O.MG Cable: Risiko durch bösartige Hardware und Tastatureingaben
Legt man ein gewöhnliches USB-C-Ladekabel unter einen industriellen Computertomographen, entdeckt man möglicherweise einen zweiten Computer im Inneren des Anschlusses: einen zusätzlichen Siliziumchip, der unter dem Hauptchip angebracht ist, eine winzige Antenne und Bonddrähte, dünner als ein menschliches Haar. Das ist keine Requisite aus einem Spionagefilm. Es handelt sich um das O.MG-Kabel, ein echtes, im Handel erhältliches Gerät, das genauso aussieht wie das Kabel, das bereits auf Ihrem Schreibtisch liegt.
Dieser Leitfaden erklärt, was das O.MG-Kabel ist, was es tatsächlich anrichten kann und wie man sich davor schützen kann, ohne dabei eine Wunderlösung vorzugaukeln. Die Schwierigkeit besteht nicht darin, die Bedrohung zu verstehen, sondern zu akzeptieren, dass die eigenen Augen hier nicht weiterhelfen, und trotzdem wirksame Gewohnheiten zu entwickeln.
Was das O.MG-Kabel ist und warum es existiert
Das O.MG-Kabel ist keine aus einem Labor geschmuggelte Ware. Es handelt sich um ein legal verkauftes Werkzeug für Red-Team-Übungen und Sicherheitsforschung – und genau diese Doppelverwendung ist das Problem. Dasselbe Gerät, mit dem Sicherheitsexperten autorisierte Sensibilisierungsübungen durchführen können, ermöglicht es auch Angreifern, ein geliehenes Ladegerät als Fernzugriffsplattform zu nutzen.
Von einer DEF CON-Demo zu einem handelsüblichen Produkt
Der Sicherheitsforscher Mike Grover, bekannt unter dem Namen MG, präsentierte das Kabel erstmals 2019 auf der Hacker-Konferenz DEF CON. Die ersten Exemplare fertigte er in Handarbeit für jeweils rund 200 US-Dollar. Bemerkenswert war dabei nicht die Neuartigkeit, sondern die Verfügbarkeit. Geheimdienste nutzten implantierbare Kabel bereits seit Jahren; ein geleaktes NSA-Tool namens COTTONMOUTH-I kostete Berichten zufolge um die 20.000 US-Dollar. Das O.MG-Kabel bot eine vergleichbare Funktionalität für den Preis eines guten Abendessens im Handel an. Wie Vice berichtete , stellte Grover 2021 von der manuellen Fertigung auf die Massenproduktion um – der Zeitpunkt, an dem aus einer Nischen-Demo auf einer Konferenz ein für jedermann bestellbares Produkt wurde. Heute wird es über Hak5 mit verschiedenen Anschlüssen wie USB-C, USB-A und Lightning sowie in verschiedenen Leistungsstufen – vom Basismodell bis zum deutlich leistungsfähigeren Elite-Modell – vertrieben.
Ein Sicherheitsinstrument mit einem gefährlichen Zwilling
Das Kabel wird offen verkauft, ist deaktiviert und benötigt einen separaten Programmierer zur Aktivierung, wodurch der Anbieter rechtlich auf der sicheren Seite ist. Der Kernpunkt bleibt jedoch bestehen: Eine Technologie, die früher staatliche Mittel erforderte, ist nun kommerziell erhältlich. Wenn ein leistungsstarkes Werkzeug fast nichts kostet und wie ein Standardzubehör aussieht, ändert sich das Bedrohungsmodell für alle anderen – ob sie es wollen oder nicht.
Wie sich das O.MG-Kabel im Alltag versteckt
Die meisten Sicherheitshinweise gehen davon aus, dass man die angeschlossenen Geräte überprüfen kann. Das O.MG-Kabel widerlegt diese Annahme, und eine Demontage im Dezember 2024 zeigte genau, wie gründlich.
Was der CT-Scan ergab
Im Dezember 2024 führte das Ingenieurbüro Lumafield eine industrielle Computertomographie (CT) an einem O.MG USB-C-Kabel durch und verglich es mit einem Standardkabel. Im Inneren des manipulierten Steckers entdeckten sie eine versteckte Antenne und einen zweiten Chip, der unter dem primären Mikrocontroller angebracht war. Die Drähte, die miteinander verbunden waren, waren so fein, dass die Scaneinstellungen angepasst werden mussten, um sie überhaupt darstellen zu können, wie Tom's Hardware berichtete . Ein normales Ladekabel weist all dies nicht auf. Das manipulierte Kabel hingegen beherbergt einen kleinen drahtlosen Computer auf demselben Raum.
Warum man es nicht auf den ersten Blick erkennen kann
Und hier kommt der unangenehme Teil: Das Implantat ist in das Steckergehäuse integriert und von außen nicht sichtbar. Eine Sichtprüfung ist wirkungslos. Selbst eine herkömmliche 2D-Röntgenaufnahme kann den versteckten Chip übersehen, da er direkt unter dem eigentlichen Chip liegt und mit diesem verschmilzt. Das Kabel wiegt ungefähr gleich viel, lädt Ihr Telefon wie gewohnt und überträgt Daten wie jedes andere. Ohne einen industriellen Computertomographen oder eine sorgfältige Demontage, bei der das Kabel zerstört wird, lässt sich ein Implantat nicht durch bloße Betrachtung nachweisen. Diese Tatsache beeinflusst alle nachfolgenden Ratschläge grundlegend.
Ich möchte einen Moment darüber nachdenken, wie ungewöhnlich das ist, denn es beunruhigt mich immer noch. Bei den meisten Sicherheitsbedrohungen ist die Überprüfung hilfreich: Man kann eine URL vor dem Anklicken lesen, die Signatur einer Datei prüfen oder die Absenderadresse überprüfen. Hardware-Implantate eliminieren diese Möglichkeiten vollständig. Das, was man normalerweise untersuchen würde, ist das, was kompromittiert wurde, und es wurde speziell so konstruiert, dass eine Untersuchung keine Erkenntnisse liefert. Diese Umkehrung ist der Grund, warum der Rest dieses Leitfadens so stark auf Verhalten und Herkunft anstatt auf Erkennung setzt.
Was ein O.MG-Kabel tatsächlich leisten kann
Stellen Sie sich ein Ladekabel vor, das in Wirklichkeit eine Tastatur ist. Genau das ist der Clou. Schließen Sie es an einen Computer an, und es meldet sich als Eingabegerät (Human Interface Device) – in derselben Kategorie wie Ihre normale Tastatur – und das Betriebssystem erkennt es sofort. Dann tippt es. Viel schneller als jeder Mensch, ohne dass Dateien gescannt werden müssen und ohne dass etwas auffällt.
Warum funktioniert die Tastatur-Tarnung so gut? Weil Betriebssysteme so konzipiert wurden, dass sie Eingabegeräten bedingungslos vertrauen. Eine Tastatur fragt nie um Erlaubnis zum Tippen, und es erscheint kein Virenscanner, sobald man mit der Texteingabe beginnt, da das Tippen die einzige Funktion einer Tastatur ist. Das Kabel nutzt dieses systembedingte Vertrauen aus, anstatt einen Softwarefehler zu beheben. Deshalb hilft auch das bloße Einspielen von Patches nicht.
Das Kabel verfügt außerdem über einen eigenen WLAN-Zugangspunkt mit Weboberfläche, sodass ein Bediener sich aus der Ferne verbinden und unbemerkt Aktivitäten auslösen kann. Höherwertige Versionen bieten zusätzlich Geofencing, eine Selbstzerstörungsfunktion, die das Implantat unbrauchbar macht, und einen integrierten Hardware-Keylogger. Die Funktionen skalieren mit der jeweiligen Version, und der Unterschied ist beträchtlich.
| Fähigkeit | Basisstufe | Elite-Rang |
|---|---|---|
| Tastenanschlag-Einspritzgeschwindigkeit | ~120 Tasten/Sek. | ~890 Tasten/Sek. |
| Onboard-Hardware-Keylogger | NEIN | ~650.000 Tastenanschläge |
| Nutzlast-Staufächer | Weniger | 50–300 |
| WLAN-Zugangspunkt + Web-Benutzeroberfläche | Ja | Ja |
| Geofencing / Selbstzerstörung | Beschränkt | Ja |
Die Zahlen des Elite-Modells stammen aus Hak5s eigenem Leistungsvergleich . Ein Logger, der 650.000 Tastenanschläge direkt im Kabel speichert, reicht aus, um unbemerkt eine große Menge Passwörter aufzuzeichnen, bevor es jemand merkt. Mit etwa 890 Tastenanschlägen pro Sekunde kann der Elite-Logger die gesamte Datenmenge in der Zeit erfassen, die man braucht, um den Blick vom Bildschirm abzuwenden.
Die wahre Bedrohung: Szenarien der Datenexfiltration
Die Technologie des O.MG-Kabels ist raffiniert, doch die Gefahr liegt im sozialen Umgang. Niemand hackt sich mit einem dieser Kabel in Ihre Hände; man gibt es Ihnen einfach oder legt es dort ab, wo Sie es finden. Das Kabel ist billig, die Übergabe erfolgt durch einen Menschen, und diese Kombination macht es in der Praxis wirksam.
Einige gängige Angriffsszenarien verdeutlichen das Muster. Die folgende Tabelle zeigt Alltagssituationen, in denen ein implantiertes Kabel am ehesten zu Ihnen gelangen kann, und die jeweils passende Gewohnheit, um dies zu verhindern.
| Szenario | Wo Sie ausgesetzt sind | Verteidigung der ersten Reihe |
|---|---|---|
| Werbegeschenk | Ein kostenloses Markenkabel an einem Stand oder bei einer Veranstaltung | Lehne es ab; benutze dein eigenes. |
| Das "gefundene" Kabel | Eines liegt auf einem Schreibtisch, in einem Hotel oder in einem Besprechungsraum. | Behandeln Sie es wie einen gefundenen USB-Stick: Stecken Sie ihn nicht ein. |
| Öffentliche Gebühren | Flughafen- oder Café-Kioske und gemeinsam genutzte Kabel | Bringen Sie Ihr eigenes Ladegerät mit oder verwenden Sie einen Datenblocker. |
| Kabeltausch | Das Kabel ist bereits an einen gemeinsam genutzten Monitor angeschlossen. | Bringen Sie Ihr eigenes, bekanntes Kabel mit und verwenden Sie es. |
Da das Kabel eine Tastatur emuliert, funktioniert es unter Windows, macOS, Linux und auf mobilen Plattformen. Daher ist kein Betriebssystem automatisch sicher. Die Lektion ist altbekannt, nur angewendet auf neue Hardware: Ein kostenloses Kabel ist kein Geschenk, sondern ein unbekanntes Gerät.
Laderisiko: Hilft eine Wandsteckdose?
Diese Frage wird oft gestellt. Was ist, wenn ich das Kabel nur an ein Netzteil anschließe, nie an einen Computer? Bin ich dann sicher? Größtenteils. Nicht ganz. Keystroke Injection benötigt ein Gerät, auf das getippt werden kann. Ein Kabel, das an einem Netzteil hängt, hat also kein Gerät, das angegriffen werden kann. Dieser Aspekt ist beruhigend und sollte klar erwähnt werden.
Aber Strom ist Strom. Eine Steckdose schaltet das Implantat nicht ab. Die Elektronik des Kabels, inklusive WLAN-Modul, kann weiterhin Strom verbrauchen und funktionieren, während es Ihr Telefon lädt. Die Regel ist also strenger als „verwenden Sie einfach ein Ladegerät“. Sie lautet eher: Schließen Sie kein Kabel, dem Sie nicht vertrauen, an etwas an, das Ihnen wichtig ist, und interpretieren Sie „nur Strom“ nicht als „harmlos“.
Wie man ein verdächtiges Kabel identifiziert und überprüft
Da man ein Implantat nicht mit bloßem Auge erkennen kann, besteht das realistische Ziel darin, blindes Vertrauen zu reduzieren, anstatt eine perfekte Erkennung zu erreichen. Eine speziell dafür entwickelte Option ist der O.MG Malicious Cable Detector, der für etwa 40 US-Dollar erhältlich ist und laut den Produktspezifikationen von Hak5 eine Seitenkanal-Leistungsanalyse nutzt. Dabei wird ein angeschlossenes Kabel etwa 200.000 Mal pro Sekunde abgetastet, um die elektrische Signatur eines Implantats zu erkennen.
Es hilft. Lesen Sie aber die Dokumentation aufmerksam: Es handelt sich um ein erstes Screening-Tool, kein forensisches Instrument, und das geben die Hersteller auch deutlich an. Es erkennt nicht jedes Implantat und kann niemals beweisen, dass ein Kabel sauber ist. Setzen Sie daher stattdessen auf die Herkunft. Kaufen Sie Kabel direkt beim Hersteller oder einem autorisierten Händler. Bewahren Sie Ihre eigenen Kabel auf und beschriften Sie sie. Vergessen Sie Gewicht und Haptik als Indizien, denn ein gutes Implantat verändert beides nicht auf eine Weise, die Sie mit der Hand spüren können. Im Hinblick auf die Bedrohung durch O.MG-Kabel bedeutet Verifizierung in Wirklichkeit, die Herkunft Ihrer Kabel zu kontrollieren, nicht die bereits vorhandenen Kabel zu untersuchen.
Wie man das O.MG-Kabelrisiko mindern kann
Es gibt keine einzelne Maßnahme, die diese Bedrohung vollständig beseitigt. Wer Ihnen so etwas verspricht, macht zu viel. Der Schutz besteht hier aus mehreren Schichten, und die günstigste ist immer besser als das teuerste Gerät: Schließen Sie niemals ein Kabel an, das Ihnen nicht gehört. Alles andere unterstützt diese einfache Gewohnheit.
Für Einzelpersonen
Verwenden Sie Ihre eigenen Kabel und Ihr eigenes Ladegerät. Für öffentliche Ladestationen empfiehlt sich ein USB-Datenblocker (auch USB-Kondom genannt), der die Datenleitungen physisch unterbricht, sodass nur Strom fließen kann. Dadurch werden die Datentricks des Kabels an der Steckdose neutralisiert. Aktivieren Sie überall die Zwei-Faktor-Authentifizierung. Selbst wenn ein Keylogger ein Passwort abfängt, reicht ein gestohlenes Passwort allein nicht aus, um Zugriff zu erlangen. Gehen Sie bei unbekannten Kabeln mit der gleichen Vorsicht vor wie bei unbekannten USB-Sticks, denn sie stellen nun die gleiche Risikokategorie dar.
Für Teams und Büros
Unternehmen verfügen über stärkere Hebel. Endpunktrichtlinien können USB-Geräte anhand ihrer Hersteller- und Produkt-IDs auf eine Zulassungsliste setzen, sodass eine unerwartet an einem Rechner auftauchende Tastatur blockiert oder markiert wird, anstatt als vertrauenswürdig eingestuft zu werden. Einheitliches Endpunktmanagement und Gruppenrichtlinien können die zulässigen Geräteklassen einschränken und Warnungen ausgeben, wenn ein neues HID-Gerät auftaucht, wo keines sein sollte. In risikoreicheren Umgebungen kann die Funkfrequenzüberwachung die Funkaktivität des Kabels erfassen. Auch die Integrität der Lieferkette ist wichtig: Peripheriegeräte sollten von bekannten Herstellern bezogen werden, und Kabel, die unerwartet als Geschenk oder Ersatz geliefert werden, sollten skeptisch betrachtet werden. Keine dieser Maßnahmen allein ist ausreichend, weshalb mehrere gleichzeitig eingesetzt werden. Ziel ist keine perfekte Barriere, sondern ausreichend viele sich überschneidende Schutzebenen, sodass ein einzelnes, unerkanntes Kabel nicht unbemerkt Schaden anrichten kann. Ein Team, das Geräte-Zulassungslisten, Endpunktwarnungen für neue Tastaturen und eine einfache Richtlinie zur ausschließlichen Verwendung firmeneigener Kabel kombiniert, hat die meisten realistischen Sicherheitslücken geschlossen, ohne dafür teure Spezialwerkzeuge anschaffen zu müssen.
Fazit: Was tun angesichts der O.MG-Kabelbedrohung?
Was das O.MG-Kabel so einprägsam macht, ist, dass es unseren üblichen Instinkt überlistet: Man schaut sich das Ding an und entscheidet, ob es sicher ist. Hier sagt das bloße Hinsehen nichts aus. Das Implantat ist absichtlich unsichtbar. Der Schutz, der wirklich Bestand hat, ist also eine Gewohnheit, kein technisches Gerät. Behandelt man verdächtige Kabel so, wie ein umsichtiger Administrator verdächtige USB-Sticks behandelt, verschwindet ein Großteil des Risikos. Doch dann stellt sich die größere, unangenehmere Frage: Da immer mehr Hardware um uns herum zu einer versiegelten Blackbox wird, wie viel von dem, was wir täglich anschließen, vertrauen wir dann noch blind?
