Der USB-Stick lag unter dem Parkplatz-Schild. 17 Minuten später war er im Netz.
Ein Finanzdienstleister in Frankfurt. USB-Ports gesperrt per Gruppenrichtlinie – Massenspeichergeräte geblockt, dokumentiert, auditiiert. Die IT-Abteilung war stolz auf diese Maßnahme. Sie hatten sogar physische USB-Blocker in den Konferenzräumen installiert: kleine orangefarbene Kunststoffstecker, die den Port mechanisch verschließen.
Im Rahmen eines beauftragten Red-Team-Engagements platzierten unsere Tester drei präparierte USB-Sticks auf dem Firmenparkplatz – einer unter einem Fahrzeug, einer neben dem Eingang, einer mit der Aufschrift Gehaltsübersicht_2025_final.xlsx. Keiner davon war ein Massenspeichergerät. Alle drei meldeten sich am Windows-Host als USB-Tastatur an.
17 Minuten nach dem Fund des ersten Sticks öffnete ein Mitarbeiter eine PowerShell-Session. Nicht weil er leichtsinnig war. Sondern weil sein Betriebssystem das Gerät als vertrauenswürdige Eingabe behandelte – genau so, wie es eine echte Tastatur behandelt hätte. Die USB-Policy hatte das vollständig verhindert, was sie verhindern sollte: Massenspeicher. Den tatsächlichen Angriffsvektor hatte sie nie adressiert.
USB-Blocker für Massenspeicher sind keine USB-Sicherheitsmaßnahme. Sie sind eine Schutzmaßnahme gegen eine spezifische Geräteklasse – während die gefährlicheren Klassen ungehindert passieren.
Warum USB-Sicherheit in den meisten Unternehmen strukturell falsch gedacht ist
Das Problem liegt nicht im Versagen einzelner Maßnahmen. Es liegt in einer fundamentalen Fehleinschätzung dessen, was USB als Angriffsvektor ausmacht. Die meisten USB-Sicherheitskonzepte wurden entwickelt, um Datenverlust zu verhindern – Mitarbeiter, die Daten auf Sticks kopieren und mitnehmen. Der Kontrollmechanismus: Massenspeicher blocken.
Angreifer nutzen USB nicht für Datentransport. Sie nutzen USB als Ausführungskanal – als Weg, Code auf einem Zielsystem auszuführen, ohne dass eine Datei jemals als Datei erkannt wird. Der entscheidende Unterschied: Ein Massenspeicher-Block schützt vor dem einen, nicht vor dem anderen.
Die drei USB-Angriffskategorien, die kein Storage-Block verhindert
Ein Rubber Ducky, ein O.MG Cable und ein LAN Turtle kosten zusammen unter 300 Euro. Die Gegenwehr – sofern sie auf Massenspeicher-Blocking basiert – verhindert keines dieser drei Geräte. Sie adressieren schlicht andere Geräteklassen.
Der USB-Blocker-Mythos: Was er leistet und was er nicht leistet
„Wir haben USB-Ports gesperrt" – was das wirklich bedeutet
In den meisten Unternehmen bedeutet „USB gesperrt" eines von zwei Dingen: entweder eine Gruppenrichtlinie unter Windows, die USBSTOR-Geräte blockiert – also Massenspeicher –, oder physische USB-Blocker-Stecker in den Ports der Konferenzräume.
Beide Maßnahmen blockieren dieselbe Geräteklasse: USB Mass Storage (Klasse 08h). Sie blockieren nicht: HID-Geräte (Klasse 03h, also Tastaturen und Mäuse), Netzwerkadapter (Klasse 02h/0Ah), Audioadapter, serielle Adapter oder Ladegeräte.
Ein Rubber Ducky oder ein O.MG Cable meldet sich als USB HID – Keyboard an. Das Betriebssystem akzeptiert es ohne Rückfrage – genau so, wie es jede andere Tastatur akzeptieren würde. Die Gruppenrichtlinie sieht kein Massenspeichergerät und lässt es durch. Der physische USB-Blocker-Stecker sitzt im Port daneben.
Die Maßnahme ist nicht falsch. Sie ist unvollständig. Und unvollständige Sicherheitsmaßnahmen, die als vollständig kommuniziert werden, sind gefährlicher als gar keine – weil sie ein falsches Sicherheitsgefühl erzeugen.
Wie ein HID-Angriff in der Praxis abläuft
Der Ablauf eines Rubber-Ducky-Angriffs dauert je nach Payload zwischen drei und dreißig Sekunden. Das Gerät muss nur kurz angesteckt werden – es braucht keine dauerhafte Verbindung, keinen Nutzer der aktiv etwas tut, und hinterlässt ohne spezielles Monitoring kaum Spuren im System-Log.
Das O.MG Cable: Wenn das Ladekabel die Waffe ist
Das O.MG Cable ist der konzeptionell erschreckendste Vertreter dieser Geräteklasse – nicht wegen seiner technischen Komplexität, sondern wegen seiner Tarnung. Es sieht aus wie ein normales USB-C- oder Lightning-Kabel, inklusive originalgetreuer Verpackung und Steckeroptik. Im Inneren: ein vollständiger Mikrocontroller mit WiFi-Access-Point.
Das Angriffsszenario im physischen Kontext: Ein Tester lässt das Kabel in einem Konferenzraum liegen – oder tauscht es gegen das bereits dort liegende Kabel. Ein Mitarbeiter lädt sein Handy auf. Der Angreifer verbindet sich über WiFi mit dem Kabel und beginnt, Tastenanschläge in den verbundenen Rechner zu injizieren – von außerhalb des Gebäudes, ohne physisch anwesend zu sein.
Das O.MG Cable funktioniert auch dann, wenn kein Computer angeschlossen ist – es wartet geduldig auf die nächste Verbindung. Ein liegengelassenes Kabel ist kein verlorenes Zubehör. Es ist möglicherweise ein aktives Implantat.
LAN Turtle und Netzwerk-Implants: Der stille Bewohner im Netzwerkschrank
Während HID-Angriffe auf schnelle Ausführung ausgelegt sind, zielen Netzwerk-Implants auf Persistenz. Ein LAN Turtle oder ein vergleichbares Gerät wird zwischen Rechner und Netzwerkanschluss gesteckt – oder in einen freien USB-Port eines Switches, Druckers oder IP-Telefons. Es leitet Netzwerkverkehr durch sich durch und ermöglicht dem Angreifer dauerhaften Remote-Zugang.
Diese Geräte sind besonders gefährlich in Umgebungen, in denen viel Hardware steht, die niemand täglich prüft: Netzwerkschränke, Drucker-Stationen, Besprechungsraum-Hardware, Empfangs-PCs. Ein Gerät, das wie ein USB-Ethernet-Adapter aussieht, fällt visuell nicht auf – und wird von den meisten Endpoint-Security-Lösungen nicht geflaggt, weil es sich als legitimer Netzwerkadapter anmeldet.
Risikomatrix: Welche Geräte welche Maßnahmen umgehen
| Gerät | USB-Klasse | USBSTOR-Block | Phys. USB-Blocker | EDR-Erkennung | Risiko |
|---|---|---|---|---|---|
| USB-Stick (Standard) | 08h Mass Storage |
✓ Blockiert | ✓ Blockiert | Meist erkannt | NIEDRIG |
| Rubber Ducky | 03h HID Keyboard |
✗ Passiert | ✗ Passiert | Selten erkannt | KRITISCH |
| O.MG Cable | 03h HID Keyboard |
✗ Passiert | ✗ Passiert | Kaum erkannt | KRITISCH |
| LAN Turtle | 02h CDC Network |
✗ Passiert | ✗ Passiert | Selten erkannt | HOCH |
| Bash Bunny | Wechselnd (Multi) | Teilweise | ✗ Passiert | Variabel | HOCH |
| USB Killer | Ladegerät (Schein) | ✗ Passiert | ✗ Passiert | Nicht erkennbar | MITTEL* |
* USB Killer: Risiko für Datenverlust NIEDRIG, Risiko für Hardwareschaden und Betriebsausfall HOCH – insbesondere in KRITIS-Umgebungen.
Warum Rogue Devices ein Physical-Pentest-Thema sind
USB-Angriffe werden häufig als rein technisches Problem behandelt – zuständig: IT-Security, Endpoint-Management, Gruppenrichtlinien. Das greift zu kurz. Die entscheidende Frage ist nicht, wie das Gerät auf dem System ausgeführt wird. Die entscheidende Frage ist: Wie kommt das Gerät ins Gebäude und an den Port?
Die Antwort darauf ist ein physisches Problem. Ein Rogue Device braucht physischen Zugang – zum Arbeitsplatz, zum Konferenzraum, zum Netzwerkschrank. Und dieser Zugang wird durch dieselben Vektoren ermöglicht, die wir in den anderen Posts dieser Serie beschreiben: Besuchermanagement-Schwächen, Tailgating, Social Engineering nach OSINT-Recon.
In unseren Physical Pentests testen wir USB-Drop-Szenarien als Standardkomponente – nicht weil USB-Drops immer das Angriffsziel sind, sondern weil sie die Verbindung zwischen physischem Zugang und Netzwerkkompromittierung am direktesten illustrieren. Wer einen Mitarbeiter dazu bringt, ein präpariertes Gerät anzustecken, hat in einem einzigen Schritt die gesamte Netzwerksicherheit umgangen.
Ein USB-Drop ist kein technischer Angriff. Er ist ein physischer Angriff mit technischer Wirkung. Die Firewall, das EDR, das SIEM – sie alle sehen den Angriff erst, wenn das Gerät bereits angesteckt ist. Die einzige Stelle, an der er verhindert werden kann, ist der physische Zugang.
Was tatsächlich schützt – und was nur Sicherheit simuliert
Eine vollständige USB-Härtung besteht aus drei Schichten: physischer Zugangskontrolle (wer kommt an den Port), technischer Gerätekontrolle (was darf sich am Port anmelden) und Awareness (wer steckt was an, wann und warum). Alle drei müssen greifen – eine allein reicht nicht.
- USB-Device-Whitelisting statt Storage-Blocking: Der richtige Ansatz ist nicht das Blocken einer Geräteklasse, sondern das Whitelisten explizit erlaubter Geräte – anhand von Hardware-ID, Hersteller-ID und Seriennummer. Lösungen wie Windows Defender Device Control, Ivanti oder Symantec Endpoint erlauben granulare Kontrolle auf Geräteidentitäts-Ebene, nicht auf Klassen-Ebene.
- HID-Filtering für nicht-autorisierte Tastaturen: Einige EDR-Lösungen und spezialisierte Tools (z.B. USBGuard unter Linux, oder kommerzielle HID-Filter) können neue HID-Geräte blockieren oder eine Bestätigung durch den Nutzer erfordern. Das verhindert den automatischen Rubber-Ducky-Angriff – allerdings auf Kosten von Komfort bei legitimer Hardware.
- Physische Sicherung aller Ports, nicht nur Konferenzräume: Wenn USB-Blocker-Stecker eingesetzt werden, müssen sie konsequent alle exponierten Ports abdecken – inklusive Rückseiten von Rechnern, Docking Stations, IP-Telefone, Drucker und Netzwerkswitches. Ein halb abgesichertes System ist kein gesichertes System.
- Kabel-Policy für Konferenzräume: Liegende Kabel in Meetingräumen sind ein einfaches Angriffsziel. Eine Policy, die vorschreibt, dass keine privaten Kabel an Firmenrechner angeschlossen werden, reduziert das O.MG-Cable-Risiko – erfordert aber aktive Durchsetzung und Awareness.
- Netzwerkschränke und Hardware-Zugänge sichern: Freie USB-Ports an Switches, Druckern und IP-Telefonen müssen physisch deaktiviert oder versiegelt werden. Netzwerkschränke gehören unter Zutrittskontrolle. Ein LAN Turtle in einem offenen Rack ist eine Hintertür, die kein Software-Tool schließt.
- Awareness-Training mit konkreten Beispielen: „Steck keinen fremden USB-Stick an" ist bekannt. „Ein Ladekabel kann eine Waffe sein" ist es nicht. Awareness-Training muss die tatsächlichen Angriffsvektoren zeigen – mit echten Geräten, echten Demos, konkreten Konsequenzen. Abstrakte Policies ändern Verhalten nicht.
- USB-Drop-Test im Physical Pentest: Der einzige Weg zu wissen, ob Mitarbeiter ein präpariertes Gerät anstecken, ist es zu testen. Wir führen USB-Drop-Szenarien als Teil physischer Assessments durch – mit harmlosen Payloads, die nur eine Verbindung nach Hause protokollieren, ohne Daten zu exfiltrieren oder Systeme zu verändern.
Die wirksamste Einzelmaßnahme ist nicht technisch – sie ist räumlich: Wer keinen physischen Zugang zum Arbeitsplatz hat, kann kein Rogue Device platzieren. Physische Zutrittskontrolle ist die erste Verteidigungslinie gegen USB-Angriffe – nicht die letzte.
Fazit: Der gefährlichste USB-Stick sieht aus wie ein Ladekabel
USB-Sicherheit ist in den meisten Unternehmen ein Compliance-Thema: Massenspeicher geblockt, Audit bestanden, Haken gesetzt. Der tatsächliche Angriffsvektor – HID-Spoofing, Netzwerk-Implants, präparierte Kabel – liegt außerhalb dieser Kontrolle. Nicht weil die Maßnahmen falsch sind, sondern weil sie eine andere Bedrohung adressieren als die, die tatsächlich ausgenutzt wird.
Die Konsequenz ist keine Aufforderung, USB komplett zu verbieten. Sie ist eine Aufforderung, USB-Sicherheit neu zu denken: von geräteklassenbasiertem Blocking zu identitätsbasiertem Whitelisting, von Software-Policies zu physischer Absicherung der Ports, von abstrakten Richtlinien zu konkretem Awareness-Training.
Und: von der Annahme, dass ein USB-Angriff ein technisches Problem ist, zu dem Verständnis, dass er mit physischem Zugang beginnt. Wer den Zugang kontrolliert, kontrolliert das Risiko. Was vor der Tür passiert, entscheidet darüber, was hinter ihr möglich ist – mehr dazu im Post zu Besuchermanagement und Remote Recon to Physical Breach.
Würde ein Mitarbeiter euren präparierten USB-Stick anstecken?
Wir testen USB-Drop-Szenarien, HID-Angriffe und physische Netzwerk-Implants als Teil eines vollständigen Physical Assessments. Kostenloses Erstgespräch.
Physical Assessment anfragen →