Alltagsrisiko

Shoulder Surfing Risiko lauert überall

Veröffentlicht am von Redaktion Lesedauer: 4 Minuten

Neben den Phishing-E-Mails, dem Enkel-Trick am Telefon oder DNS-Spoofing, bei dem der Internet-Surfer zu einer gefälschten Website weitergeleitet wird, gehört auch das Shoulder Surfing zu den bekannten Social-Engineering-Angriffen. Wie Shoulder Surfing funktioniert und wie Sie sich davor schützen können, erfahren Sie hier.

Inhalte

Was ist Shoulder Surfing?

Wenn Ihnen jemand beim Eintippen von Kennwörtern oder PIN-Nummern im wortwörtlichen Sinne über die Schulter sieht, um Ihre persönlichen Daten auszuspionieren, heißt das im Fachjargon „Shoulder Surfing“. Sie werden von einem Betrüger unwissentlich beobachtet. Der Täter steht dabei meist neben oder hinter Ihnen und schaut möglichst unauffällig dabei zu, welche PIN Sie eintippen. Wenn er anschließend Ihre Bankkarte stiehlt, indem er sie ablenkt, kann der Betrüger mit der PIN-Nummer Geld von Ihrem Konto abheben.

Beim Shoulder Surfing benötigen die Angreifer keinerlei Programmier- oder Hacking-Kenntnisse. Stattdessen nutzen sie die Unaufmerksamkeit von Menschen aus oder versuchen, sie zu manipulieren, indem sie ihr Vertrauen gewinnen, sie ablenken oder falsche Versprechungen machen. Oft setzen sie dabei auf Stress- oder Angstsituationen, um an sensible Daten zu gelangen.

Wie funktioniert Shoulder Surfing?

Shoulder Surfing ist eine perfide Methode, bei der Betrüger auf verschiedene Art und Weise vorgehen:

  • Sie beobachten Ihre Tastatureingaben in elektronische Geräte.
  • Sie lesen auf Bildschirmen Ihre Textnachrichten oder E-Mails mit.
  • Sie spähen Ihre Kreditkarteninformationen oder Kennwörter aus.

Ein typisches Beispiel: Sie stehen im Supermarkt an der Kasse und möchten Ihren Einkauf per Girokarte bezahlen. Das kann der Angreifer zu Betrugszwecken ausnutzen: Er drängelt, hält kaum Abstand und steht zu nah am Kreditkartengerät. Insbesondere in stressigen Situationen, wie etwa einer langen Warteschlange oder dem gleichzeitigen Einpacken und Bezahlen Ihrer Waren, kann der Angreifer diese Gelegenheit zum Shoulder Surfing optimal nutzen. Sie sind abgelenkt und es besteht die Gefahr, dass er einen guten Blick darauf hat, welche 4-stellige Geheimzahl Sie eingeben.

Beispiel: Wann sind Sie gefährdet?

Um sich vor Shoulder Surfing zu schützen, sollten Sie zunächst wissen, in welchen Situationen Sie zum potenziellen Opfer werden könnten:

  • Sie füllen an einem öffentlichen Ort, zum Beispiel im Wartebereich im Flughafen, online ein Formular mit persönlichen Daten aus oder Sie melden sich bei einem Online-Konto an und jemand beobachtet Sie dabei unbemerkt.
  • Jemand belauscht Sie an einem belebten Ort, wenn Sie am Telefon Vertrauliches durchgeben. So kann der Angreifer in Ihrem Namen eine Zahlung per Nachnahme durchführen.
  • Sie sitzen im Zug oder in einem Café und arbeiten am Laptop. Die Person neben Ihnen kann so Ihren Bildschirm einsehen und geschäftliche Daten mitlesen. Vielleicht verlassen Sie sogar kurz Ihren Platz und lassen den Laptop unversperrt zurück.
  • Sie stehen in Ihrer Bank, um am Geldautomaten Geld abzuheben. Jemand beobachtet Ihre Eingabe und lenkt Sie anschließend geschickt ab. Bevor der Automat Ihre Bankkarte ausgibt, könnte der Täter in einem unbeobachteten Moment Ihre Karte stehlen.

Ist Shoulder Surfing auch ohne einen anschließenden Betrug strafbar?

Ja. Schon das Ausspähen und Mitlesen von persönlichen, sensiblen Daten ist in Deutschland strafbar, selbst wenn danach kein Betrug stattfindet. Dies kann mit einer Geldstrafe oder mit einer Freiheitsstrafe von bis zu einem Jahr bestraft werden.

Betrug am Geldautomaten

Betrüger machen sich nicht nur die Anonymität öffentlicher Orte zunutze. Sie setzen auch gezielt Werkzeuge ein, um an die Zugangsdaten ihrer Opfer zu gelangen. Mit einem Fernglas können sie aus der Entfernung Informationen mitlesen. Tastatureingaben filmen sie mit versteckten Videokameras. Oder sie installieren an Bankautomaten Lesegeräte, um Kartendaten zu kopieren.

So funktioniert der Betrug am Geldautomaten:

Bei dieser Masche platziert der Betrüger zunächst ein unauffälliges Lesegerät vor dem Kartenleser am Geldautomaten. Wenn Sie dann beim Abheben von Bargeld Ihre Kreditkarte in den Automaten stecken, werden die Daten kopiert, die sich auf dem Magnetstreifen Ihrer Karte befinden. Auf diese Weise gelangen Ihre Daten in die Hände des Betrügers. In der Regel lenkt der Täter Sie im Anschluss geschickt ab, sodass er Ihre Bankkarte stehlen kann. Meistens werden Sie unter einem Vorwand angesprochen. Bis Sie den Verlust Ihrer Kreditkarte bemerken, hat der Täter bereits vollen Zugriff auf Ihr Bankkonto.

Wie können Sie sich vor Shoulder Surfing schützen?

Lassen Sie sich bei der Eingabe von PIN-Nummern und sensiblen Daten nicht unterbrechen. Denn die Täter lenken Sie bewusst ab, um an Ihr Kennwort zu gelangen.

Grundsätzliche Tipps:

  1. Falls Personen an der Kasse oder Menschen am Geldautomaten, die Ihnen Hilfe anbieten, zu aufdringlich werden, bitten Sie höflich um mehr Abstand.
  2. Wenn Sie PIN-Nummern, Geheimzahlen und Kennwörter eintippen, schirmen Sie die Eingabe immer mit einer Hand ab.
  3. Suchen Sie stets einen sicheren Ort auf, wenn Sie in der Öffentlichkeit persönliche Daten eingeben müssen. Im Café oder Zug können Sie Daten mit dem Rücken zur Wand eintippen, sodass hinter Ihnen niemand mitlesen kann.
  4. Sprechen Sie in der Öffentlichkeit nie sensible Daten laut aus, zum Beispiel am Smartphone.
  5. Verwenden Sie immer lange Kennwörter. Diese sind nicht nur sicherer, sondern auch schwieriger mitzulesen.
  6. Informieren Sie Ihre Mitarbeiter über die Sicherheitsvorgaben, wenn sie außerhalb des Büros arbeiten.
  7. Nutzen Sie keinen Bankautomaten, wenn dieser Anzeichen von Manipulation zeigt oder wenn Ihnen ein vertrauter Automat plötzlich anders erscheint.

Ihre PIN wurde ausgespäht – Was tun?

  1. Mit einer Zwei-Faktor-Authentifizierung (2FA) sind Ihre Daten auch dann sicher, wenn Ihre Anmeldedaten ausgespäht wurden. Denn nur mit einem zweiten Kennwort ist eine Anmeldung möglich.
  2. Nutzen Sie nach Möglichkeit kontaktlose Zahlungsmethoden. Wenn Sie beim Bezahlen keine PIN oder Geheimzahl eingeben müssen, können sie auch nicht gestohlen werden.
  3. Schützen Sie Ihr Arbeitsgerät in der Öffentlichkeit vor neugierigen Blicken. Ein Blickschutzfilter (Anti-Spy-Filter) für Laptops sorgt dafür, dass nur Sie bei geradem Blick auf den Bildschirm die Inhalte lesen können. Bei anderen Blickwinkeln bleibt der Bildschirm dunkel. Ihre Nachbarn können nicht mitlesen.
  4. Sperren Sie Ihre Arbeitsgeräte immer mit einem Kennwort, wenn Sie es gerade nicht nutzen oder unbeaufsichtigt lassen müssen.
  5. Verwenden Sie einen Passwort-Manager: So können Sie Ihre sicheren Kennwörter nicht nur besser verwaltet und gespeichert werden. Ein Passwort-Manager übernimmt für Sie unter anderem auch die Eingabe von Kennwörtern. Damit entfällt das Tippen. Und die automatische Eingabe ist anonym, wenn Sie die Option zum Anzeigen oder Ausblenden des Kennworts aktivieren.

Wenn Sie glauben, dass jemand Ihre Kartendaten ausgelesen hat, sollten Sie sofort folgende Schritte unternehmen:

  • Wenden Sie sich an die nächste Polizeidienststelle sowie an Ihre Bank.
  • Lassen Sie Ihre Kreditkarte sofort sperren. Das funktioniert über Ihre Bank oder über den bundesweit gültigen Sperrnotruf unter 116 116.
  • Erstatten Sie ggf. Anzeige bei der Polizei.

Tipp: Kontrollieren Sie regelmäßig Ihre Kontoauszüge auf Auffälligkeiten. Wenn Sie sich an Ihre Bank, wenn ein Geldbetrag unautorisiert und nicht von Ihnen abgehoben wurde.

Markensicherheit auf Domainebene

Sicherheitsrisiken bedrohen nicht nur Privatpersonen, sondern auch Unternehmen. Ein unterschätztes Risiko stellt dabei die Sicherheit rund um die Domains dar. Informieren Sie sich bei uns, welche Risiken bestehen und wie Sie Ihre Marke schützen können.

Zu den Sicherheitstipps

Lesen Sie als Nächstes

Achtung, Betrugsversuch per Mail! LKA warnt vor gefälschten Domain-Rechnungen
Mit Fake-Rechnungen versuchen Kriminelle aktuell, Domaininhaber aufs Glatteis zu führen. Woran Sie den Betrugsversuch erkennen, erfahren Sie hier.
Stilisiertes Bild eines Mannes, der seinen Kopf in einer digital vernetzten Wolke trägt

Birkenstock: Risiken bei Domains am Beispiel einer Kultmarke
Birkenstock hat eine beeindruckende Transformation durchlaufen. Als Domainexperten haben wir uns gefragt:  Ist die Marke Birkenstock auch durch Internet Domains ...

380 Millionen Dollar Schaden durch Fake Stores
Wie können die Unternehmen mit einer effektiven Domainstrategie, die Online Brand Protection beinhaltet, gegen diese Bedrohung vorgehen?
Brute Force Darstellung Kopf mit Kapuze
Cyber Kriminalität

Brute Force: Datenklau per Brechstange
Brute Force isst eine von vielen Methoden zum Datenklau. Erfahren Sie, worum es geht und wie Sir sich schützen können.