Meist geht es sehr schnell. Das Smartphone unachtsam im Gastgarten eines Lokals auf dem Tisch liegen gelassen oder einfach nur im Gedränge der U-Bahn versucht, schnell einmal die aktuellen Nachrichten zu lesen – plötzlich schnappt sich jemand das Smartphone und ist weg. Ein Phänomen, auf das es gerade im Urlaub in touristisch vielbesuchten Orten zu achten gilt, das aber auch sonst zunimmt.

Eine Frau hält ein Smartphone in der U-Bahn in Händen
Gerade in öffentlichen Verkehrsmitteln ist Vorsicht geboten, und das gilt bei weitem nicht nur für ältere Personen.
IMAGO/Jürgen Ritter

Das ist unerfreulich, das ist ärgerlich, aber zumindest hat man das Gerät gut geschützt. Auf die eigenen Daten sollte also niemand Zugriff haben. Auch die Diebstahlsicherung ist aktiv, sollte also beim Aufspüren der Täter helfen. Eine Überzeugung, die allerdings immer öfter auf eine bittere Realität trifft. Die Diebstahlsicherung wurde in Windeseile deaktiviert, die Angreifer haben auch gleich noch eifrig mit der eigenen Kreditkarte eingekauft oder Geld überwiesen. Im schlimmsten Fall ist auch das Google- oder Apple-Konto weg – das für viele die Zentrale ihres digitalen Lebens darstellt und an dem selbst wieder eine Fülle an anderen Diensten hängt.

Über die Schulter geschaut

Doch wie ist das möglich? Die Antwort heißt "Shoulder Surfing" und ist eine unter Smartphone-Dieben zunehmend beliebter werdende Methode. Die Grundidee ist sehr einfach und eigentlich auch nicht ganz neu: Die oft zu mehrt agierenden Kriminellen spähen zuerst den Pin-Code aus, sie schauen also ihren Opfern bei der Eingabe tatsächlich oft über die Schulter – daher also der Name. Erst danach wird das Gerät dem Besitzer entrissen.

Dieser Ablauf hat einen sehr guten Grund, und zwar einen, der vielen nicht bewusst sein dürfte: Wer den PIN-Code hat, der hat eine praktisch uneingeschränkte Kontrolle über das Gerät. Denn auch wenn viele Aktivitäten am Smartphone durch biometrische Autorisierung abgesichert sind, so ist es doch so gut wie immer möglich, die PIN als Alternative zu verwenden.

Damit können dann in aller Ruhe die Diebstahlssicherung sowie die verbundene "Find My"-Funktion deaktiviert oder auch Zahlungen in Auftrag gegeben werden. Und, noch perfider: Es kann in vielen Fällen sogar das Passwort jenes Apple- oder Google-Kontos geändert werden, mit dem das Smartphone verbunden ist. Selbst zahlreiche Formen von Zwei-Faktor-Authentifizierung bieten da keinen Schutz, weil sie auf die eine oder andere Weise mit dem Smartphone verbunden sind – das aber jetzt die Kriminellen unter Kontrolle haben.

Super für Diebe

Aus Sicht der Verbrecher ist die Nutzung dieser Methode geradezu logisch. Sie sichert nicht nur, dass die gestohlenen Geräte später einmal problemlos weiterverkauft werden können, sie eröffnet auch noch allerlei andere Betrugsoptionen, ist also in Summe erheblich einträglicher.

All das ist übrigens auch ein Reminder, warum es generell eine sehr, sehr schlechte Idee ist, anderen Personen den PIN-Code für das eigene Smartphone zu geben. Denn nur um das nochmals herauszustreichen: Mit diesem Wissen lässt sich sehr viel Unfug treiben und lassen sich Teile des eigenen digitalen Lebens übernehmen. Den PIN-Code für sich zu behalten ist insofern keine Form von Misstrauen, es ist einfach eine grundlegende Form von Sicherheit.

Was tun?

Das Problem definiert, folgt die logische Frage: was tun? Der zentrale Ratschlag ist ebenso trivial wie wichtig: einfach die PIN niemals in der Öffentlichkeit eingeben. Wenn möglich ist also zum Entsperren in der Öffentlichkeit immer Gesichts- oder Fingerabdruckerkennung vorzuziehen.

Sollte dann doch einmal die PIN wirklich notwendig sein – etwa weil die biometrische Authentifizierung gerade nicht klappt –, gilt es, besonderen Wert darauf zu legen, unbeobachtet zu sein oder das Display zu verdecken. Oder, noch besser: einfach einmal ein paar Minuten warten, bis man wieder wo ist, wo man sich sicher sein kann, dass niemand die Eingabe beobachtet. Dass der allergrößte Teil von "Shoulder Surfing"-Attacken in öffentlichen Verkehrsmitteln passiert, ist statistisch belegt und nicht ganz überraschend. Schließlich sind Smartphone-Diebe auch nicht ganz blöd, das Gedränge in U-Bahn, Zug und Bus ist geradezu das perfekte Umfeld für genau solche Attacken.

Ein kleiner Exkurs

Nun mag die Empfehlung für die biometrische Authentifizierung manche verwundern, immerhin wurde auch an dieser Stelle immer wieder auf die grundlegenden Probleme solcher Technologien hingewiesen. Diese sind damit auch nicht verschwunden, aber wie so oft beim Thema Sicherheit kommt es darauf an, wovor man sich schützen will, was die größte Bedrohung darstellt. Wer Angst davor hat, verhaftet und zur Entsperrung seines Geräts gezwungen zu werden, für den ist die Nutzung von Gesichtserkennung oder Fingerabdruck keine gute Idee. Beim Schutz vor Dieben sieht es wieder ganz anders aus.

Pixel 8 (Pro)
Für die meisten sind Fingerabdruck und Gesichtserkennung in der Praxis der sicherste Schutzmechanismus.
Proschofsky / STANDARD

Für die breite Masse an Nutzerinnen und Nutzern ist die Nutzung von Gesichts- oder Fingerabdruckerkennung insofern die aus einer Sicherheitsperspektive derzeit klar bessere Wahl. Diese Merkmale lassen sich schließlich nicht so einfach stehlen, wie es bei einem simplen Zahlencode der Fall ist. Am Rande sei erwähnt, dass diese Systeme sowohl bei iPhones als auch Android sehr sicher implementiert sind, der Check rein am lokalen Gerät erfolgt und dort auch nur in Form einer Prüfsumme in einem eigenen Hochsicherheitsbereich gespeichert wird. Die Angst, dass die eigenen biometrischen Merkmale irgendwo in der Cloud landen und gestohlen werden könnten, braucht man zumindest bei diesen Systemen also nicht haben.

Die Smartphone-Hersteller reagieren

Trotzdem ist das nur ein unvollständiger Tipp, lässt sich die Eingabe von PIN-Code oder Passwort doch nicht ganz verhindern. So ist sie etwa nach dem Neustart eines Geräts zwingend notwendig. Doch auch im normalen Betrieb fragen die Systeme immer wieder einmal nach, um vor anderen Angriffswegen zu schützen. Die gute Nachricht: Die wachsende Gefahr der "Shoulder Surfing"-Diebstähle hat sich mittlerweile auch bei den Herstellern herumgesprochen, neben dem erwähnten Tipp, einfach nie den Code in der Öffentlichkeit einzugeben, gibt es mittlerweile auch optional die Möglichkeit, das eigene Smartphone besser zu sichern – oder wird es zumindest bald geben.

Bei iPhones wurde ein entsprechendes Feature bereits mit iOS 17.3 Anfang des Jahres eingeführt. Es nennt sich "Stolen Device Protection" (oder auf Deutsch "Schutz für gestohlene Geräte") und sorgt dafür, dass gewisse Aktionen nur mehr nach erfolgreicher biometrischer Authentifizierung möglich sind – und das eben ohne die Alternative, einen PIN-Code oder ein Passwort zu verwenden. Dazu gehört das Zurücksetzen des Geräts, aber auch die Änderung von Apple-ID-Einstellungen oder das Deaktivieren des Suchnetzwerks "Find My". Auch Bezahlinfos sind dann auf diesem Weg abgesichert.

Für einige dieser Optionen gibt es sogar noch eine zweite Hürde, wenn die "Stolen Device Protection" aktiviert ist: Sie können erst mit einer Verzögerung von einer Stunde durchgeführt werden. Dazu zählen unter anderem das Ändern des Passwortes für die Apple ID oder auch alle Anpassungen von Face ID – also das Hinzufügen oder Entfernen von biometrischen Merkmalen – sowie die Deaktivierung von "Find My". All das gibt den Opfern eines Diebstahls mehr Zeit, ihre Geräte und vor allem Konten für die Diebe unbrauchbar zu machen.

Nur eine Option

Eine Ausnahme für diese Beschränkungen gibt es für "bekannte Plätze", also etwa rund um die eigene Wohnung. Das im Gedanken, dass Diebe wohl nicht so gern noch einmal extra vor die eigene Haustür kommen werden, um das Gerät zu knacken – falls sie überhaupt wissen, wo dieses Zuhause ist. Wem das noch immer zu riskant ist, der kann aber seit iOS 17.4 auch diese Ausnahme deaktivieren.

iPhone Stolen Device Protection
Die "Stolen Device Protection" am iPhone.
Proschofsky / STANDARD

Betont sei noch einmal: All das ist optional. Der Grund ist wohl, dass Apple Angst hat, dass sich sonst zu viele Nutzer irgendwie unabsichtlich aussperren. Generell ist der zusätzliche Schutz, also die Aktivierung der "Stolen Device Protection", aber durchaus sinnvoll.

Und bei Android?

Kommen wir zu Android-Smartphones: Dort gibt es eine vergleichbare Option nicht – beziehungsweise noch nicht. Angekündigt ist sie nämlich schon, der erweiterte Geräteschutz soll in den kommenden Monaten an ausgewählte Geräte ausgeliefert werden, gibt sich Google vage. Die Umsetzung scheint aber sehr ähnlich zu werden, auch hier sollen alle Änderungen am Google-Konto und der Display-Sperre oder auch die Deaktivierung des Diebstahlschutzes und die Nutzung von Passkeys exklusiv über biometrische Authentifizierung abgesichert werden.

Bleibt zum Schluss noch ein positiver Blick auf die gesamte Thematik. Denn was sich dabei auch zeigt, ist, dass sowohl Apple als auch Google zuletzt ein deutlich stärkeres Augenmerk auf das Thema Diebstahlschutz legen. Gerade für Android sind derzeit einige spannende Neuerungen in Entwicklung. So soll sich künftig etwa das Smartphone selbst sperren, wenn es aus der Hand gerissen wird. Auch die Möglichkeit, das eigene Device mit einem Code rascher von außen zu sperren, ist bereits angekündigt. Und sowohl bei Android als auch iOS gibt es mit den nächsten großen Updates die Möglichkeit, ausgewählte Apps noch einmal extra über biometrische Abfrage oder separaten Code (bei Android) zu sperren.

All das wird Smartphone-Diebstähle natürlich nicht verhindern, aber es macht es für die Kriminellen erheblich schwerer, die Devices zu Geld zu machen, was in Summe den Anreiz senkt. Vor allem – und das mag für viele noch wichtiger sein – sorgt es dafür, dass mit dem Verlust des Smartphones nicht auch gleich das eigene digitale Leben übernommen wird – mit all den äußerst unerfreulichen Auswirkungen, die das so mit sich bringt. (Andreas Proschofsky, 29.6.2024)