Für alle Varianten ergeben sich verschiedene Möglichkeiten, ein Opfer zu überwachen. Ein Android-Smartphone etwa ist besonders leicht zu manipulieren, weil es schon alle Treiber installiert hat, die man braucht, um andere USB-Geräte nachzuahmen. Wer jemanden ausspionieren will, bittet einfach darum, sein (präpariertes) Smartphone an dessen PC aufladen zu dürfen. Das Smartphone lässt den angeschlossenen Computer glauben, er sei mit einer USB-Netzwerkkarte, also per Kabel, mit dem Internet verbunden worden. Weil der PC dies einer WLAN-Verbindung immer vorzieht, verabschiedet er sich aus seinem WLAN und leitet allen Internetverkehr durch das vermeintliche Kabel, also durchs Smartphone. Die Malware kann dort Daten abfangen und auch verändern, also zum Beispiel gefälschte Webadressen aufrufen. Jakob Lell denkt dabei an Banking-Trojaner: Wer das Smartphone eines Nutzers und gleichzeitig dessen PC kontrolliert, kann alle Daten abfangen, die zum Onlinebanking per mTAN benötigt werden.

Drittens funktioniert der Angriff plattformübergreifend, also auf Windows- und Linux-Rechnern ebenso wie auf Apple-Computern.

Viertens kann die Schadsoftware so programmiert werden, dass sie sich vom ersten USB-Stick auf einen PC kopiert und von dort auf jedes weitere angeschlossene USB-Gerät. So könnte sie sich sehr schnell verbreiten.

Was die Berliner entwickelt haben, können auch andere entwickeln

Den Angriffen von Lell und Plötz fehlt der letzte Feinschliff. So könnten aufmerksame Beobachter beim Anschluss eines präparierten USB-Sticks an einen Windows-PC bemerken, dass irgendetwas für wenige Sekundenbruchteile aktiv geworden ist. Das geht zwar zu schnell, um es abbrechen zu können, aber es kann reichen, Verdacht zu schöpfen und den PC nicht weiter zu benutzen. Weil aber alles weiterhin normal funktioniert, dürften die meisten Anwender ein kleines Fenster, das sich selbst wieder schließt, ignorieren. Erst recht, wenn die Aktion erst eine Stunde nach dem Einstecken des USB-Sticks beginnt und deshalb von den meisten nicht mehr mit dem Stick in Verbindung gebracht werden dürfte. Solange der Bildschirm nicht gesperrt ist, kann der Angriff starten. Tricks, ihn noch besser zu verschleiern, sind denkbar.

Den Forschern geht es darum, auf die Gefahr aufmerksam zu machen, die von USB-Geräten ausgeht. Wenn sie solche Angriffe entwickeln können, dann können es andere auch – erst recht, wenn sie größere finanzielle und personelle Mittel dazu haben. Lell hat für das Reverse Engineering von zwei verschiedenen Controller-Chips nur ein paar Monate gebraucht, und das ist sogar der aufwändigste Weg, an den Code der Firmware zu kommen. Wer sich bei den Herstellern oder deren Zulieferern einkauft, erreicht das womöglich schneller.

BSI: Solche Manipulationen sind schwer in den Griff zu bekommen

Wer kann nun was gegen diese Gefahr unternehmen? 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ZEIT ONLINE telefonisch zugesichert, diese Frage schriftlich zu beantworten, dies aber bisher nicht getan. Der Sprecher sagte am Telefon, das Problem sei durch "technische und organisatorische Maßnahmen in den Griff zu kriegen". So müsse etwa sichergestellt sein, dass die Firmware von USB-Geräten vertrauenswürdig sei. Andernfalls seien solche Manipulationen "schwer in den Griff zu bekommen". Wie die Abnehmer und Nutzer von USB-Geräten das überprüfen sollen, sagte er nicht.

Die große Lösung wäre eine Änderung des gesamten USB-Standards. Der müsste um Schutzvorkehrungen erweitert werden. "Aber das wird zehn Jahre dauern", sagt Nohl, weil solche Standards immer von vielen beteiligten Parteien entwickelt und beschlossen werden müssen.

Die Hersteller von Controller-Chips müssten deshalb zunächst ihre Produkte so gestalten, dass sie gar nicht oder nur mit ihrer Signatur umprogrammiert werden könnten. Solche Chips gebe es schon, sagt Nohl, aber die Gerätehersteller würden sie nicht kaufen, weil sie etwas teurer seien als die herkömmlichen.

SD-Karten statt USB-Sticks

Unternehmen, Behörden und alle Organisationen, die mit sensiblen Daten arbeiten, müssten ihren Umgang mit USB-Geräten überdenken. Wer zum Beispiel eine Datei auf einem USB-Stick ausgehändigt bekomme, müsse den beteiligten Personen komplett vertrauen können, sagt Nohl – und deren Computern.

USB-Sticks als Medium zum Tausch von Dateien aber hält Nohl grundsätzlich für nicht mehr vertrauenswürdig. Er schlägt vor, auf Sticks zu verzichten und stattdessen SD-Karten zu verwenden. Die könnten nämlich nicht so tun, als seien sie etwas anderes. Voraussetzung dafür ist natürlich, dass die Computer über integrierte Kartenleser verfügen. Oft sind das aber externe Geräte – die über USB angeschlossen werden.

Anwender müssten für ungewöhnliche Vorgänge sensibilisiert werden, zum Beispiel für Fenster auf ihrem Desktop, die sich kurzzeitig öffnen und dann wieder schließen. Wer so etwas bemerkt, sollte seinen Rechner nicht mehr verwenden, bis klar ist, was da gerade passiert ist. Nutzer sollten zudem möglichst nicht mit Administratorrechten arbeiten – die Schadsoftware kann nur tun, was der jeweilige Anwender auch gerade tun darf. Das kann das Ausmaß eines Angriffs zumindest einschränken, verhindern allerdings nicht.