Der USB Rubber Ducky von Hak5 ist ein sogenanntes Keystroke Injection-Gerät: Es tarnt sich als normaler USB-Stick, meldet sich beim Anschluss jedoch als HID-Tastatur (Human Interface Device) am Betriebssystem an. Da Betriebssysteme Tastaturen als vertrauenswürdige Eingabequellen behandeln, ohne Zertifikate oder Benutzerinteraktion zu verlangen, kann das Gerät vorprogrammierte Befehle mit hoher Geschwindigkeit ausführen — unsichtbar für den Benutzer und ohne zusätzliche Treiber.
Technisches Funktionsprinzip: HID-Angriff und Betriebssystemvertrauen
Das Kernprinzip des Rubber Ducky basiert auf einem Sicherheitsdesign-Kompromiss: Betriebssysteme (Windows, macOS, Linux) müssen Tastaturen sofort und ohne Authentifizierung akzeptieren, da ein System andernfalls bei einem verlorenen Treiber unbenutzbar würde. Dieses Vertrauen nutzt das Gerät aus.
Nach dem Anschließen meldet sich der Rubber Ducky als Standard-HID-Tastatur an und beginnt innerhalb von Sekunden, ein vorher auf die Micro-SD-Karte geladenes Skript auszuführen. Die neueste Version unterstützt DuckyScript 3.0 — eine strukturierte Skriptsprache mit Variablen, Schleifen, Bedingungen und Erweiterungen. Typische Operationen in legitimen Pentests:
- Öffnen einer Administrator-Kommandozeile durch Tastenkombinationen
- Herunterladen und Ausführen eines Testpayloads
- Abrufen von Systeminformationen für die Berichterstattung
- Demonstrieren von Credential-Harvesting-Szenarien in kontrollierten Umgebungen
Einsatzgebiete in der Cybersicherheit
Der USB Rubber Ducky wurde primär für autorisierte Penetrationstests und Sicherheitsschulungen entwickelt. Legitime Anwendungsfälle umfassen:
- Red-Team-Tests: Überprüfung, ob ein Angreifer mit physischem Zugang in einer Minute einen Windows-PC kompromittieren kann — bevor Sicherheitsteams Gegenmaßnahmen einführen
- Sicherheitsbewusstsein: Demonstration für Mitarbeiter, warum fremde USB-Geräte nicht angeschlossen werden dürfen
- Laborübungen: Reproduzierbare Angriffsszenarien in Schulungsumgebungen ohne manuelle Fehlerquellen
Wichtig: Der Einsatz des Rubber Ducky gegen Systeme ohne ausdrückliche schriftliche Genehmigung des Eigentümers ist in Deutschland nach § 202a und § 303b StGB strafbar.
Schutzmaßnahmen gegen HID-Angriffe und physische USB-Bedrohungen
Für Unternehmen und Administratoren, die sich gegen HID-basierende Angriffe absichern wollen:
- USB-Geräteverwaltung über Gruppenrichtlinien: Unter Windows können nicht genehmigte HID-Geräte über Device Installation Restrictions blockiert werden
- Endpoint-Security mit USB-Kontrolle: Lösungen wie Microsoft Defender for Endpoint, CrowdStrike oder Carbon Black ermöglichen granulare Steuerung, welche USB-Geräte-Klassen zugelassen sind
- Physischer Zugangsschutz: Workstations in Empfangsbereichen, Meetingräumen und öffentlich zugänglichen Zonen sind besonders gefährdet — physische Sicherheit ist die erste Verteidigungslinie
- Mitarbeiterschulung: Klare Richtlinie, dass keine unbekannten USB-Geräte — unabhängig von deren Aussehen — an Unternehmensgeräte angeschlossen werden dürfen
Der USB Rubber Ducky verdeutlicht ein grundlegendes Sicherheitsproblem: Das Vertrauen, das Betriebssysteme in physisch angeschlossene Geräte setzen, lässt sich durch kostengünstige Hardware in Sekunden missbrauchen. Wer Penetrationstests plant oder Mitarbeiter für physische Angriffsvektoren sensibilisieren will, findet in der offiziellen Hak5-Dokumentation einen strukturierten Einstieg — immer im Rahmen autorisierter Testumgebungen.
