Shoulder Surfing: Der einfachste Trick, mit dem Hacker*innen Ihre Daten stehlen

Stellen Sie sich vor, Sie sitzen in einem Café und tippen Ihr Banking-Passwort ein oder antworten auf eine E-Mail. Hinter Ihnen schaut Ihnen jemand über die Schulter und liest so unbemerkt jeden Ihrer Tastenanschläge mit. Es kommen keine Hacking-Tools zum Einsatz – lediglich ein wachsames Auge und schlechte Absichten. Innerhalb von Minuten sind Ihre privaten Daten gestohlen.

In einer Welt, in der mit einem gestohlenen Passwort Konten geleert und Identitäten übernommen werden, ist das sogenannte Shoulder Surfen eine der einfachsten und doch am meisten übersehenen Bedrohungen. Das Schlimmste daran? Sie werden nicht einmal wissen, dass Sie gefährdet sind – bis es zu spät ist.

In diesem Leitfaden erfahren Sie alles, was Sie über das Shoulder Surfing wissen müssen, und finden Antworten auf unter anderem diese Fragen:

• Was ist Shoulder Surfing eigentlich?
• Wie können Sie Shoulder-Surfing-Angriffe erkennen und verhindern?
• Was können Sie tun, um Ihre Geräte zu schützen?

Lassen Sie uns gleich einsteigen.

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

4.1 basierend auf 177 Benutzerbewertungen

Registrieren

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

Registrieren

4.1 basierend auf 177 Benutzerbewertungen

Was ist Shoulder Surfing?

Beginnen wir mit dem Wichtigsten: Lassen Sie uns definieren, was Shoulder Surfing überhaupt ist.

Wie der Name schon sagt, handelt es sich beim Shoulder Surfing um die Praxis, sensible Informationen zu stehlen, indem man einer anderen Person über die Schulter schaut.

Dies könnte zum Beispiel geschehen, während Sie:

• im Bus den Code für Ihr iPhone eingeben, um Ihre E-Mails abzurufen
• im Zug Ihre Kreditkartennummer eingeben, um einen Online-Kauf zu tätigen
• an einem Geldautomaten die PIN Ihrer Debitkarte eingeben, um Bargeld abzuheben

Technisch gesehen ist Shoulder Surfing nicht illegal. Aber es ist der erste Schritt zu Identitätsdiebstahl und Finanzbetrug. Deshalb ist es wichtig, die möglichen Szenarien zu kennen und zu wissen, wie Sie sich schützen können.

Einer der wichtigsten Unterschiede zwischen Shoulder Surfing und Phishing oder Baiting ist, dass Shoulder Surfing in der physischen Welt stattfindet.

Die Abwehrmethoden unterscheiden sich daher stark von denen des Phishing, wo Sie beispielsweise einen starken Anti-Spam-Filter benötigen.

Beispiele für Shoulder Surfing

Leider gibt es nicht viele dokumentierte, bekannte Fälle von Shoulder Surfing. Das liegt daran, dass Shoulder-Surfing-Angriffe keine digitalen Spuren hinterlassen wie etwa Scareware-Angriffe.

Die führende Studie zu diesem Thema trägt den Titel „Shoulder-Surfing in freier Wildbahn verstehen: Geschichten von Nutzern und Beobachtern“ und wurde von der Ludwig-Maximilians-Universität München in Deutschland durchgeführt.

In dieser Studie wurden in einer Nutzerumfrage unter 174 Personen reale Szenarien des Shoulder Surfing untersucht. Die Ergebnisse zeigen, dass die meisten Fälle von Shoulder Surfing opportunistisch (das heißt nicht geplant) sind, dass es aber auch Fälle gab, in denen sensible Informationen ohne Zustimmung eingesehen wurden.

Es ist wichtig zu wissen, dass Shoulder Surfing nicht nur aus Gründen der Sicherheit bedenklich ist, sondern auch wegen des Datenschutzes und der Privatsphäre.

Neben einem Passwort und einer PIN könnte ein*e Zuschauer*in auch private Informationen wie Termine, Familienfotos etc. sehen.

Hier bei Mailfence setzen wir uns schon immer für einen starken Datenschutz ein, ob online oder offline. Wir sind der Meinung, dass ein starker Schutz der Privatsphäre von grundlegender Bedeutung für eine freie und demokratische Gesellschaft ist. Die Privatsphäre ist ein grundlegendes Menschenrecht, und wir sollten sie um jeden Preis schützen. Und dazu gehört auch, dass wir uns vor Shoulder Surfing schützen.

Werfen wir einmal einen Blick auf einige der häufigsten Fälle an, in denen Shoulder Surfing vorkommt.

Bargeldabhebungen am Geldautomaten

Geldautomaten sind einer der häufigsten Orte, an denen Shoulder-Surfing-Angriffe stattfinden können. Betrüger*innen könnten sich in der Nähe aufhalten und darauf hoffen, dass Sie Ihre PIN eintippen.

Alternativ könnten sie auch kleine versteckte Kameras oder sogar Ferngläser einsetzen.

Um sich davor zu schützen, sollten Sie bei der Eingabe Ihrer PIN immer so nah wie möglich am Geldautomaten stehen. Verbergen Sie Ihre Eingabe mit Ihrer anderen Hand. Und wenn Sie eine verdächtige Person in der Nähe sehen, suchen Sie einen anderen Geldautomaten auf.

Öffentliche Verkehrsmittel

Wenn Sie täglich lange mit dem Zug oder Bus unterwegs sind, haben Sie vielleicht die Angewohnheit, Ihren Laptop aufzuklappen und etwas zu arbeiten.

Wenn Sie jedoch in überfüllten Bussen oder Zügen Ihren Laptop oder Ihr Smartphone benutzen, ist Ihr Bildschirm oft für Fremde in der Nähe einsehbar.

Angreifer*innen können Ihnen diskret über die Schulter schauen und Anmeldedaten, Zahlungsdetails oder sogar private Nachrichten mitlesen. Im schlimmsten Fall könnte sich ein Cyberkrimineller im Zug Ihre Banking-PIN merken und sie später zum Geldabheben verwenden.

Co-Working-Spaces

Mit der Zunahme der Remote-Arbeit sind Co-Working-Spaces für viele Menschen zur neuen Normalität geworden.

Das Arbeiten an vertraulichen Dokumenten oder Zugreifen auf sensible Konten in gemeinsam genutzten Arbeitsbereichen birgt jedoch Risiken.

In offenen Co-Working-Spaces wissen Sie nie, wer Sie aus der Ferne beobachten könnte. Außerdem gibt es in einigen Co-Working-Spaces nicht einmal Sicherheitskontrollen am Eingang, sodass jeder einfach hineinspazieren kann.

Darüber hinaus ist das WLAN möglicherweise nicht richtig gesichert. Die Datenübertragung könnte unverschlüsselt sein, wodurch Daten wie Dateien und Passwörter angreifbar werden. Außerdem könnte das Passwort zu schwach sein, sodass ein unbefugter Zugriff erfolgen kann. Deshalb empfehlen wir – wenn möglich – immer, Ihr Mobilfunknetz zu nutzen.

Aber vielleicht haben Sie nicht immer die Wahl. Es kann auch sein, dass Sie gezwungen sind, während Ihrer Zugfahrt zu arbeiten. Wie können Sie in solchen Fällen das Shoulder Surfing verhindern? Das werden wir im nächsten Abschnitt untersuchen.

Wie können Sie Shoulder Surfing verhindern?

Es gibt viele Strategien, die Sie anwenden können, um das Shoulder Surfing zu verhindern.

• Die erste und offensichtlichste Strategie ist, auf Ihre Umgebung zu achten. Sehen Sie sich um, bevor Sie am Geldautomaten Ihre PIN eingeben: Diese kleine Handlung wird einen potenziellen Angriff durch Shoulder Surfing oft abwehren.
  
• Achten Sie am Geldautomaten darauf, dass Sie „Beenden“ wählen, wenn Sie fertig sind. Bei einigen Geldautomaten muss sich die Karte nicht im Geldautomaten befinden, wenn Sie eine zusätzliche Transaktion durchführen. So kann ein Shoulder Surfer einfach nach Ihnen an den Geldautomaten gehen und Ihre PIN erneut eingeben, um Bargeld abzuheben.
  
• Arbeiten Sie gerne in Cafés? Dann achten Sie darauf, dass Sie einen Sitzplatz mit dem Rücken zur Wand wählen. Dadurch wird das Risiko eines Shoulder-Surfing-Angriffs drastisch reduziert.
  
• Müssen Sie am Telefon vertrauliche Informationen weitergeben? Senken Sie Ihre Stimme und bedecken Sie Ihren Mund. Idealerweise senden Sie die Informationen über eine Textnachricht oder eine verschlüsselte E-Mail.
  
• Lassen Sie Ihren Laptop NIEMALS unbeaufsichtigt. Sperren Sie immer Ihren Bildschirm und klappen Sie Ihren Laptop zu, wenn Sie Ihren Platz verlassen müssen. Und wenn Sie sich an einem öffentlichen Ort befinden, behalten Sie Ihren Laptop einfach immer bei sich, um einen Diebstahl zu vermeiden.
  
• Verwenden Sie eine biometrische Authentifizierung anstelle von PINs und Passwörtern. Das bedeutet zum Beispiel Gesichtserkennung (Face ID) oder Ihren Daumen (Touch ID), um Ihr iPhone zu entsperren.
  
• Aktivieren Sie immer 2FA für Konten, die dies unterstützen, zum Beispiel in Mailfence für Ihre E-Mails. 2FA bietet eine weitere Sicherheitsebene für Ihr Konto. Selbst wenn ein*e Angreifer*in Zugang zu Ihren Anmeldedaten hat, kann er*sie sich nicht in Ihre Konten einloggen.
  
• Nutzen Sie die kontaktlose Zahlung. Verwenden Sie, wann immer möglich, Apps zum kontaktlosen Bezahlen, anstatt eine PIN einzugeben. An vielen Zahlungsterminals können Sie kleine Beträge auch mit Ihrer Karte bezahlen, ohne Ihre PIN eingeben zu müssen.

Shoulder Surfing – erweiterte Maßnahmen zur Prävention

Im vorangegangenen Abschnitt haben wir einige grundlegende Gewohnheiten beschrieben, die jeder anwenden kann, um das Shoulder Surfing zu verhindern. Wenn Sie jedoch regelmäßig in Co-Working-Spaces oder im Zug arbeiten, sollten Sie Ihre Sicherheitsvorkehrungen verstärken.

Für solche Fälle finden Sie hier einige zusätzliche Präventionsmaßnahmen, die Sie ergreifen können:

• Verwenden Sie eine Schutzfolie für den Bildschirm. Displayschutzfolien dienen nicht nur dazu, den Bildschirm vor Kratzern zu schützen. Einige verhindern auch, dass Unbefugte sehen können, was sich auf Ihrem Bildschirm befindet, wenn sie aus einem Winkel darauf schauen:

• Eyeprint ID ist eine brandneue, von EyeVerify entwickelte Technologie. Dieses System authentifiziert Nutzer*innen durch die Analyse einzigartiger Muster von Blutgefäßen im Auge. Unternehmen wie Wells Fargo haben sie bereits in ihre mobilen Banking-Apps integriert, sodass Kund*innen anhand von Augenvenenmustern sicher auf ihre Konten zugreifen können.
  
• Deaktivieren Sie Benachrichtigungen. Benachrichtigungen stellen ein großes Risiko für die Privatsphäre dar, da sie sensible Informationen aus Apps oder E-Mails anzeigen können, selbst wenn das Telefon gesperrt ist.
  
• Blickbasierte Authentifizierung: Anstelle der Eingabe von Passwörtern verwenden einige fortschrittliche Sicherheitssysteme Eye-Tracking-Technologie, um Nutzer*innen anhand ihrer einzigartigen Blickmuster zu authentifizieren. Dies eliminiert das Risiko, dass Passwörter durch visuelles Hacking gestohlen werden. Diese Methode befindet sich noch in der Entwicklung, sollte aber in den nächsten Jahren das Licht der Welt erblicken.
  
• KI-gestützte Datenschutz-Apps sind zwar noch nicht verfügbar, werden aber bald auf den Markt kommen. Derzeit wird daran geforscht, die Frontkamera eines Smartphones zu nutzen, um unbefugte Betrachter*innen zu erkennen. Wird festgestellt, dass jemand anderes als der*die Nutzer*in auf den Bildschirm schaut, verschwimmt das Display oder es wird eine Warnung gesendet. Mehr dazu erfahren Sie in diesem Google-Patent.

Abschließende Gedanken zum Thema Shoulder Surfing

Damit sind wir am Ende dieses Leitfadens zum Thema Shoulder Surfing angelangt. Ich hoffe, Sie haben jetzt ein besseres Verständnis für diese Bedrohung und wissen, wie Sie sie abwehren können.

Zusammenfassend ist es wichtig, daran zu denken, dass nicht für jeden Social-Engineering-Angriff ein ausgeklügelter Trick erforderlich ist, um Sie dazu zu bringen, Ihre sensiblen Daten preiszugeben. Manchmal reicht es schon aus, wenn Sie Ihrer Umgebung nicht genug Aufmerksamkeit schenken, einen Moment abgelenkt sind oder jemandem mündlich am Telefon Ihre PIN mitteilen.

Wenn Sie Ihre Online-Sicherheit auf die nächste Stufe heben möchten, sollten Sie sich unsere private und sichere Suite von Tools wie E-Mail, Online-Speicher, Kalender und mehr ansehen!