Da sage noch einer, USB-Sticks seien ein sicheres Speichermedium. Schon öfter habe ich bei Präsentationen vor Publikum zusammen mit IT-Experten gezeigt, wie sich USB-Sticks manipulieren lassen – und dass das bloße Aufstecken des USB-Sicks den Rechner infiziert. Jetzt haben auch die Kollegen vom ARD-Magazin Monitor gezeigt: Wer die Firmware eines USB-Sticks kontrolliert, der kann auch den Rechner steuern, auf den der USB-Stick gesteckt wird. Denn USB-Sticks sind die perfekten Trojaner.

Der schleswig-holsteinische Landesdatenschutzbeauftragter Thilo Weichert spricht in diesem Zusammenhang von einer “Katastrophe für den Datenschutz“ und fordert insbesondere die IT-Industrie auf zu reagieren und beim USB-Standard dringend nachzubessern.

Die Experten um den Berliner IT-Spezialisten Karsten Nohl nutzten im Versuchsaufbau eine Schwachstelle im USB-System aus. Sie manipulierten nicht den eigentlichen Speicherchip des USB-Sticks, sondern den im Stick eingebauten Prozessor. Dadurch lässt sich dieser Angriff weder durch Antivirenprogrammen, noch durch andere Software verhindern.

Sobald ein ahnungsloser Nutzer den USB-Stick in seinen Rechner steckt, können die IT-Spezialisten mit Hilfe einer virtuellen Tastatur Befehle ausführen. Damit können sie fast alle Daten des fremden Rechners auslesen, auch Passwörter und E-Mail-Inhalte oder andere Geräte wie die Webcam fernsteuern. Das Computer-Betriebssystem des fremden Rechners nimmt den Angriff nicht als Softwareattacke wahr, sondern glaubt, nur Tastenbefehle einer neuen Tastatur zu verarbeiten. So haben die Angreifer den selben Zugriff wie der Nutzer vor Ort.

usb stick

Der Kryptologe und IT-Sicherheitsexperte Prof. Christof Paar von der Ruhr Universität Bochum spricht von einer “neuen Dimension”, da erstmals nicht der Speicherchip, sondern der eingebaute Prozessor eines USB-Sticks angegriffen wurde. Eine Gefahr, gegen die man sich nicht schützen kann. Denn um die Manipulation zu bemerken, müsste man jeden einzelnen Stick im Labor aufwendig untersuchen, erklärte der Wissenschaftler gegenüber MONITOR.

Im Grunde ist das alles nichts wirklich Neues. Ich meide USB-Sticks schon lange. Sie sind nämlich eigentlich nicht nur unpraktisch, sondern eben auch unsicher. Natürlich: Es gibt spezielle USB-Sticks, die alle Daten verschlüsselt speichern und die auch die Eingabe eines Passworts erfordern. Aber die neuesten Erkenntnisse zeigen doch, dass auch USB-Sticks manipuliert werden können. Das Speichern in der Cloud ist doch nicht so unsicher wie ihr Ruf.