Was ist Schultersurfen?

Bei der Computersicherheit gibt es viele Risiken und viele Formen, die diese Risiken annehmen können. Shoulder Surfing ist eine Form des Social Engineering. Dabei handelt es sich um eine Angriffsklasse, bei der ein Angreifer Informationen erhält, indem er sich das Gerät des Opfers ansieht. Dies erforderte in der Vergangenheit den physischen Blick über die Schulter, umfasste aber auch Techniken mit versteckten Kameras und Ähnlichem.

Das klassische Beispiel für Shoulder Surfing ist, wenn ein Angreifer dem Opfer beim Eingeben der PIN seiner Zahlungskarte über die Schulter schaut. Das Bewusstsein für diese Art von Angriff hat zu Verhaltensänderungen geführt, darunter das aktive Bedecken der Hand und das Eingeben der PIN mit der anderen Hand. Einige Zahlungsterminals verfügen außerdem über eine integrierte Sichtschutzabdeckung über dem PIN-Pad. Einige Geldautomaten erinnern die Benutzer auch daran, über die Schulter zu schauen. Möglicherweise verfügen sie auch über einen kleinen Spiegel, damit Sie über Ihre Schulter schauen können.

Hinweis: Der Spiegel des Geldautomaten ist oft winzig und etwas neblig. Das ist Absicht. Es ist gut genug, damit Sie über die Schulter schauen können. Es ist auch nicht gut genug, um einem geschickten Angreifer die Einsicht in Ihre PIN zu ermöglichen.

Diese Gegenmaßnahmen haben zu fortschrittlicheren Techniken in der realen Welt geführt. Viele kriminelle Unternehmen haben versteckte Kameras eingesetzt, um das PIN-Pad auszuspionieren. Einige haben sich weiter weg platziert und ein Fernglas oder ein Teleskop verwendet, um das PIN-Pad aus sicherer Entfernung zu erkennen. Aufgrund der beim Berühren der Tasten zurückgebliebenen Restwärme wurden auch Wärmekameras zur Identifizierung der PIN eingesetzt. In einigen Fällen wurden Skimmer-Geräte über der Vorderseite des Geräts angebracht und verdeckten die eigentlichen Tasten. Im letztgenannten Fall kommt es zwar immer noch zum Diebstahl von PINs und Kartendaten, es handelt sich jedoch nicht unbedingt um „Schultersuchung“, da keine tatsächliche Observation erforderlich war.

Andere Situationen

Natürlich kann das Schultersurfen auch in anderen Szenarien ein Risiko darstellen. Jedes System mit einem Kurzgeheimnis – insbesondere auf einem nummerierten PIN-Pad – ist diesem Risiko ausgesetzt. Ein Angreifer könnte beobachten, wie ein Code in eine Sicherheitstür eingegeben wird, wie sich der Schließzylinder beim Öffnen eines Safes befindet oder wie ein Passwort eingegeben wird.

Hinweis: Wenn eine einzelne PIN über einen längeren Zeitraum auf einer Tastatur verwendet wird, können die Tasten allein durch die Verwendung abgenutzt oder verschmutzt werden. Dies ähnelt – wenn auch einer extremeren Variante – dem Wärmebildkonzept. Dies gilt in der Regel nur für Sicherheitstüren, da diese in der Regel eine PIN haben, die allen Berechtigten bekannt ist und die nicht oft geändert wird.

Besonders interessant für die Computersicherheit ist das Szenario, dass ein Angreifer die Eingabe eines Passworts beobachtet. Auch wenn Sie den Leuten vielleicht nicht freiwillig ein Passwort verraten, gibt es andere Möglichkeiten, an das Passwort zu kommen. Phishing ist ein relativ bekanntes und oft unterschätztes Risiko. Ein weiteres Risiko besteht auch beim Schultersurfen. Dieses Risiko besteht insbesondere in öffentlichen Bereichen, in denen Sie keine Kontrolle über die Menschen um Sie herum haben. Zu Hause oder am Arbeitsplatz wird eher Vertrauenswürdigkeit erwartet, so fehl am Platz das auch sein mag.

Beispielsweise könnte ein Angreifer Ihren Passcode über Ihrer Schulter sehen, wenn Sie sich in einem Café befinden und sich auf Ihrem Telefon anmelden. Dasselbe kann ein Angreifer auch tun, wenn Sie einen Laptop verwenden. Dies ist einfacher, da die Tasten deutlicher hervorstechen und leichter zu unterscheiden sind, wenn Sie Ihr Passwort schnell eingeben.

Andere Inhalte

Das größte Ziel von Schultersurfern ist oft etwas Kleines von hohem Wert. PINs und Passwörter sind hierfür ideal, da sie kurz sind, relativ leicht zu identifizieren und zu merken sind und beispielsweise einen weiteren Zugriff auf Geldmittel, ein Konto oder ein Gerät ermöglichen. In anderen Fällen kann der Angriff rein opportunistischer Natur sein oder das Ergebnis bestimmter Angriffsziele, beispielsweise Spionage, sein.

Bei einem opportunistischen Angriff handelt es sich in der Regel um die Beobachtung eines sensiblen, für den Angreifer jedoch nicht nützlichen Sachverhalts. Einige Geschäftsleute arbeiten beispielsweise im öffentlichen Nahverkehr. Sie können an sensiblen Dokumenten arbeiten, die Finanzprognosen oder andere sensible, interne und nicht öffentliche Informationen beinhalten. Jemand, der in der Nähe sitzt, kann möglicherweise seinen Bildschirm sehen und Informationen sammeln.

In diesem Fall ist der Angreifer möglicherweise nicht einmal ein tatsächlicher Angreifer. Sie sind vielleicht neugierig, haben aber nicht die Absicht, mit dem Gelernten etwas anzufangen. Dies ist jedoch nicht immer der Fall und es gibt keine Möglichkeit, dies festzustellen. Daher ist beim Umgang mit vertraulichen Informationen an öffentlichen Orten Vorsicht geboten. Dieses Konzept gilt auch für sensible persönliche Inhalte, insbesondere Fotos oder Videos. Auch hier könnte jemand anderes auf Ihren Bildschirm schauen. Auch wenn sie es nicht weitergeben, kann dies dennoch ein unerwünschter Eingriff sein.

In Spionage- und Social-Engineering-Kontexten kann ein Angreifer gezielt ein Opfer oder einen Ort anvisieren, um vertrauliche Informationen auf einem Bildschirm anzuzeigen. Dadurch erhält der Angreifer möglicherweise nicht unbedingt direkten Zugriff, wie dies bei einem Passwort der Fall wäre. Wie im vorherigen Beispiel können auch andere sensible Informationen für den Angreifer wertvoll sein.

Abschluss

Shoulder Surfing ist eine Klasse von Social-Engineering-Angriffen. Dabei sammelt ein Angreifer Informationen, indem er sich die Aktionen oder den Bildschirm des Opfers ansieht. Unter Shoulder Surfing versteht man vor allem Versuche, Passwörter oder PINs zu ermitteln. Dazu gehören auch Versuche, private Informationen auf Bildschirmen einzusehen, etwa Unternehmens- oder Regierungsgeheimnisse oder kompromittierende Informationen. Schultersurfen ist im Wesentlichen das visuelle Äquivalent zum Abhören oder Anhören von Gesprächen, die man eigentlich nicht hören sollte.