Shoulder Surfing: Zeigen Sie Datenspionen die kalte Schulter

Per Shoulder Surfing werden Geheimzahlen, Passwörter und sensible Daten ausgespäht

Kriminelle Menschen brauchen gar nicht immer besonders raffinierte Methoden, um an ihr Ziel zu kommen: Das sogenannte „Shoulder Surfing“ als simple Masche, ahnungslose Bürger zu bestehlen, greift immer weiter um sich. Der Begriff lässt sich sinngemäß übersetzen mit „jemandem über die Schulter schauen“. So einfach die Methode, so schwerwiegend oft die Konsequenzen. Hier erfahren Sie, wie Shoulder Surfer versuchen, fremde Daten auszuspähen und erhalten Tipps, wie Sie sich vor der Gefahr am besten schützen.

Das Wichtigste in Kürze:

  • Das Ausspähen von Daten wie PINs, Passwörtern oder sonstigen Zugangsdaten per Blick über die Schulter ist eine einfache Masche, um ahnungslosen Bürgern Geld abzuluchsen oder Zugriff auf ihre online gespeicherten Daten zu ergattern.
  • Das Phänomen ist bundesweit verbreitet.
  • Die Tricks der Datenspione sind vielseitig: Unterschieben gefälschter Bankkarten, Vortäuschen defekter Geldautomaten, Analyse von Fingerbewegungen bei Eingaben an Tastaturen.
  • Das Schützen der eigenen Daten ist wichtig. Oft gelingt es Kriminellen schon mit einfachsten Methoden, PINs und andere vertrauliche Informationen auszuspähen.

Was ist Shoulder Surfing?

Beim Shoulder Surfing erspähen Betrüger, sogenannte Shoulder Surfer, per Blick über die Schulter persönliche Daten, etwa Geheimzahlen (Persönliche Identifikationsnummer, PIN) von Kredit- oder Bankkarten oder Passwörter von Online-Konten, um an das Geld ihrer Opfer zu kommen oder sie sonst wie zu übertölpeln.

Sie beobachten dafür ihre Zielpersonen bei der alltäglichen Verwendung elektronischer Geräte in der Öffentlichkeit. Das kann passieren beim Bargeldabheben am Geldautomaten, beim Eingeben von Passwörtern oder Sicherheitscodes am Smartphone, am Tablet- oder Desktop-PC oder an Bezahlterminals an Einkaufskassen.

Schon gewusst: Vielfach ist die Rede von Datendiebstahl. Dabei gibt es genaugenommen keinen Diebstahl von Daten. Denn die Daten bleiben in den allermeisten Fällen erhalten. Angreifer spähen die Daten rechtswidrig aus, kopieren und übertragen sie. Und sie missbrauchen die Informationen für ihre Zwecke.

Kriminelle haben häufig leichtes Spiel

Viel zu oft haben Datenspione in unserer digitalen Welt leichtes Spiel: Sie schauen uns über die Schulter, wenn wir in der vollen U-Bahn stehen und uns mit persönlichen Passwörtern in unsere Online-Shopping-Accounts einloggen, Kreditkartendaten und Adressen hinterlegen. In der Mittagspause sind sie dabei, wenn das Lokal um die Ecke kurzerhand zum Büro wird, indem noch schnell die aufgeschobenen Bankgeschäfte am Tablet oder Laptop erledigt werden.

Selten macht man sich in diesen alltäglichen Situationen Gedanken über die Sicherheit geheimer Daten. Personen hinter einem am Tisch, am Automaten oder in der Bahn haben freie Sicht auf Bildschirme und Tastaturen und können Daten abgreifen, indem sie Fingerbewegungen bei der Eingabe erschließen. Die erspähten Nummern werden später für unerlaubten Zugriff auf Daten oder Konten genutzt.

So gehen Shoulder Surfer vor

Um an die Daten zu kommen, gehen Täter oder Täterinnen unterschiedlich vor. Zwei Aspekte lassen sich unterscheiden:

1. Direkte Beobachtung

Die Betrüger schauen ihrer Zielperson direkt über die Schulter und erspähen beispielsweise die PIN von Bankkarten, während sie am Geldautomaten eingetippt wird.

Nachdem sie die PIN ausgespäht haben, lenken die Täter ihre Opfer noch am Automaten ab, um die Bank- oder Kreditkarte zu stehlen. Diese wird dann entweder direkt durch eine gefälschte Karte ausgetauscht, damit der Diebstahl nicht sofort bemerkt wird. Oder die Täter gaukeln dem Opfer vor, die Karte wäre vom Automaten eingezogen worden. Mit der gestohlenen PIN plus Bankkarte können die Shoulder Surfer nun problemlos das Konto der Betroffenen plündern.

Die Tricks der Täter, ihre Opfer am Automaten abzulenken, sind vielseitig.

Ein Fallbeispiel:

In Rheinland-Pfalz arbeiteten bei einem Fall, von dem die Verbraucherzentrale berichtete, zwei Täter gemeinsam: Einer spähte am Geldautomaten die PIN des Opfers aus und lenkte anschließend das Opfer am Geldautomaten ab, um unauffällig die Bankkarte aus dem Eingabefach des Automaten zu stehlen. Beides zusammen steckte er seinem Kumpan zu, der am benachbarten Ausgabeautomaten stand. Vorgeblich wegen der fehlenden Karte lotste er sein Opfer aus der Bank, sodass der Mittäter Geld vom Konto des Opfers abheben und die Karte in den ursprünglichen Geldautomaten zurückstecken konnte. Weil sich die Karte dort wieder anfand, hielt die betrogene Bankkundin den Vorgang für ein folgenloses Versehen. Erst später stellte sie fest, dass man sie betrogen und Geld von ihrem Konto erbeutet hatte.

Manchmal genügen den Kriminellen sogar einfach schon gute Ohren – etwa hier: Ein Familienmitglied ruft Sie an mit der Bitte, einen Online-Einkauf mit Ihrer Kreditkarte bezahlen zu dürfen. Arglos lesen Sie Ihre Kreditkartennummer am Telefon vor – zum Beispiel, während Sie am Flughafen im vollen Terminal auf die Abfertigung warten. Ein fataler Fehler, denn damit öffnen Sie auch kriminellen Zuhörern Tür und Tor für illegale Online-Einkäufe.

2. Mit Hilfsmitteln

Noch argloser sind die Opfer in der Regel, wenn sie von Kriminellen aus der Ferne – etwa mit Kamera oder Fernglas – ausgespäht werden. Denn oft reichen zum Beispiel schon Videos mit den Bewegungen der Finger über das Display eines Smartphones aus, um Eingaben wie den Sicherheitscodes zu ermitteln – selbst wenn das Display selbst nicht oder nur schlecht im Video zu sehen ist. Schließlich können Kriminelle solches Videomaterial ungestört analysieren und die gewünschten Informationen herausfiltern.

Shoulder Surfing – eine nicht zu unterschätzende Gefahr

Mit den gestohlenen Daten und Bankkarten können Täter im Namen der Opfer einkaufen, Geld von deren Konto abheben oder anderen Missbrauch begehen. Aber nicht nur im privaten Bereich kann Shoulder Surfing ernsthafte Schäden verursachen.

Auch für die Datensicherheit von Unternehmen und deren Kundinnen und Kunden stellt diese kriminelle Methode ein Risiko dar. Mitarbeiterinnen oder Mitarbeiter, die in der Öffentlichkeit am Dienst-Laptop beispielsweise Anmeldeinformationen für Firmen-Tools oder andere vertrauliche Daten eingeben, laufen Gefahr, von Datenspionen beobachtet zu werden.

Das Ausspähen von Daten ist in Deutschland strafbar und wird mit einer Geldstrafe beziehungsweise einer Freiheitsstrafe von bis zu drei Jahren geahndet. Je nach Missbrauch der Daten sind weit höhere Strafen möglich. Häufig machen sich Betrüger in diesen Fällen nicht nur wegen Ausspähen strafbar, sondern auch wegen Diebstahl, Betrug und Fälschung, zum Beispiel von Bankkarten.

Diese Maßnahmen schützen Sie vor Shoulder Surfing

  • Achten Sie bei der Eingabe von PINs und Passwörtern immer darauf, dass Sie von niemandem beobachtet werden können.
  • Decken Sie Tastaturfelder gegebenenfalls mit einer Hand oder einem Gegenstand ab.
  • Lassen Sie Ihre Bankkarten nicht aus den Augen.
  • Vergewissern Sie sich, dass Sie einen ausreichenden Sicherheitsabstand zu anderen Personen haben.
  • Bitten Sie (angeblich) hilfesuchende Personen darum, zu warten bis Sie fertig sind und bis dahin Abstand zu halten.
  • Überprüfen Sie Bankautomaten: Manipulationen (sogenanntes Skimming), wie montierte Anbauteile, um Magnetstreifen auszulesen oder Kartendaten auszuspähen, sind keine Seltenheit. Fällt Ihnen Ungewöhnliches auf, meiden Sie solche Geldautomaten und informieren Sie Bankmitarbeiterinnen oder -mitarbeiter oder verständigen Sie die Polizei.
  • Lässt es sich nicht vermeiden, in der Öffentlichkeit mobile Bankgeschäfte zu tätigen oder andere sensible Daten an Laptop, Tablet oder Smartphone einzugeben, erhöhen Sie schon mit einfachen Maßnahmen die Sicherheit:
    1. Suchen Sie einen geschützten Platz, beispielsweise mit dem Rücken zur Wand.
    2. Nutzen Sie Blickschutzfilter für Displays.
    3. Verwenden Sie einen Passwortmanager, mithilfe dessen Sie nicht mehr jedes Passwort einzeln,  sondern nur noch ein Masterpasswort eingeben müssen, den Rest erledigt der Manager für Sie.
  • Brechen Sie im Zweifelsfall die Transaktion ab.
  • Bei Verdacht auf Kartenmissbrauch lassen Sie umgehend Ihre Karte sperren. Der bundesweite Sperrnotruf: 116 116* (aus dem Ausland mit der Vorwahl für Deutschland +49).
  • Bei Unsicherheiten lassen Sie sich von Ihrer Bank vor Ort beraten. Sie sperrt auch Ihre Karten für Sie.
  • Prüfen Sie das Limit für das Abheben von Bargeld Ihres Kontos. Je höher das Limit, desto höher der Schaden bei kriminellen Übergriffen. Passen Sie die Höhe gegebenenfalls an.
  • In jedem Fall gilt: Scheuen Sie sich nicht, stets die Polizei zu verständigen!
*Die Nummer steht Ihnen rund um die Uhr zur Verfügung und ist in Deutschland kostenlos. Kosten bei einem Anruf aus dem Ausland sind abhängig vom jeweiligen Anbieter/Netzbetreiber.
Zentrale Sperrrufnummer für Karten: (+49) – 116 116

Datenspione können überall sein. Gehen Sie nicht leichtfertig mit Ihren Daten um und achten Sie stets auf erhöhte Sicherheitsmaßnahmen bei der Benutzung elektronischer Geräte in der Öffentlichkeit. So wappnen Sie sich gegen Shoulder Surfing.


Wenn Sie Fragen zur sicheren Bargeldauszahlung oder zu Bezahlmethoden haben, helfen wir Ihnen gern weiter.

Bitte wählen Sie Ihre Sparkasse aus:

Ist das nicht Ihre Sparkasse?