieses Verfahren wird beispielsweise häufig beim Onlinebanking eingesetzt. Hier erfolgt die Identifikation typischerweise durch die Kombination eines Passworts (1. Faktor) mit einer TAN (2. Faktor), die für jeden Authentifikationsvorgang neu generiert wird.
Tipp 4: Eine weitere Abhilfemaßnahme besteht darin, einen Passwort Manager zu verwenden. Dies bedeutet, dass Sie an Ihrem PC nicht mehr jedes Passwort einzeln eingeben, sondern der Passwort-Manager diese Aufgabe für Sie nach Eingabe eines Masterpassworts erledigt. Dadurch kann ein Unbefugter anhand Ihrer Tastatureingabe keinen Rückschluss auf das eigentliche Passwort ziehen – vorausgesetzt, Sie schützen Ihr Masterpasswort entsprechend.
Manchmal braucht es nur wenige Sekunden, und ein Hacker hat sich Zugriff auf private Daten verschafft, ohne dass Sie es überhaupt mitbekommen. Der Grund: Meistens ist das persönliche Kennwort der einzige Schutzmechanismus beim Login von Online-Diensten – und viel zu oft stellen allzu leicht durchschaubare Kennwörter keine große Herausforderung für Kriminelle dar. Dabei gibt es zahlreiche...
Noch vor einigen Jahren waren die Möglichkeiten, im Internet zu bezahlen, eher überschaubar. Die typischen Bezahlmethoden des Versandhandels wie Rechnung, Lastschriftverfahren oder Nachnahme wurden dabei nicht einmal von allen Webshops bedient. Inzwischen gibt es mehrere Online-Bezahldienste wie PayPal, die sicherere Bezahlmethoden fürs Internet anbieten. Welche dieser Online-Zahlungsarten sollte...
E-Mail-Accounts sind eines unserer wichtigsten Kommunikationswerkzeuge: Sie dienen zur Anmeldung bei Webportalen, zum privaten und geschäftlichen Austausch, als Organizer und digitales Adressbuch. Umso wichtiger ist es, das Mailkonto gut zu schützen. Was aber tun, wenn der E-Mail-Account gehackt wurde? Unser Ratgeber erklärt, welche Methoden Internetkriminelle anwenden, um sich Zugang zu...
Im Darknet sind mehrere Milliarden gestohlener Login-Daten im Umlauf. Hacker verwenden diese Kombinationen von Anmeldename und Passwort, um in Benutzerkonten einzudringen und dort heikle Daten auszuspähen. Dazu nutzen sie eine Technik namens „Credential Stuffing“. Damit Sie sich vor Datendiebstahl schützen können, müssen Sie wissen, wie Credential Stuffing funktioniert und welche Gegenmaßnahmen...
Als die Log4Shell-Sicherheitslücke zum Ende des Jahres 2021 bekannt wurde, ging ein Schock um die Welt. Ohne großen Aufwand war es Angreifenden möglich, entfernte Systeme komplett zu übernehmen. Betroffen waren so gut wie alle großen Unternehmen und zahlreiche der am breitesten genutzten Dienste. Wir erklären, warum Log4Shell so verheerend war, wie die Exploits funktionieren und welche...
Nur für kurze Zeit: So erhalten Sie zwei Gratis-Domains!
Kaufen Sie eine .de-Domain und erhalten Sie eine .com und .info Domain gratis dazu.
Sie empfehlen unsere Produkte über unseren Partner Aklamio weiter. Wir bedanken uns mit einer Geldprämie.
Weiterempfehlen
Professionell: 100% werbefrei