Acht Minuten nach der Eingabe leuchtet dein PIN-Code noch
Ein Sicherheitsforscher steht mit einer handelsüblichen Wärmebildkamera vor einem PIN-Pad an einem Bürogebäude. Die letzte Eingabe ist acht Minuten her. Trotzdem sind vier Tasten deutlich wärmer als die anderen – die Restwärme der Fingerkuppen zeigt noch immer, welche Ziffern gedrückt wurden. Zwei davon leuchten heller: die zuletzt gedrückten. Damit ist der vierstellige Code auf zwei bis drei Kombinationen eingegrenzt. Gesamtaufwand: ein günstiges Wärmebild-Aufsatzgerät für das Smartphone und dreißig Sekunden Geduld.
Das ist kein Labor-Experiment. Thermal-Angriffe auf PIN-Pads wurden 2017 von Forschern der UC San Diego systematisch dokumentiert und funktionieren bei Kunststofftastaturen auch bei normalen Raumtemperaturen zuverlässig. Aber der Thermal-Angriff ist nur ein Werkzeug in einem breiteren Spektrum visueller Exploitation – das beim Fernglas beginnt und beim Smartphone-Foto eines Badges endet.
Shoulder Surfing 2.0 ist kein Angriff, der Nähe erfordert. Er erfordert eine freie Sichtlinie und das richtige Werkzeug. Alles, was für das menschliche Auge sichtbar ist, ist potenziell auslesbar – aus Distanzen, die sich niemand vorstellt, und mit Geräten, die jeder kaufen kann.
Visuelle Exposition: Der unterschätzte Angriffsvektor
Die meisten Sicherheitskonzepte denken in Zugangskontrollen: Wer hat einen Badge, wer kennt den Code, wer hat die Berechtigung. Der visuelle Angriff umgeht diese Frage vollständig. Er fragt nicht nach Berechtigung – er beobachtet sie. Das Ziel ist nicht der Zugang selbst, sondern die Information, die den Zugang ermöglicht.
Visuelle Exposition entsteht überall dort, wo sicherheitsrelevante Informationen in einem sichtbaren Medium existieren: auf einem Display, auf einem Tastaturfeld, auf einem Badge, auf einem Bildschirm im Großraumbüro, auf einem Post-it unter der Tastatur. Die Angriffsoberfläche ist das gesamte visuelle Umfeld eines Mitarbeiters – und sie wird in fast keinem Sicherheitskonzept vollständig adressiert.
Technische Zugangskontrolle endet an dem Punkt, an dem ein Mensch seinen Code eingibt oder seinen Badge sichtbar trägt. Was das Auge sehen kann, kann ein Angreifer dokumentieren – mit Werkzeugen, die in jedem Elektronikmarkt erhältlich sind.
Die vier Angriffsvektoren visueller Exposition
Der Thermal-Angriff im Detail: Physik und Praxis
Der Thermal-Angriff funktioniert, weil Kunststoff ein schlechter Wärmeleiter ist. Die Körperwärme einer Fingerkuppe (~34°C Kontakttemperatur) bleibt auf der Tastenoberfläche signifikant länger erhalten als auf Metall. Eine Wärmebildkamera mit einer Auflösung von 160×120 Pixeln – wie sie in günstigen Smartphone-Aufsätzen verbaut ist – reicht aus, um diese Differenz zu erkennen.
Metallische Tastaturoberflächen leiten Wärme schneller ab und sind deutlich resistenter gegen Thermal-Angriffe. PIN-Pads mit Metalltasten, aktivem Thermalmix (zufälliges Erwärmen aller Tasten) oder randomisiertem Tastenlayout sind die technische Gegenmaßnahme – nicht nur eine PIN-Policy.
Das Badge-Foto: Drei Klicks bis zur Druckkopie
Ein Badge erfüllt zwei Funktionen gleichzeitig: Er ist ein technisches Zutrittsmittel (RFID/NFC-Chip) und ein visuelles Identifikationsmittel (Aufdruck, Foto, Farbe, Logo). Die meisten Sicherheitskonzepte schützen die technische Funktion – mit Kryptografie, Mutual Authentication, Wiegand-Ersatz. Die visuelle Funktion wird fast nie adressiert.
Ein gedruckter Badge-Look-alike muss nicht funktionieren, um nützlich zu sein. Im Kontext eines Pretext-Angriffs reicht eine optisch überzeugende Kopie, um an Rezeptionen, bei Tailgating oder im Gespräch mit Mitarbeitern als legitim zu gelten. Die RFID-Funktion ist optional – die visuelle Überzeugungskraft ist das Werkzeug.
Die vollständige Angriffskette: Von der Beobachtung zum Zutritt
Warum technische Maßnahmen allein nicht reichen – und welche Policies den Unterschied machen
Visuelle Angriffsvektoren lassen sich nicht vollständig durch Technik schließen. Wärmebildresistente PIN-Pads und kryptografisch gesicherte Badges lösen einen Teil des Problems – aber nicht den Teil, der im menschlichen Verhalten liegt. Wer seinen Badge außen am Jacket trägt, wer seinen Bildschirm im Zug ungeschützt zeigt, wer seinen PIN ohne Sichtschutz eingibt, erzeugt eine Angriffsfläche, die kein technisches System schließt.
Badge-Policies funktionieren nur, wenn sie gelebt werden – nicht wenn sie im Handbuch stehen. Die wirksamste Maßnahme ist eine Unternehmenskultur, in der das Abdecken der PIN und das verdeckte Tragen des Badges so selbstverständlich ist wie das Anlegen des Sicherheitsgurts. Das entsteht durch regelmäßige Simulation, nicht durch Schulungsfolien.
Visuelle Angriffsvektoren: Aufwand, Kosten und Wirkung im Überblick
| Angriffsvektor | Benötigtes Werkzeug | Kosten | Gegenmaßnahme | Risiko |
|---|---|---|---|---|
| Thermal-Angriff PIN-Pad (Kunststoff) | Wärmebild-Kameraaufsatz | ab ~150 EUR | Metallpad, Thermalmix, Hand abdecken | KRITISCH |
| Badge-Foto für Druckkopie | Smartphone-Kamera | 0 EUR | Badge verdeckt tragen, Design minimieren | KRITISCH |
| Badge-Seriennummer optisch auslesen | Teleobjektiv / Zoom-Kamera | ab ~100 EUR | Seriennummer nur innen / im Chip | HOCH |
| PIN-Eingabe direkt beobachten | Direkte Sicht / Spiegelung | 0 EUR | Sichtschutz, Hand abdecken, Kamerawinkel prüfen | HOCH |
| Bildschirminhalte abfotografieren | Smartphone | 0 EUR | Privacy-Filter, Clean-Screen-Policy | MITTEL |
| Thermal-Angriff PIN-Pad (Metall) | Hochwertige Wärmebildkamera | ab ~800 EUR | Bereits deutlich resistenter durch Wärmeleitung | MITTEL |
Was eine vollständige Härtung gegen visuelle Angriffe leistet
- PIN-Pads mit Metalloberfläche oder aktivem Thermalmix: Metallische Tastaturoberflächen leiten Wärme deutlich schneller ab als Kunststoff. Systeme mit aktivem Thermalmix – alle Tasten werden minimal beheizt – neutralisieren den Thermal-Angriff vollständig. Für Neuinstallationen sollte das ein Auswahlkriterium sein.
- Randomisiertes Tastenlayout: Einige ZKS-Hersteller bieten PIN-Pads mit wechselndem Tastenlayout pro Eingabe. Selbst wenn die Tasten optisch oder thermisch erkennbar sind, ändert sich ihre Position bei jeder Eingabe – der Angriff wird wirkungslos.
- Badge-Trägerpflicht mit Sichtschutz: Badges in nach vorne geschlossenen Trägern oder mit Flip-Mechanismus, die nur beim aktiven Vorzeigen die Vorderseite zeigen. Diese Träger kosten wenige Euro pro Mitarbeiter und schließen den Badge-Foto-Vektor vollständig.
- Badge-Design gegen Informationsexposition härten: Zutrittsstufen nicht farblich oder textuell auf der Vorderseite kodieren. Seriennummern ausschließlich im Chip, nicht im Aufdruck. Mitarbeiterfotos und -namen nur auf der Rückseite oder im digitalen Credential.
- Kamerawinkel für PIN-Pad-Bereiche analysieren: Prüft, ob eigene Überwachungskameras den PIN-Eingabebereich erfassen. Wenn ja: Kamerawinkel anpassen. Gleichzeitig zeigt diese Analyse, aus welchen Positionen ein Angreifer beobachten könnte – und ob Sichtschutzblenden notwendig sind.
- Privacy-Filter für mobile Geräte und Laptops: Pflicht für alle Mitarbeiter mit regelmäßiger Reisetätigkeit oder Arbeit in öffentlichen Bereichen. Privacy-Filter reduzieren den Sichtwinkel auf ~60 Grad und machen Bildschirminhalte für Seitliche Beobachter unlesbar.
- Visuellen Angriffsvektor im Pentest explizit testen: Ein Physical-Security-Audit sollte Thermal-Aufnahmen von PIN-Pads, Badge-Foto-Simulation und Bildschirm-Shoulder-Surfing als explizite Testfälle enthalten. Was im Test gefunden wird, findet ein Angreifer auch.
Visuelle Sicherheit kostet fast nichts – ein Badge-Träger mit Sichtschutz, ein Privacy-Filter und eine gelebte PIN-Abdeckroutine schließen die häufigsten Vektoren vollständig. Die Investition in Policy und Gewohnheit ist um Größenordnungen kleiner als der potenzielle Schaden eines erfolgreichen Badge-Klons oder PIN-Diebstahls.
Fazit: Was das Auge sieht, kann ein Angreifer nutzen
Shoulder Surfing ist nicht verschwunden – es hat sich technologisiert. Die Grundfrage bleibt dieselbe: Was kann ein Angreifer sehen, der sich im richtigen Moment am richtigen Ort befindet? Die Antwort hat sich durch günstige Wärmebildkameras, hochauflösende Smartphone-Objektive und triviale Bildbearbeitung dramatisch erweitert.
Der Badge, der außen am Jacket hängt. Das PIN-Pad aus Kunststoff ohne Sichtschutz. Der Laptop im Zug ohne Privacy-Filter. Jedes dieser Szenarien ist ein vollständiger Angriffsvektor – nicht hypothetisch, sondern in Audits regelmäßig erfolgreich ausgenutzt. Und jedes ist mit einfachen, kostengünstigen Maßnahmen schließbar.
Sicherheit endet nicht an der technischen Zutrittskontrolle. Sie endet an der Grenze des Sichtbaren.
Weißt du, was ein Angreifer mit einer Wärmebildkamera vor deinem Eingang sieht?
Wir testen visuelle Angriffsvektoren – Thermal-Aufnahmen, Badge-Exposition, Bildschirmsichtbarkeit – und liefern konkrete Policy-Empfehlungen pro Standort.
Visual Security Audit anfragen →