Das Ausspähen von Daten wie PINs, Passwörtern oder sonstigen Zugangsdaten per Blick über die Schulter ist eine einfache Masche, um ahnungslosen Bürgern Geld abzuluchsen oder Zugriff auf ihre online gespeicherten Daten zu ergattern.
Das Phänomen ist bundesweit verbreitet.
Die Tricks der Datenspione sind vielseitig: Unterschieben gefälschter Bankkarten, Vortäuschen defekter Geldautomaten, Analyse von Fingerbewegungen bei Eingaben an Tastaturen.
Das Schützen der eigenen Daten ist wichtig. Oft gelingt es Kriminellen schon mit einfachsten Methoden, PINs und andere vertrauliche Informationen auszuspähen.
Beim Shoulder Surfing erspähen Betrüger, sogenannte Shoulder Surfer, per Blick über die Schulter persönliche Daten, etwa Geheimzahlen (Persönliche Identifikationsnummer, PIN) von Kredit- oder Bankkarten oder Passwörter von Online-Konten, um an das Geld ihrer Opfer zu kommen oder sie sonst wie zu übertölpeln.
Sie beobachten dafür ihre Zielpersonen bei der alltäglichen Verwendung elektronischer Geräte in der Öffentlichkeit. Das kann passieren beim Bargeldabheben am Geldautomaten, beim Eingeben von Passwörtern oder Sicherheitscodes am Smartphone, am Tablet- oder Desktop-PC oder an Bezahlterminals an Einkaufskassen.
Schon gewusst: Vielfach ist die Rede von Datendiebstahl. Dabei gibt es genaugenommen keinen Diebstahl von Daten. Denn die Daten bleiben in den allermeisten Fällen erhalten. Angreifer spähen die Daten rechtswidrig aus, kopieren und übertragen sie. Und sie missbrauchen die Informationen für ihre Zwecke.
Viel zu oft haben Datenspione in unserer digitalen Welt leichtes Spiel: Sie schauen uns über die Schulter, wenn wir in der vollen U-Bahn stehen und uns mit persönlichen Passwörtern in unsere Online-Shopping-Accounts einloggen, Kreditkartendaten und Adressen hinterlegen. In der Mittagspause sind sie dabei, wenn das Lokal um die Ecke kurzerhand zum Büro wird, indem noch schnell die aufgeschobenen Bankgeschäfte am Tablet oder Laptop erledigt werden.
Selten macht man sich in diesen alltäglichen Situationen Gedanken über die Sicherheit geheimer Daten. Personen hinter einem am Tisch, am Automaten oder in der Bahn haben freie Sicht auf Bildschirme und Tastaturen und können Daten abgreifen, indem sie Fingerbewegungen bei der Eingabe erschließen. Die erspähten Nummern werden später für unerlaubten Zugriff auf Daten oder Konten genutzt.
Um an die Daten zu kommen, gehen Täter oder Täterinnen unterschiedlich vor. Zwei Aspekte lassen sich unterscheiden:
Die Betrüger schauen ihrer Zielperson direkt über die Schulter und erspähen beispielsweise die PIN von Bankkarten, während sie am Geldautomaten eingetippt wird.
Nachdem sie die PIN ausgespäht haben, lenken die Täter ihre Opfer noch am Automaten ab, um die Bank- oder Kreditkarte zu stehlen. Diese wird dann entweder direkt durch eine gefälschte Karte ausgetauscht, damit der Diebstahl nicht sofort bemerkt wird. Oder die Täter gaukeln dem Opfer vor, die Karte wäre vom Automaten eingezogen worden. Mit der gestohlenen PIN plus Bankkarte können die Shoulder Surfer nun problemlos das Konto der Betroffenen plündern.
Die Tricks der Täter, ihre Opfer am Automaten abzulenken, sind vielseitig.
In Rheinland-Pfalz arbeiteten bei einem Fall, von dem die Verbraucherzentrale berichtete, zwei Täter gemeinsam: Einer spähte am Geldautomaten die PIN des Opfers aus und lenkte anschließend das Opfer am Geldautomaten ab, um unauffällig die Bankkarte aus dem Eingabefach des Automaten zu stehlen. Beides zusammen steckte er seinem Kumpan zu, der am benachbarten Ausgabeautomaten stand. Vorgeblich wegen der fehlenden Karte lotste er sein Opfer aus der Bank, sodass der Mittäter Geld vom Konto des Opfers abheben und die Karte in den ursprünglichen Geldautomaten zurückstecken konnte. Weil sich die Karte dort wieder anfand, hielt die betrogene Bankkundin den Vorgang für ein folgenloses Versehen. Erst später stellte sie fest, dass man sie betrogen und Geld von ihrem Konto erbeutet hatte.
Manchmal genügen den Kriminellen sogar einfach schon gute Ohren – etwa hier: Ein Familienmitglied ruft Sie an mit der Bitte, einen Online-Einkauf mit Ihrer Kreditkarte bezahlen zu dürfen. Arglos lesen Sie Ihre Kreditkartennummer am Telefon vor – zum Beispiel, während Sie am Flughafen im vollen Terminal auf die Abfertigung warten. Ein fataler Fehler, denn damit öffnen Sie auch kriminellen Zuhörern Tür und Tor für illegale Online-Einkäufe.
Noch argloser sind die Opfer in der Regel, wenn sie von Kriminellen aus der Ferne – etwa mit Kamera oder Fernglas – ausgespäht werden. Denn oft reichen zum Beispiel schon Videos mit den Bewegungen der Finger über das Display eines Smartphones aus, um Eingaben wie den Sicherheitscodes zu ermitteln – selbst wenn das Display selbst nicht oder nur schlecht im Video zu sehen ist. Schließlich können Kriminelle solches Videomaterial ungestört analysieren und die gewünschten Informationen herausfiltern.
Mit den gestohlenen Daten und Bankkarten können Täter im Namen der Opfer einkaufen, Geld von deren Konto abheben oder anderen Missbrauch begehen. Aber nicht nur im privaten Bereich kann Shoulder Surfing ernsthafte Schäden verursachen.
Auch für die Datensicherheit von Unternehmen und deren Kundinnen und Kunden stellt diese kriminelle Methode ein Risiko dar. Mitarbeiterinnen oder Mitarbeiter, die in der Öffentlichkeit am Dienst-Laptop beispielsweise Anmeldeinformationen für Firmen-Tools oder andere vertrauliche Daten eingeben, laufen Gefahr, von Datenspionen beobachtet zu werden.
Das Ausspähen von Daten ist in Deutschland strafbar und wird mit einer Geldstrafe beziehungsweise einer Freiheitsstrafe von bis zu drei Jahren geahndet. Je nach Missbrauch der Daten sind weit höhere Strafen möglich. Häufig machen sich Betrüger in diesen Fällen nicht nur wegen Ausspähen strafbar, sondern auch wegen Diebstahl, Betrug und Fälschung, zum Beispiel von Bankkarten.
¹Die Nummer steht Ihnen rund um die Uhr zur Verfügung und ist in Deutschland kostenlos. Kosten bei einem Anruf aus dem Ausland sind abhängig vom jeweiligen Anbieter/Netzbetreiber.
Datenspione können überall sein. Gehen Sie nicht leichtfertig mit Ihren Daten um und achten Sie stets auf erhöhte Sicherheitsmaßnahmen bei der Benutzung elektronischer Geräte in der Öffentlichkeit. So wappnen Sie sich gegen Shoulder Surfing.