Shoulder Surfing

Unter Cyberkriminellen stellt man sich meistens technikaffine Nerds vor, die Malware programmieren oder sich anderweitig unerlaubten Zugriff auf fremde Computersysteme verschaffen, um sensible Daten zu stehlen. Oft aber ist es wesentlich einfacher, an persönliche Daten und Passwörter zu kommen: Shoulder Surfing ist eine simple Möglichkeit, ahnungslose Opfer auszuspähen, um beispielsweise Passwörter, PINs oder sonstige Zugangsdaten zu sammeln. Was Shoulder Surfing genau ist und wie Sie sich in der Öffentlichkeit gegen diese Ausspähmethode schützen können, erklären wir hier.

Beim Shoulder Surfing stehlen Diebe persönliche Daten, indem sie ihre Opfer bei der alltäglichen Verwendung elektronischer Geräte wie z. B. Geldautomaten, Bezahlterminals an Kassen oder auch Laptops bzw. Smartphones beobachten. Sie schauen ihnen bei diesen Aktivitäten wortwörtlich „über die Schulter“.

Wie einfach der Datenklau in der Öffentlichkeit ist, wird deutlich, wenn man unser aller Nutzungsverhalten genauer betrachtet: Wir nutzen regelmäßig Smartphones, Tablets oder Laptops in der Öffentlichkeit. Dabei tippen wir Passwörter, PINs, Nutzernamen und andere persönliche Daten in unsere Geräte ein, ohne dabei besondere Vorsicht walten zu lassen. In vollen öffentlichen Räumen ist es allerdings immer möglich, unwissentlich beobachtet zu werden. Während Sie beispielsweise in einem geschäftigen Café zur Mittagszeit gedankenversunken an Ihrem Laptop arbeiten, fällt Ihnen mitunter nicht auf, dass die Person am Tisch hinter Ihnen nicht nur freie Sicht auf Ihren Bildschirm hat, sondern auch ganz genau hinschaut, wenn Sie Passwörter zu Ihren Online-Accounts eingeben.

Shoulder Surfer können in vielen Situationen im Schutz der öffentlichen Anonymität ungestört Daten abgreifen. Geben Sie beispielsweise Ihre Kreditkarteninformationen in einem Onlineshop ein, kann ein Krimineller die Zahlen entweder direkt auf dem Bildschirm sehen oder sogar durch Ihre Fingerbewegung erschließen.

Shoulder Surfing gehört zu den Methoden des Social Engineering , das gänzlich darauf abzielt, durch zwischenmenschliche Beeinflussung an vertrauliche Informationen zu kommen. Was die Ausprägung des Shoulder Surfings betrifft, lassen sich zwei Arten unterscheiden:

Zum einen gibt es Angriffe, bei denen durch direkte Beobachtung versucht wird, die Daten abzugreifen. Dabei beobachtet eine Person, die ihrem Opfer unmittelbar über die Schulter schaut, wenn dieses beispielsweise die persönliche PIN an einem Kassenterminal eintippt.

Bei der zweiten Variante werden Betroffene bei ihren Handlungen zunächst per Video aufgezeichnet. Die Kriminellen können die aufgenommenen Videos dann später genau analysieren und so gewünschte Informationen gewinnen. Anhand von Videoaufnahmen ist es bereits heute möglich, die PIN zum Entsperren mobiler Endgeräte zu errechnen, selbst dann, wenn das Display nicht auf dem Videomitschnitt zu sehen ist. Allein die Fingerbewegungen sind ausreichend, um den Zugangscode zu ermitteln.

Sobald ein Dieb an persönliche Daten des Opfers gelangt, besteht die Gefahr des Betrugs, indem der Dieb im Namen des Opfers einkauft, Geld abhebt oder andere Geschäfte tätigt. In Deutschland ist daher auch bereits das Ausspähen oder Abfangen von Daten strafbar und wird mit Geldstrafe bzw. einer Freiheitsstrafe von bis zu einem Jahr geahndet.

Zusätzlich zu privaten Schäden kann Shoulder Surfing auch ernsthafte Schäden für Unternehmen verursachen: Wer in der Öffentlichkeit arbeitet und dabei unbedarft Anmeldeinformationen für Tools, die Serveranmeldung oder den E-Mail-Account eintippt, öffnet Kriminellen Tür und Tor und gefährdet nebenbei auch den Datenschutz von Kunden und Kollegen bzw. Mitarbeitern.

Bei sämtlichen privaten und geschäftlichen digitalen Tätigkeiten in der Öffentlichkeit sollten Sie schon aus Prinzip besonders vorsichtig sein. Sie können die Sicherheit Ihrer Daten durch das Beherzigen einiger wichtiger Tipps erheblich erhöhen.

Für die PIN-Eingabe bei der Bezahlung mit EC- oder Kreditkarten haben sich in der Vergangenheit beispielswiese folgende Maßnahmen als besonders effektiv erwiesen:

Tipp 1: Grundsätzlich empfiehlt es sich, das Eingabegerät während der PIN-Eingabe mit der anderen Hand zu verdecken.

Tipp 2: An Bankautomaten hilft es, diese vor dem Geldabheben zunächst auf schlecht befestigte oder verdächtige Anbauteile zu überprüfen. So kann beispielsweise vor dem eigentlichen Kartenleser eine zweite Leseeinheit angebracht sein, die dazu dient, den Magnetstreifen auszulesen und damit Kartendaten abzugreifen.

Tipp 3: Eine weitere Möglichkeit besteht darin, kontaktlose Bezahlverfahren zu nutzen. Da bei diesen Verfahren keine PIN-Eingabe erforderlich ist, können durch klassisches Shoulder Surfing keine sensiblen Informationen erspäht werden.

Wenn sich die Eingabe sensibler Daten am PC, Tablet oder Smartphone in der Öffentlichkeit nicht vermeiden lässt, sind folgende Sicherheitsmaßnahmen empfehlenswert:

Tipp 1: Suchen Sie sich vor der Eingabe sensibler Daten einen geeigneten Platz. Indem Sie direkt mit dem Rücken zur Wand sitzen, schützen Sie sich optimal vor ungewollten Blicken.

Tipp 2: Auch die Verwendung eines Blickschutzfilters ist ratsam. Dabei handelt es sich um eine Folie, die auf dem Bildschirm angebracht wird. Durch diese erscheint der Bildschirm schwarz für jeden, der in einem schrägen Winkel auf das Display schaut. Somit wird das Mitlesen von Informationen durch Unbefugte bedeutend erschwert.

Tipp 3: Durch Nutzung einer Zwei-Faktor-Authentifizierung weist ein Nutzer seine Identität nach, indem er zwei unterschiedliche und voneinander unabhängige Komponenten verwendet. Da diese Authentifikation nur dann erfolgreich ist, wenn beide Faktoren zusammen und richtig eingesetzt werden, ist der Schutz besonders hoch. Dieses Verfahren wird beispielsweise häufig beim Onlinebanking eingesetzt. Hier erfolgt die Identifikation typischerweise durch die Kombination eines Passworts (1. Faktor) mit einer TAN (2. Faktor), die für jeden Authentifikationsvorgang neu generiert wird.

Tipp 4: Eine weitere Abhilfemaßnahme besteht darin, einen Passwort Manager zu verwenden. Dies bedeutet, dass Sie an Ihrem PC nicht mehr jedes Passwort einzeln eingeben, sondern der Passwort-Manager diese Aufgabe für Sie nach Eingabe eines Masterpassworts erledigt. Dadurch kann ein Unbefugter anhand Ihrer Tastatureingabe keinen Rückschluss auf das eigentliche Passwort ziehen – vorausgesetzt, Sie schützen Ihr Masterpasswort entsprechend.