BadUSB-Angriff: Wie ein USB-Kabel zur Tastatur wird
Das Gefährlichste in Ihrer Tasche ist vielleicht das Kabel, dem Sie am wenigsten vertrauen. Ein USB-Kabel, ein Ersatz-USB-Stick, das „kostenlose“ Ladegerät, das jemand im Besprechungsraum liegen gelassen hat. Sie alle sehen harmlos aus. Schließen Sie aber eines an, und falls es sich um ein manipuliertes USB-Gerät handelt, macht Ihr Computer in der ersten halben Sekunde etwas Seltsames: Er erkennt das Kabel als Tastatur und lässt es tippen.
Das ist der ganze Trick. BadUSB ist kein Virus, nach dem man suchen kann. Es handelt sich um einen Cyberangriff, der die Standardfunktionen von USB ausnutzt – eine der heimtückischsten Angriffsmethoden im Bereich der Cybersicherheit. Und für jeden, der Kryptowährungen besitzt, kann diese unbemerkte Eingabe im Hintergrund zum Verlust der Wallet führen. Hier erfahren Sie, wie es funktioniert, warum es so schwer zu stoppen ist und warum Krypto-Nutzer besonders gefährdet sind.
Was ist ein BadUSB-Angriff und warum ist er gefährlich?
Jedes USB-Gerät, vom 3-Dollar-USB-Stick bis zur Webcam, verwendet einen winzigen Mikrocontroller mit eigener Firmware. Diese Firmware signalisiert dem Computer, dass er eine Tastatur oder ein Speichermedium ist. Ein BadUSB-Angriff überschreibt diese Firmware, sodass das Gerät falsche Informationen liefert. Der USB-Stick, den Sie für ein Speichermedium halten, meldet sich plötzlich als Tastatur oder Netzwerkkarte, und das Betriebssystem akzeptiert diese Information. Ohne Nachfrage. Ohne Warnung.
Warum ist das so wichtig? Wegen der Art und Weise, wie Computer mit Tastaturen umgehen. Eine Tastatur ist ein Eingabegerät (Human Interface Device, HID), und jedes Betriebssystem vertraut HID-Eingaben vollständig. Es geht davon aus, dass eine echte Person davor sitzt und echte Tasten drückt. Ein bösartiges USB-Gerät, das sich als Tastatur ausgibt, erbt dieses Vertrauen und beginnt, Befehle in Maschinengeschwindigkeit einzugeben.
Der Weckruf von 2014
Die Idee wurde auf der Black Hat USA 2014 öffentlich vorgestellt, als die beiden SR Labs-Forscher Karsten Nohl und Jakob Lell sie auf der Bühne präsentierten. Ihr Vortrag trug den treffenden Titel: „BadUSB – Zubehör, das sich in Gefahr verwandelt“. Ein normal aussehendes Laufwerk, umprogrammiert zu einer Tastatur, übernahm die Kontrolle über einen Rechner, ohne dass der Benutzer etwas davon bemerkte. Wochen später veröffentlichten Adam Caudill und Brandon Wilson auf der DerbyCon einen funktionierenden Exploit-Code. Das war der Wendepunkt. BadUSB war kein Labortrick mehr, sondern etwas, das jeder mit einem freien Wochenende bauen konnte.
Warum man es nicht einfach patchen kann
Hier liegt der Punkt, der Sicherheitsexperten nach wie vor Sorgen bereitet. Die meisten USB-Controller akzeptieren neue Firmware ohne jegliche Codesignatur und Authentifizierung. Es gibt keine Überprüfung, ob das Update von einer vertrauenswürdigen Quelle stammt. Die Schwachstelle ist also nicht ein fehlerhaftes Programm, das man beheben könnte. Sie liegt im USB-Vertrauensmodell selbst.
Ihr Antivirenprogramm scannt Dateien. BadUSB benötigt keine Datei. Das schädliche Verhalten ist in die Firmware integriert, und der Angriff selbst besteht lediglich aus Tastatureingaben. Es wird nichts auf der Festplatte gespeichert, was erkannt werden könnte. So kann es passieren, dass ein vollständig aktualisierter und geschützter Laptop dennoch von einem 200-Dollar-Kabel angegriffen wird.
Wie ein BadUSB-Angriff in Sekundenschnelle abläuft
Stellen Sie sich den Ablauf vor: Sie schließen das Kabel an. Es erkennt das Gerät und teilt dem Computer mit, dass es sich um eine Tastatur handelt. Innerhalb von ein bis zwei Sekunden beginnt es, Tastenanschläge von einer zuvor geladenen Datenmenge auszulösen. Kein Mensch tippt so schnell. Niemand kommt da auch nur annähernd heran.
Eine typische Schadsoftware öffnet ein verstecktes Befehlsfenster oder eine PowerShell-Eingabeaufforderung – meist an einer unauffälligen Stelle –, lädt ein Skript aus dem Internet herunter und führt es aus. Das Kabel übernimmt die Eingabe. Das Internet liefert die Schadsoftware. Bis Sie auf den Bildschirm schauen, ist alles schon erledigt.
Zwei Sekunden Tipparbeit können viel bewirken. Öffnen Sie ein Terminal. Unterdrücken Sie eine Sicherheitsabfrage. Installieren Sie ein Fernzugriffstool und fügen Sie es dem Autostart hinzu, damit es auch nach einem Neustart aktiv bleibt. Unter Windows genügt eine einzige PowerShell-Zeile, um Code von einem Server des Angreifers abzurufen und auszuführen. Das Skript kann geduldig sein. Es kann auf eine bestimmte Tageszeit warten oder erst beim Entsperren des Bildschirms ausgeführt werden, sodass die Tastenanschläge sich nahtlos in Ihre laufenden Aktivitäten einfügen. Ihr Antivirenprogramm reagiert unbeeindruckt, da die Eingaben nicht als Datei, sondern als Dateneingabe erfolgen.
Warum funktioniert das immer noch? Ganz einfach. Man kann Software sperren, Installationen einschränken und jeden verfügbaren Scanner verwenden. Aber bei einer Tastatur wird davon ausgegangen, dass man selbst der Nutzer ist. Genau diese Annahme ist der Kern des Ganzen, und BadUSB setzt sich per Definition dagegen durch.
Schlechte USB-Tools, die Sie kaufen können: Rubber Ducky zu Flipper
Jahrelang fühlte sich das an wie in einem Spionagefilm. Nicht mehr. Fertige Geräte ermöglichen die Tastatureingabe direkt nach dem Auspacken, und die Preise sind erfreulich normal.
Der USB Rubber Ducky von Hak5 ist der Klassiker: ein Stick im USB-Stick-Look, programmiert in der einfachen Sprache DuckyScript und genau für diesen Zweck entwickelt. Der Flipper Zero, ein Taschen-Multitool, das viral ging, verfügt über eine integrierte BadUSB-Funktion und kostet rund 169 US-Dollar. Und dann ist da noch das O.MG Cable, das Ihnen die größten Sorgen bereiten sollte, denn es ist gar kein Laufwerk, sondern ein Kabel.
Das O.MG-Kabel sieht aus wie ein normales Apple- oder USB-C-Kabel. Im Inneren verbirgt sich ein WLAN-Chip und eine kleine Weboberfläche, die der Benutzer per WLAN erreicht. Die Elite-Version sendet bis zu 890 Tastenanschläge pro Sekunde und verfügt über einen integrierten Keylogger, der bis zu 650.000 Eingaben speichern kann. Im Ruhezustand lädt es Ihr Smartphone und überträgt Daten wie jedes andere Kabel. Sie würden es nie bemerken. Genau das ist der Clou.
| Werkzeug | Formfaktor | Einspritzgeschwindigkeit | Drahtlose Steuerung | Ungefährer Preis |
|---|---|---|---|---|
| USB Rubber Ducky | USB-Stick | Schnell (skriptgesteuert) | NEIN | ca. 60 € |
| Flipper Zero | Taschen-Multitool | Schnell (skriptgesteuert) | Beschränkt | ~169 $ |
| O.MG Cable (Elite) | Normal aussehendes Kabel | Bis zu 890 Tastenanschläge/Sek. | Ja (WLAN) | ca. 200 € |
Um das in Relation zu setzen: Ein vergleichbares Implantat, wie es angeblich von Geheimdiensten entwickelt wurde, kostete früher Zehntausende von Dollar. Das O.MG Cable stellt einen Großteil dieser Funktionalität zum Preis eines guten Abendessens wieder her. Die Zugangshürde ist praktisch verschwunden.
Warum Kryptowährungsinhaber ein Hauptziel von BadUSB sind
Die meisten Artikel beschränken sich auf die IT-Perspektive von Unternehmen. Ich möchte einen anderen Blickwinkel einnehmen, denn wer Kryptowährungen hält, sieht ein anderes, und ehrlich gesagt, etwas gravierenderes Bedrohungsmodell vor.
Der Tausch der Zwischenablage
Ein BadUSB-Angriff muss Ihre Wallet nicht knacken. Es genügt, eine Sache zu ändern: Ihre Zwischenablage. Die eingeschleuste Schadsoftware installiert innerhalb von Sekunden einen Zwischenablage-Hijacker. Danach ersetzt die Malware jede kopierte Kryptoadresse zum Senden von Geldern unbemerkt durch die Adresse des Angreifers. Sie fügen die scheinbar korrekte Adresse ein. Sie bestätigen. Das Geld landet in der Wallet eines Fremden.
Das ist keine Theorie. Ein Hacker wurde dabei erwischt, wie er über zwei Millionen Bitcoin-Adressen überwachte und Angreifer-Wallets im laufenden Betrieb austauschte. Bei einer Kampagne namens GitVenom im Jahr 2024 verbreiteten gefälschte Code-Repositories Schadsoftware zum Adresstausch und erbeuteten Bitcoin im Wert von rund 485.000 US-Dollar. Der Trick ist perfide, da Kryptoadressen lange, zufällige Zeichenketten sind, die niemand Zeichen für Zeichen liest. Man prüft die ersten vier, dann die letzten vier, sie stimmen überein, und man klickt auf „Senden“. Der Tausch findet in der Mitte statt, genau dort, wo man ihn nie sieht. Und es geht um enorme Summen: Laut Chainalysis wurden im Jahr 2024 Kryptowährungen im Wert von rund 2,2 Milliarden US-Dollar gestohlen, wobei 43,8 % dieser Verluste auf den Diebstahl privater Schlüssel zurückzuführen waren.
Schützt Sie eine Hardware-Geldbörse?
Im Großen und Ganzen ja, und es ist wichtig, den Grund dafür zu verstehen. Ein Ledger oder Trezor speichert Ihre Seed-Phrase in einem Secure Element. Die privaten Schlüssel werden dort erstellt und verlassen das Gerät niemals. Nur signierte Transaktionen werden über USB übertragen. Ein manipuliertes USB-Gerät kann also nicht einfach einen Befehl eingeben, der Ihre Seed-Phrase von einer funktionierenden Hardware-Wallet abgreift. Die gesamte Architektur ist genau darauf ausgelegt, dies zu verhindern.
Es gibt jedoch zwei gravierende Sicherheitslücken. Die erste betrifft Social Engineering. 2021 verschickten Betrüger gefälschte Ledger-Geräte an Personen, deren Adressen beim Datenleck von Ledger im Jahr 2020 offengelegt worden waren. Wie CoinDesk berichtete, enthielt die gefälschte Hardware eine Nachricht, in der die Opfer aufgefordert wurden, ihre 24-Wort-Seed-Phrase in eine mitgelieferte App einzugeben. Kein Exploit erforderlich. Nur eine überzeugende Verpackung und etwas Angst. Die zweite Sicherheitslücke ist die Lieferkette. Forscher von Kraken zeigten, dass der Chip, der die USB-Verbindung einer Hardware-Wallet steuert – also der separate Chip, der nicht mit dem Secure Element verbunden ist –, manipuliert werden kann, bevor das Gerät den Käufer erreicht.
Die Lehre daraus ist nicht, dass Hardware-Wallets nutzlos sind. Sie sind das richtige Werkzeug, Punkt. Die Lehre ist vielmehr, dass die Schwachstelle zu Ihnen wandert: Was Sie kopieren, was Sie tippen und woher Ihr Gerät ursprünglich stammt.
Wie verbreitet sind USB-Angriffe wirklich?
Man könnte versucht sein, BadUSB unter „interessant, aber selten“ einzuordnen. Die Daten sprechen jedoch eine andere Sprache, zumindest was die allgemeine Bedrohung durch USB betrifft.
Das Sicherheitsunternehmen Honeywell verfolgt Schadsoftware in Industrieanlagen. In seinem Bericht von 2024 stellte Honeywell fest , dass 51 % der aufgedeckten Schadsoftware für die Verbreitung über USB entwickelt wurde – im Vergleich zu nur 9 % im Jahr 2019. Von dieser USB-Schadsoftware könnten 82 % industrielle Betriebsabläufe stören. USB ist kein totes Einfallstor für Angriffe, sondern ein immer größeres.
Und der menschliche Faktor ist am einfachsten auszunutzen. In einer bekannten Studie verteilten Forscher der Universität von Illinois 297 USB-Sticks auf einem Campus. Die Leute nahmen sie und steckten sie ein, der erste innerhalb weniger Minuten. Neugierde erledigt die Arbeit der Angreifer quasi kostenlos.
| Finden | Figur | Quelle | Jahr |
|---|---|---|---|
| OT-Site-Malware, die sich über USB verbreitet | 51 % (gegenüber 9 % im Jahr 2019) | Honeywell | 2024 |
| Diese USB-Malware ist in der Lage, den Betrieb zu stören. | 82 % | Honeywell | 2024 |
| Kryptowährung gestohlen, Anteile nach Kompromittierung des privaten Schlüssels | 2,2 Mrd. USD / 43,8 % | Kettenanalyse | 2024 |
| Heruntergefallene USB-Laufwerke, die eingesteckt werden | Etwa die Hälfte, innerhalb weniger Minuten | Universität von Illinois | 2016 |
Eine wichtige Anmerkung vorab: FBI und FCC warnten 2023 öffentlich vor Stromdiebstahl an Ladestationen in Flughäfen und Einkaufszentren. Diese Warnungen waren rein vorsorglich, und es ist kein größerer bestätigter Fall bekannt geworden. Dennoch ist die von ihnen angesprochene Schwachstelle – ein Ladeanschluss, der auch Daten übertragen kann – genau das, was BadUSB ausnutzt. Es geht nicht darum, dass an jedem Flughafen ein präpariertes Kabel bereitliegt. Es geht darum, dass derselbe USB-Anschluss Strom und Daten über dieselben Pins überträgt. Ein Anschluss, den man nicht überprüfen kann, ist also kein Anschluss, dem man vollständig vertrauen kann.
Wie man BadUSB-Angriffe verhindert und Kryptografie schützt
Die gute Nachricht? Schutz vor BadUSB-Angriffen ist größtenteils kostengünstig und beruht auf Verhaltensänderungen. Sie benötigen keine aufwendige Software, sondern lediglich eine neue Gewohnheit.
- Schließen Sie keine USB-Geräte oder -Kabel an, die Sie nicht selbst gekauft haben oder denen Sie nicht vollkommen vertrauen. Werbegeschenke von der Konferenz, USB-Sticks vom Parkplatz, Leihkabel – all das birgt Risiken. Behandeln Sie sie so vorsichtig wie die Spritze eines Fremden.
- Führen Sie zum Laden in der Öffentlichkeit einen USB-Datenblocker mit sich, der auch als „USB-Kondom“ bezeichnet wird. Dieser unterbricht die Datenleitungen und lässt nur Strom durch, wodurch sowohl Juice Jacking als auch Keystroke Injection über den USB-Anschluss verhindert werden.
- Gerade bei Kryptowährungen sollten Sie vor jeder Bestätigung die vollständige Empfängeradresse auf dem Display Ihrer Hardware-Wallet überprüfen. Diese einfache Vorgehensweise verhindert das Überschreiben der Zwischenablage, da die Adresse auf dem vertrauenswürdigen Gerät nicht mit der vom Schadprogramm eingeschleusten Adresse übereinstimmt.
- Kaufen Sie Hardware-Wallets direkt beim Hersteller, niemals bei einem Drittanbieter oder einem Fremden, und vertrauen Sie niemals einem Gerät, das einfach unangekündigt auftaucht.
- Auf Endgeräteseite können USB-Gerätesteuerung, HID-Whitelisting und Endgeräteverwaltungstools verhindern, dass nicht erkannte Tastaturen überhaupt eine Verbindung herstellen. Auf persönlichen Geräten verhindern Funktionen wie Apples Abfrage „Zubehör anschließen“ oder Androids Einstellung „USB im Sperrmodus deaktivieren“ dasselbe.
Nichts davon ist exotisch. Es ist die digitale Version davon, kein Essen anzunehmen, das einem ein Fremder auf der Straße anbietet.
Das Wichtigste zu BadUSB und USB-Sicherheit
BadUSB ist gerade deshalb so beunruhigend, weil es so alltäglich ist. Keine Zero-Day-Schwachstelle, kein Genie erforderlich, nur die Annahme, dass ein Kabel nur ein Kabel und eine Tastatur nur der Benutzer selbst ist. Diese Annahme ist falsch, und die Ausrüstung, um das Gegenteil zu beweisen, kostet mittlerweile etwa so viel wie das Smartphone, das Sie gerade laden.
Für Kryptobesitzer ist die Lösung keine Paranoia, sondern nur Disziplin. Überprüfen Sie Adressen auf dem Gerätebildschirm, nicht am Computer. Kaufen Sie Ihre Hardware direkt beim Hersteller. Und wenn Ihnen das nächste Mal jemand ein Kabel anbietet, das Sie nicht dabei haben, fragen Sie sich, was es wohl überträgt. Was hätten Sie heute ohne nachzudenken angeschlossen?
