Da sage noch einer, USB-Sticks seien ein sicheres Speichermedium. Schon seit Jahren zeigen IT-Sicherheitsexperten in Präsentationen, wie sich USB-Sticks manipulieren lassen – und dass das bloße Aufstecken des USB-Sticks den Rechner infiziert. Bereits 2014 demonstrierten Forscher um den Berliner IT-Spezialisten Karsten Nohl diese gefährliche Schwachstelle. Heute, mehr als ein Jahrzehnt später, sind diese Angriffsvektoren noch immer aktuell und haben sich sogar weiterentwickelt. USB-Sticks bleiben die perfekten Trojaner.
Die damaligen Warnungen von Datenschutzexperten wie dem schleswig-holsteinischen Landesdatenschutzbeauftragten Thilo Weichert haben sich bewahrheitet. Er sprach bereits von einer „Katastrophe für den Datenschutz“ und forderte die IT-Industrie auf, beim USB-Standard nachzubessern. Doch auch 2026 sind diese fundamentalen Sicherheitslücken nicht vollständig geschlossen.
Die Experten um Karsten Nohl nutzten damals eine Schwachstelle im USB-System aus, die heute noch funktioniert. Sie manipulierten nicht den eigentlichen Speicherchip des USB-Sticks, sondern den im Stick eingebauten Controller-Chip. Dadurch lässt sich dieser Angriff weder durch moderne Antivirenprogramme noch durch Zero Trust-Architekturen vollständig verhindern. Moderne Varianten dieser Attacken nutzen zusätzlich KI-gestützte Payload-Generierung und können sich an verschiedene Betriebssysteme anpassen.
Sobald ein ahnungsloser Nutzer den manipulierten USB-Stick in seinen Rechner steckt, können Angreifer mit Hilfe einer virtuellen Tastatur Befehle ausführen. Sie können fast alle Daten des fremden Rechners auslesen, Passwörter abgreifen, E-Mail-Inhalte kopieren oder andere Geräte wie die Webcam fernsteuern. Das Computer-Betriebssystem nimmt den Angriff nicht als Softwareattacke wahr, sondern glaubt, nur Tastenbefehle einer neuen Tastatur zu verarbeiten. So haben die Angreifer den selben Zugriff wie der Nutzer vor Ort.
Mittlerweile haben sich diese Angriffe weiterentwickelt. USB-Rubber-Ducky-Attacken sind Standard im Arsenal von Penetrationstestern geworden. Tools wie das Flipper Zero oder speziell entwickelte USB-C-Sticks können moderne Angriffe binnen Sekunden ausführen. Selbst Enterprise-Umgebungen mit Device Control und Endpoint Detection sind nicht vollständig geschützt, da die Angriffe auf Hardware-Ebene stattfinden.
Was damals als „neue Dimension“ galt, ist heute traurige Realität: USB-Ports sind weiterhin eine der größten Sicherheitslücken in Unternehmen und Privathaushalten. Red Team-Übungen zeigen regelmäßig, dass manipulierte USB-Sticks in Firmen-Parkplätzen oder vor Bürogebäuden „verloren“ werden – und erstaunlich oft von Mitarbeitern gefunden und verwendet werden.
Die Lösung liegt nicht in besseren USB-Sticks, sondern in ihrer Vermeidung. Cloud-Storage hat sich als deutlich sicherere Alternative etabliert. Dienste wie Google Drive, OneDrive, Dropbox oder iCloud nutzen moderne Verschlüsselung, Multi-Faktor-Authentifizierung und Zero-Knowledge-Architekturen. Self-Hosted-Lösungen wie Nextcloud oder Synology bieten für datenschutzbewusste Nutzer eine vollständige Kontrolle über ihre Daten.
Moderne Cloud-Lösungen bieten außerdem Features, die USB-Sticks niemals erreichen können: automatische Backups, Versionierung, plattformübergreifende Synchronisation und granulare Berechtigungsverwaltung. Collaboration-Features ermöglichen es, Dateien sicher zu teilen, ohne physische Medien zu übergeben.
Für Unternehmen haben sich zusätzliche Sicherheitsmaßnahmen bewährt: USB-Port-Blockierung über Group Policies, Application Whitelisting und moderne Endpoint Detection and Response (EDR) Systeme. Zero Trust Network Access (ZTNA) Ansätze reduzieren die Angriffsfläche erheblich.
Mein Rat bleibt derselbe wie vor zehn Jahren: Meidet USB-Sticks wo immer möglich. Nutzt Cloud-Storage für den Datenaustausch, sichere Messenger für kleinere Dateien und professionelle File-Sharing-Dienste für sensible Dokumente. Die Cloud ist längst nicht mehr so unsicher wie ihr Ruf aus den Anfangstagen – USB-Sticks hingegen sind gefährlicher denn je.
Zuletzt aktualisiert am 18.04.2026
