USB-Geräte sind ein viel größeres Sicherheitsrisiko, als bisher allgemein angenommen wird. Ein spektakulärer Hack von Berliner Sicherheitsforschern zeigt: Sticks oder anderen USB-Geräten wie externen Tastaturen oder Webcams sollte niemand mehr trauen.

Zwei Mitarbeiter der Security Research Labs (SRLabs) haben eine ganze Familie von neuartigen Angriffen entwickelt, die sich eine Schwachstelle zunutze machen, die fast alle Geräte mit USB-Anschluss gemeinsam haben. Am kommenden Donnerstag werden sie ihre Forschungsergebnisse auf der BlackHat-Konferenz in Las Vegas vorstellen. Zuvor haben sie ZEIT ONLINE und dem Westdeutschen Rundfunk (WDR) erklärt und gezeigt, wie ihre Angriffe funktionieren.

"Beim Thema Sicherheit und USB denkt jeder an Viren, die auf USB-Sticks abgelegt werden", sagt Karsten Nohl, Leiter der SRLabs. "Und genau darum geht es hier nicht. Jedenfalls nicht darum, dass jemand auf dem Speicherchip des USB-Sticks einen Virus lädt und auf jemanden wartet, der dumm genug ist, da draufzuklicken. Wir reden hier von einem Angriff auf einen anderen Chip, der ebenso in jedem USB-Stick steckt, nämlich vom Controller-Chip."

Der Controller-Chip ist so etwas wie der Übersetzer zwischen einem USB-Gerät und dem Computer, an den es angeschlossen wird. Zu diesem Chip gehört eine Firmware – eine Software, die Informationen unter anderem dazu enthält, zu welcher Geräteklasse ein Chip gehört. Diese Firmware schreiben die Berliner um, so dass sie zum Ausgangspunkt für ihre Attacke wird. Wie diese dann im Einzelnen abläuft, hängt vom jeweiligen Gerät ab. Immer gleich ist jedoch der Ansatz: Jedes präparierte USB-Gerät gibt sich als ein anderes aus. Es kann also ganz andere Dinge tun, als ein Nutzer erwartet, wird dabei vom angeschlossenen Computer aber als normales externes Gerät eingestuft – womit alle üblichen Sicherheitsvorkehrungen ausgehebelt werden. 

Ein USB-Stick etwa tut so, als sei er eine Tastatur. Der Nutzer kann zum Beispiel wie gewohnt Dateien auf den Stick ziehen. Im Hintergrund aber öffnet der Stick mit seinen Tastaturfähigkeiten die Eingabemaske des Windows-Startmenüs und schreibt Befehle hinein. Vereinfacht gesagt, baut er auf diesem Wege eine Verbindung zu einem sogenannten Command-and-Control-Server auf, über den der Angreifer dann die Kontrolle über den Rechner übernimmt. Er kann alle Tastatureingaben protokollieren, die Webcam aktivieren und Fotos vom Opfer machen oder auch Screenshots vom Bildschirminhalt anlegen.

Jakob Lell und Henryk Plötz haben die Angriffstechnik entwickelt, zusammen mit Karsten Nohl führen sie eine Attacke in ihrem Berliner Büro vor. Das "Opfer" ist ein WDR-Redakteur in Köln, der einen präparierten USB-Stick an seinen Dienstrechner steckt. Nach einer voreingestellten Zeit – das können 30 Sekunden oder auch zehn Minuten sein – wird die versteckte Funktion aktiv. Sie stellt dann eine Verbindung zum Server von Plötz her. Ab diesem Zeitpunkt kann der Forscher alles auf dem Rechner des Opfers tun, was es selbst auch tun kann. Testweise meldet sich der Redakteur bei einem Webmail-Dienst an. Plötz sieht Benutzernamen und Passwort und verschafft sich ebenfalls Zugang zu dem Postfach. Nebenbei fotografiert er das Opfer heimlich mit der Webcam und schaut nach, welche Websites der Redakteur derzeit noch geöffnet hat. In der ARD-Sendung Monitor wird der Angriff am Donnerstagabend um 21:45 Uhr zu sehen sein.

Die Übernahme des Rechners sei technisch nichts Besonderes, sagt Plötz. Er nutzt dafür das Metasploit Framework, eine bekannte Open-Source-Software für Sicherheitstests. Es gibt raffiniertere Spähsoftware, aber für die Demonstration des Angriffs reicht diese völlig aus.

Viele denkbare Angriffsszenarien

Das Besondere an dem Angriff ist die Art der Infektion. Die ist erstens kaum zu erkennen und zu verhindern. Es gibt keine verseuchte Datei, die ein Antivirenprogramm finden könnte, der Stick kann komplett leer sein. Die meisten USB-Geräte werden ohne jede Rückfrage vom Computer akzeptiert. "Es gibt keinen Mechanismus, der einen USB-Stick davon abhält, eine Tastatur zu werden", sagt Karsten Nohl. "Weil die gleichen Controller-Chips von ganz verschiedenen Stick-Herstellern verwendet werden, muss man sie leicht umprogrammieren können, damit sie mal mit diesem, mal mit jenem Speicherchip funktionieren."

Zweitens ist die Angriffstechnik flexibel. Ein Stick kann eine Tastatur nachahmen, eine Tastatur eine Maus, ein Smartphone eine Netzwerkkarte. "Es gibt Hunderte von Geräteklassen, die sich jetzt alle emulieren lassen", sagt Nohl. "In Sachen Angriffspotenzial sind der Fantasie keine Grenzen gesetzt. Auch weil es keinen Test gibt, der feststellt, ob auf dem USB-Gerät die Original-Firmware läuft oder nicht."

Schadsoftware kann sich auf jedes angeschlossene USB-Gerät kopieren

Für alle Varianten ergeben sich verschiedene Möglichkeiten, ein Opfer zu überwachen. Ein Android-Smartphone etwa ist besonders leicht zu manipulieren, weil es schon alle Treiber installiert hat, die man braucht, um andere USB-Geräte nachzuahmen. Wer jemanden ausspionieren will, bittet einfach darum, sein (präpariertes) Smartphone an dessen PC aufladen zu dürfen. Das Smartphone lässt den angeschlossenen Computer glauben, er sei mit einer USB-Netzwerkkarte, also per Kabel, mit dem Internet verbunden worden. Weil der PC dies einer WLAN-Verbindung immer vorzieht, verabschiedet er sich aus seinem WLAN und leitet allen Internetverkehr durch das vermeintliche Kabel, also durchs Smartphone. Die Malware kann dort Daten abfangen und auch verändern, also zum Beispiel gefälschte Webadressen aufrufen. Jakob Lell denkt dabei an Banking-Trojaner: Wer das Smartphone eines Nutzers und gleichzeitig dessen PC kontrolliert, kann alle Daten abfangen, die zum Onlinebanking per mTAN benötigt werden.

Drittens funktioniert der Angriff plattformübergreifend, also auf Windows- und Linux-Rechnern ebenso wie auf Apple-Computern.

Viertens kann die Schadsoftware so programmiert werden, dass sie sich vom ersten USB-Stick auf einen PC kopiert und von dort auf jedes weitere angeschlossene USB-Gerät. So könnte sie sich sehr schnell verbreiten.

Was die Berliner entwickelt haben, können auch andere entwickeln

Den Angriffen von Lell und Plötz fehlt der letzte Feinschliff. So könnten aufmerksame Beobachter beim Anschluss eines präparierten USB-Sticks an einen Windows-PC bemerken, dass irgendetwas für wenige Sekundenbruchteile aktiv geworden ist. Das geht zwar zu schnell, um es abbrechen zu können, aber es kann reichen, Verdacht zu schöpfen und den PC nicht weiter zu benutzen. Weil aber alles weiterhin normal funktioniert, dürften die meisten Anwender ein kleines Fenster, das sich selbst wieder schließt, ignorieren. Erst recht, wenn die Aktion erst eine Stunde nach dem Einstecken des USB-Sticks beginnt und deshalb von den meisten nicht mehr mit dem Stick in Verbindung gebracht werden dürfte. Solange der Bildschirm nicht gesperrt ist, kann der Angriff starten. Tricks, ihn noch besser zu verschleiern, sind denkbar.

Den Forschern geht es darum, auf die Gefahr aufmerksam zu machen, die von USB-Geräten ausgeht. Wenn sie solche Angriffe entwickeln können, dann können es andere auch – erst recht, wenn sie größere finanzielle und personelle Mittel dazu haben. Lell hat für das Reverse Engineering von zwei verschiedenen Controller-Chips nur ein paar Monate gebraucht, und das ist sogar der aufwändigste Weg, an den Code der Firmware zu kommen. Wer sich bei den Herstellern oder deren Zulieferern einkauft, erreicht das womöglich schneller.

BSI: Solche Manipulationen sind schwer in den Griff zu bekommen

Wer kann nun was gegen diese Gefahr unternehmen? 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ZEIT ONLINE telefonisch zugesichert, diese Frage schriftlich zu beantworten, dies aber bisher nicht getan. Der Sprecher sagte am Telefon, das Problem sei durch "technische und organisatorische Maßnahmen in den Griff zu kriegen". So müsse etwa sichergestellt sein, dass die Firmware von USB-Geräten vertrauenswürdig sei. Andernfalls seien solche Manipulationen "schwer in den Griff zu bekommen". Wie die Abnehmer und Nutzer von USB-Geräten das überprüfen sollen, sagte er nicht.

Die große Lösung wäre eine Änderung des gesamten USB-Standards. Der müsste um Schutzvorkehrungen erweitert werden. "Aber das wird zehn Jahre dauern", sagt Nohl, weil solche Standards immer von vielen beteiligten Parteien entwickelt und beschlossen werden müssen.

Die Hersteller von Controller-Chips müssten deshalb zunächst ihre Produkte so gestalten, dass sie gar nicht oder nur mit ihrer Signatur umprogrammiert werden könnten. Solche Chips gebe es schon, sagt Nohl, aber die Gerätehersteller würden sie nicht kaufen, weil sie etwas teurer seien als die herkömmlichen.

SD-Karten statt USB-Sticks

Unternehmen, Behörden und alle Organisationen, die mit sensiblen Daten arbeiten, müssten ihren Umgang mit USB-Geräten überdenken. Wer zum Beispiel eine Datei auf einem USB-Stick ausgehändigt bekomme, müsse den beteiligten Personen komplett vertrauen können, sagt Nohl – und deren Computern.

USB-Sticks als Medium zum Tausch von Dateien aber hält Nohl grundsätzlich für nicht mehr vertrauenswürdig. Er schlägt vor, auf Sticks zu verzichten und stattdessen SD-Karten zu verwenden. Die könnten nämlich nicht so tun, als seien sie etwas anderes. Voraussetzung dafür ist natürlich, dass die Computer über integrierte Kartenleser verfügen. Oft sind das aber externe Geräte – die über USB angeschlossen werden.

Anwender müssten für ungewöhnliche Vorgänge sensibilisiert werden, zum Beispiel für Fenster auf ihrem Desktop, die sich kurzzeitig öffnen und dann wieder schließen. Wer so etwas bemerkt, sollte seinen Rechner nicht mehr verwenden, bis klar ist, was da gerade passiert ist. Nutzer sollten zudem möglichst nicht mit Administratorrechten arbeiten – die Schadsoftware kann nur tun, was der jeweilige Anwender auch gerade tun darf. Das kann das Ausmaß eines Angriffs zumindest einschränken, verhindern allerdings nicht.