Shoulder Surfing: Wie Datendiebstahl durch Über-die-Schulter-Schauen funktioniert und wie du dich schützt

Was genau versteht man unter Shoulder Surfing?

Shoulder Surfing beschreibt eine Form des Datendiebstahls, bei der ein Angreifer sensible Informationen direkt durch Beobachten des Opfers abgreift. Der Name leitet sich vom buchstäblichen Blick über die Schulter ab. Die beobachtete Person merkt in der Regel nichts davon, da der Angriff in alltäglichen Situationen stattfindet: am Geldautomaten, an der Supermarktkasse, im Café oder im Zug.

Die Angriffsfläche ist dabei erheblich größer, als viele annehmen. Bedenke, wie oft du täglich in der Öffentlichkeit Zugangsdaten eingibst: beim Entsperren deines Smartphones, beim Login in dein E-Mail-Konto, beim Bezahlen mit Karte oder bei der Arbeit an vertraulichen Dokumenten auf dem Laptop. Jede dieser Situationen bietet einem aufmerksamen Beobachter die Gelegenheit, relevante Daten mitzulesen. In einem vollen ICE-Abteil etwa sitzt die Person auf dem Nachbarplatz oft weniger als einen Meter von deinem Bildschirm entfernt und hat freie Sicht auf alles, was du tippst.

Shoulder Surfing als Social-Engineering-Methode

In der IT-Sicherheit wird Shoulder Surfing dem Bereich Social Engineering zugeordnet. Social Engineering umfasst sämtliche Angriffstechniken, die auf die Manipulation menschlichen Verhaltens abzielen, anstatt technische Schwachstellen auszunutzen. Während Phishing-Angriffe beispielsweise das Vertrauen des Opfers in gefälschte E-Mails oder Websites missbrauchen, nutzt Shoulder Surfing schlicht die mangelnde Aufmerksamkeit in öffentlichen Umgebungen aus.

Dabei lassen sich zwei grundlegende Varianten unterscheiden. Die erste ist die direkte Beobachtung: Der Angreifer positioniert sich in unmittelbarer Nähe zum Opfer und liest Eingaben in Echtzeit mit. Das kann am Bankautomaten geschehen, wo jemand scheinbar in der Warteschlange steht, tatsächlich aber die PIN-Eingabe beobachtet. Ebenso kann es im Coworking-Space passieren, wo ein vermeintlicher Mitnutzer den Bildschirm eines anderen im Blick hat.

Die zweite Variante ist technisch unterstützt und arbeitet mit Videoaufzeichnungen. Hierbei filmt der Angreifer sein Ziel mit einer Kamera oder einem Smartphone und wertet die Aufnahmen später in Ruhe aus. Diese Methode ist besonders tückisch, weil sie auch dann funktioniert, wenn der Bildschirminhalt selbst nicht erkennbar ist. Forschungsteams haben nachgewiesen, dass sich allein anhand der Fingerbewegungen auf einem Touchscreen der eingegebene Entsperrcode rekonstruieren lässt. Dafür reicht bereits eine Aufnahme aus einigen Metern Entfernung.

Übrigens ist Shoulder Surfing keine Erscheinung des digitalen Zeitalters. Bereits in den 1980er Jahren nutzten Kriminelle diese Technik, um an öffentlichen Münztelefonen die Nummern von Telefonkarten auszuspähen und anschließend auf fremde Kosten zu telefonieren oder die abgegriffenen Kartendaten weiterzuverkaufen.

Mögliche Folgen eines erfolgreichen Shoulder-Surfing-Angriffs

Die Konsequenzen hängen davon ab, welche Daten erbeutet wurden. Im privaten Bereich kann ein ausgespähtes Passwort oder eine PIN dazu führen, dass der Angreifer Zugang zu Bankkonten erhält, im Namen des Opfers Online-Einkäufe tätigt oder digitale Identitäten übernimmt. Der finanzielle Schaden kann erheblich sein, und die Wiederherstellung kompromittierter Konten ist oft aufwendig und zeitintensiv.

Für Selbstständige und Unternehmen potenzieren sich die Risiken. Wer unterwegs Zugangsdaten zu Servern, Content-Management-Systemen, E-Mail-Konten oder Hosting-Accounts eintippt, gibt einem Beobachter unter Umständen den Schlüssel zur gesamten IT-Infrastruktur in die Hand. Die Folgen reichen von Datendiebstahl über Manipulation an der Website bis hin zu Verstößen gegen die DSGVO, wenn personenbezogene Daten von Kunden oder Mitarbeitern betroffen sind. Die rechtliche Verantwortung liegt in solchen Fällen beim Unternehmen, das für den Schutz dieser Daten sorgen muss.

Auch die strafrechtliche Seite ist eindeutig: Das Ausspähen und Abfangen von Daten ist in Deutschland nach §202a und §202b StGB strafbar und kann mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu einem Jahr geahndet werden. Das ändert allerdings nichts daran, dass die Beweisführung bei Shoulder Surfing schwierig ist und die Prävention deshalb deutlich wirksamer ist als die Strafverfolgung im Nachhinein.

Schutzmaßnahmen bei der PIN-Eingabe

Die PIN-Eingabe an Geldautomaten, Kassenterminals oder Türschlössern gehört zu den klassischen Angriffsszenarien für Shoulder Surfer. Eine grundlegende Schutzmaßnahme besteht darin, das Eingabefeld während der PIN-Eingabe mit der freien Hand oder einem anderen Gegenstand abzudecken. Das klingt banal, reduziert die Erfolgsaussichten eines Beobachters aber drastisch, da weder die Tastenbewegungen noch die gedrückten Ziffern sichtbar sind.

An Geldautomaten solltest du vor der Nutzung zusätzlich den Kartenleser und die Tastatur auf Auffälligkeiten prüfen. Manipulierte Kartenleser, sogenannte Skimming-Geräte, werden über den eigentlichen Einzugsschlitz montiert und lesen den Magnetstreifen der Karte aus. In Kombination mit einer ausgespähten PIN haben Kriminelle dann alles, was sie für den Zugriff auf dein Konto benötigen. Achte auf lose Anbauteile, ungewöhnliche Materialübergänge oder Bauteile, die sich leicht bewegen lassen.

Eine wirksame Alternative ist die Nutzung kontaktloser Bezahlverfahren per NFC. Da bei Kleinbeträgen in der Regel keine PIN-Eingabe erforderlich ist, entfällt der verwundbare Moment vollständig. Bei höheren Beträgen, die eine PIN-Bestätigung erfordern, gelten dieselben Schutzmaßnahmen wie oben beschrieben.

Schutzmaßnahmen bei der Arbeit mit sensiblen Daten in der Öffentlichkeit

Wenn du unterwegs an deinem Laptop, Tablet oder Smartphone arbeitest, solltest du dir bewusst machen, dass jede Eingabe potenziell beobachtet werden kann. Die Wahl des Sitzplatzes ist dabei die einfachste und effektivste Maßnahme. Positioniere dich so, dass dein Bildschirm zur Wand oder in eine Ecke zeigt. In Cafés, Lounges oder Zügen bedeutet das: Rücken zur Wand, Bildschirm von der Hauptlaufrichtung abgewandt. So reduzierst du die Anzahl möglicher Blickwinkel erheblich.

Eine technische Ergänzung dazu ist der Einsatz eines Blickschutzfilters, auch Privacy Filter genannt. Dabei handelt es sich um eine spezielle Folie, die auf den Bildschirm aufgebracht wird und den sichtbaren Betrachtungswinkel auf etwa 30 Grad einschränkt. Für Personen, die seitlich oder schräg auf den Bildschirm schauen, erscheint die Anzeige dunkel oder komplett schwarz. Du selbst siehst bei frontaler Betrachtung alles wie gewohnt. Für alle, die regelmäßig unterwegs arbeiten, ist ein solcher Filter eine sinnvolle Investition.

Darüber hinaus solltest du konsequent auf Zwei-Faktor-Authentifizierung setzen, wo immer sie verfügbar ist. Bei der 2FA wird neben dem Passwort ein zweiter, unabhängiger Faktor zur Identitätsbestätigung benötigt, beispielsweise ein zeitbasierter Einmalcode aus einer Authenticator-App oder eine Push-Benachrichtigung auf einem separaten Gerät. Selbst wenn ein Shoulder Surfer dein Passwort mitlesen konnte, fehlt ihm der zweite Faktor, um sich tatsächlich einzuloggen. Für Hosting-Accounts, E-Mail-Konten, CMS-Zugänge und Cloud-Dienste ist 2FA heute Standard und sollte ausnahmslos aktiviert sein.

Ein weiterer wirksamer Schutzmechanismus ist der Einsatz eines Passwort-Managers. Statt Passwörter manuell einzutippen, füllt der Passwort-Manager Anmeldeformulare automatisch aus, nachdem du dich einmalig mit einem Masterpasswort oder per biometrischer Authentifizierung verifiziert hast. Da die eigentlichen Zugangsdaten zu keinem Zeitpunkt über die Tastatur eingegeben werden, kann ein Beobachter aus deinen Tastatureingaben keine verwertbaren Informationen ableiten. Entscheidend ist, dass du dein Masterpasswort besonders sorgfältig schützt und es idealerweise nur in geschützten Umgebungen eingibst.

Shoulder Surfing als Teil einer ganzheitlichen Sicherheitsstrategie

Shoulder Surfing wird in der Praxis oft unterschätzt, weil es so wenig technisch wirkt. Doch gerade die Einfachheit macht diese Methode gefährlich. Technische Sicherheitsmaßnahmen wie Firewalls, Verschlüsselung oder DDoS-Schutz greifen hier nicht, weil der Angriff auf der menschlichen Ebene stattfindet. Ein starkes Passwort nützt wenig, wenn es bei der Eingabe beobachtet wird.

Für Unternehmen bedeutet das, dass Shoulder Surfing in Schulungen zur IT-Sicherheit thematisiert werden sollte. Mitarbeiter, die regelmäßig im Homeoffice, auf Geschäftsreisen oder in Coworking-Spaces arbeiten, müssen für die Risiken sensibilisiert werden. Klare Richtlinien zur Nutzung von Geräten in öffentlichen Umgebungen, die verpflichtende Nutzung von Blickschutzfiltern und die Durchsetzung von 2FA für alle geschäftskritischen Systeme sind Maßnahmen, die sich mit überschaubarem Aufwand umsetzen lassen.

Deine digitale Infrastruktur absichern

Die Absicherung gegen Shoulder Surfing ist ein wichtiger Baustein, aber nur ein Teil des Gesamtbildes. Mindestens ebenso wichtig ist eine solide technische Basis für deine Online-Präsenz. Wenn du eine Website betreibst oder geschäftliche E-Mail-Kommunikation nutzt, solltest du darauf achten, dass auch dein Hosting-Provider Sicherheitsstandards wie SSL-Verschlüsselung, regelmäßige Backups und DDoS-Schutz bietet.

Bei dogado findest du Webhosting-Pakete und VPS-Lösungen, die diese Anforderungen abdecken und sich an Selbstständige sowie kleine und mittlere Unternehmen richten. Für WordPress-basierte Projekte bietet das spezialisierte WordPress Hosting eine optimierte Umgebung mit vorinstallierten Sicherheitsupdates. Professionelle E-Mail-Adressen unter eigener Domain lassen sich ebenfalls direkt einrichten, inklusive Zwei-Faktor-Authentifizierung für den Zugang zum E-Mail-Konto. Und wenn du noch keine eigene Domain registriert hast, ist das der erste Schritt zu einer professionellen und abgesicherten Online-Präsenz.

Wer darüber hinaus Unterstützung bei der Website-Erstellung benötigt, kann entweder den Homepage-Baukasten von dogado nutzen oder auf die professionelle Website-Erstellung zurückgreifen. Ergänzend sorgen die SEO-Dienstleistungen und SEA-Dienstleistungen von dogado dafür, dass deine abgesicherte Website auch die Sichtbarkeit erhält, die sie verdient.