netCrew Logo

Rubber Ducky

Nicht jede Ente ist niedlich.
Home 
» 
Blog 
» 
Rubber Ducky
In diesem Beitrag
Primary Item (H2)

In der Welt der Cybersecurity gilt oft die Regel: Was harmlos aussieht, kann gefährlicher sein als jede Schadsoftware im Internet. Ein Paradebeispiel dafür ist der sogenannte Rubber Ducky - ein unscheinbarer USB-Stick, der aussieht wie jedes andere Speichergerät, aber in Wahrheit ein hochentwickeltes Angriffswerkzeug ist.
Seit seiner Vorstellung hat der Rubber Ducky sowohl in der Sicherheitsforschung als auch bei Hackern weltweit für Aufsehen gesorgt. In diesem Artikel erfährst du, was genau hinter diesem Gerät steckt, wie es funktioniert, welche Risiken es birgt und wie du dich effektiv davor schützen kannst.

Was ist ein Rubber Ducky?

Der Begriff Rubber Ducky bezeichnet kein Spielzeug oder witziges Gimmick, sondern ein spezielles Penetration-Testing-Werkzeug, das wie ein gewöhnlicher USB-Stick aussieht, tatsächlich aber eine Tastatur-Emulation ist.
Das bedeutet: Sobald der Rubber Ducky an einen Computer angeschlossen wird, erkennt das System ihn nicht als Speichergerät, sondern als USB-Tastatur. Und genau hier liegt der Trick.

Da Betriebssysteme Eingabegeräte wie Tastaturen automatisch als vertrauenswürdig einstufen, kann der Rubber Ducky in Sekunden vordefinierte Tastatureingaben simulieren - also Befehle ausführen, Fenster öffnen, Daten kopieren oder Malware installieren - ohne, dass der Benutzer etwas merkt.

Er wird deshalb häufig als BadUSB-Gerät bezeichnet, eine Sammelbezeichnung für USB-Hardware, die sich als etwas anderes ausgibt, als sie vorgibt zu sein.

Links: Rubber Ducky USB-Stick. Sieht aus, wie jeder beliebige USB-Speicherstick. Rechts: Rubber Ducky von innen, mit Micro SD-Karte und Taster zum Aktivieren und Deaktivieren.

Wie funktioniert ein Rubber Ducky?

Die Funktionsweise ist verblüffend einfach und dennoch höchst effektiv.
Im Inneren des Geräts steckt ein kleiner Mikrocontroller (meist ein ATmega32U4 oder ähnlich), der Tastatureingaben in Hochgeschwindigkeit simulieren kann.

Das Verhalten des Rubber Ducky wird durch ein Skript, das sogenannte Ducky Script, gesteuert. Dieses Skript wird auf einer SD-Karte gespeichert und beim Einstecken automatisch ausgeführt.

Ein einfaches Beispiel für ein Ducky Script könnte so aussehen:

DELAY 1000
GUI r
STRING cmd
ENTER
STRING net user hacker Passwort123 /add
ENTER

Dieses kurze Skript öffnet die Windows-Kommandozeile, erstellt einen neuen Benutzer namens "hacker" und weist ihm ein Passwort zu - alles in weniger als fünf Sekunden.
Kein Antivirenprogramm würde diesen Vorgang blockieren, da es sich scheinbar nur um legitime Tastatureingaben handelt.

Was ist Ducky Script?

Ducky Script ist die Programmiersprache, die den Rubber Ducky steuert. Sie ist bewusst sehr einfach gehalten, sodass auch Anwender ohne Programmierkenntnisse leicht Angriffs- oder Test-Skripte erstellen können.

Die wichtigsten Befehle sind:

  • STRING: Gibt eine Textzeichenfolge aus (z. B. Befehle oder URLs)
  • DELAY: Wartet eine bestimmte Zeit in Millisekunden
  • ENTER / TAB / GUI / CTRL / ALT: Simuliert Tastendrücke
  • REM: Fügt Kommentare ein
  • REPEAT: Wiederholt den letzten Befehl mehrfach

Mit diesen simplen Befehlen lassen sich komplexe Angriffsszenarien abbilden.
Von der Installation von Hintertüren über den Download von Schadsoftware bis hin zum Exfiltrieren von Daten - alles ist möglich, solange es über Tastatureingaben steuerbar ist.

Beispielhafte Angriffsszenarien mit Rubber Ducky

Der Rubber Ducky ist kein theoretisches Konstrukt - in vielen Sicherheitslabors und Penetrationstests wurde bereits gezeigt, wie gefährlich das Gerät in der Praxis sein kann.

Hier sind einige typische Angriffsszenarien:

  • Diebstahl von Zugangsdaten
    Das Skript kann ein Terminal öffnen, Browser-Cookies oder gespeicherte Passwörter exportieren und an einen externen Server senden.
  • Manipulation von Systemeinstellungen
    In wenigen Sekunden lassen sich Administratorrechte aktivieren, Firewalls deaktivieren oder Sicherheitsrichtlinien ändern.
  • Download und Ausführung von Malware
    Über PowerShell oder Bash können Dateien aus dem Internet heruntergeladen und gestartet werden - ganz ohne Benutzerinteraktion.
  • Versteckte Hintertüren einbauen
    Angreifer können Benutzerkonten erstellen, Remote-Tools installieren oder Zeitbomben platzieren, die erst später aktiv werden.
  • Social Engineering in Kombination mit Rubber Ducky
    Wird der Stick als Werbegeschenk oder vermeintlicher Fundgegenstand verteilt, können ahnungslose Mitarbeiter unwissentlich selbst den Angriff auslösen.

Warum Rubber Ducky so gefährlich ist

Die größte Gefahr des Rubber Ducky liegt in seiner Täuschungskraft. Er sieht aus wie ein normales Gadget, funktioniert aber als Angriffsmotor.
Darüber hinaus:

  • Er benötigt keine Internetverbindung, um Schaden anzurichten.
  • Er umgeht viele Sicherheitsmaßnahmen, da Betriebssysteme ihm blind vertrauen.
  • Er ist schnell - viele Angriffe dauern nur wenige Sekunden.
  • Er ist schwer nachzuverfolgen, da keine Dateiinfektion erfolgt.

Gerade in Unternehmen mit vielen Mitarbeitern oder öffentlichen Arbeitsplätzen (z. B. Bibliotheken, Behörden, Co-Working-Spaces) ist das Risiko hoch, dass jemand einen manipulierten USB-Stick einsteckt - aus reiner Neugier oder Gewohnheit.

Rubber Ducky und Penetration Testing

Trotz seines bedrohlichen Potenzials wird der Rubber Ducky nicht nur von Cyberkriminellen, sondern auch von Ethical Hackern und IT-Sicherheitsfirmen eingesetzt.
Im Rahmen sogenannter Red-Team-Übungen dient er dazu, reale Angriffswege zu simulieren und die Reaktionsfähigkeit eines Unternehmens zu testen.

Das Ziel solcher Tests ist es, Schwachstellen im menschlichen Verhalten aufzudecken - nicht unbedingt technische Sicherheitslücken.
Denn in vielen Fällen ist der Mensch der einfachste Angriffspunkt.

Ein Mitarbeiter, der einen gefundenen USB-Stick an seinen Arbeitsrechner anschließt, kann unbewusst eine ganze Sicherheitskette durchbrechen.

Schutzmaßnahmen gegen Rubber Ducky-Angriffe

Die gute Nachricht: Es gibt effektive Wege, sich vor Rubber-Ducky-Angriffen zu schützen - sowohl auf organisatorischer als auch auf technischer Ebene.

Technische Schutzmaßnahmen:

  • USB-Geräte-Whitelisting: Nur bekannte und zugelassene USB-Geräte dürfen sich verbinden.
  • Deaktivierung von USB-Ports: Besonders in sicherheitskritischen Umgebungen.
  • Endpoint Security-Lösungen: Moderne EDR-Systeme können verdächtige Tastatureingaben oder PowerShell-Aktivitäten erkennen.
  • Hardware-ID-Überwachung: Überprüfen, ob ein USB-Gerät tatsächlich eine Tastatur ist.
  • BIOS/UEFI-Einstellungen: USB-Boot und unautorisierte Geräte können hier deaktiviert werden.

Organisatorische Schutzmaßnahmen:

  • Sensibilisierung und Schulungen: Mitarbeiter müssen lernen, keine unbekannten Geräte zu verwenden.
  • Security Policies: Klare Regeln für den Umgang mit externen Datenträgern.
  • Zentrale USB-Management-Systeme: Geräteverwaltung auf Netzwerkebene.
  • Physische Sicherheit: USB-Ports an kritischen Systemen können abgedeckt oder blockiert werden.

Vergleich verschiedener Schutzstrategien

Schutzstrategie
Vorteile
Nachteile
USB-Port-Deaktivierung
Hohe Sicherheit, kein Risiko durch externe Geräte
Eingeschränkte Nutzung legitimer Geräte
Geräte-Whitelisting
Flexible Kontrolle über autorisierte Hardware
Administrativer Aufwand, regelmäßige Pflege notwendig
EDR-/Endpoint-Lösungen
Erkennung verdächtiger Aktivitäten in Echtzeit
Kosten und mögliche Performance-Einbußen
Mitarbeiterschulung
Sensibilisiert langfristig für Sicherheitsbewusstsein
Erfordert kontinuierliche Wiederholung und Kontrolle

Der rechtliche Aspekt: Besitz und Nutzung von Rubber Ducky

Der Besitz eines Rubber Ducky ist in Deutschland nicht illegal, da es sich technisch gesehen um ein Werkzeug handelt - ähnlich wie bei einem Schraubenzieher, der sowohl für Reparaturen als auch für Einbrüche verwendet werden kann.

Die Nutzung zu illegalen Zwecken, also um unbefugt Systeme zu manipulieren oder Daten zu stehlen, ist jedoch strafbar nach §202a ff. StGB (Datenausspähung und -veränderung).

Sicherheitsforscher dürfen Rubber-Ducky-Geräte nur mit Zustimmung des betroffenen Unternehmens oder Systems einsetzen.
Im Rahmen eines Penetration Tests oder Security Audits sind solche Tests zulässig und sogar gewünscht, um reale Angriffsszenarien zu simulieren.

Zukunft von BadUSB-Angriffen

Mit der zunehmenden Vernetzung und der Verbreitung von IoT-Geräten nimmt auch die Angriffsfläche für USB-basierte Attacken zu.
Neue Varianten des Rubber Ducky, wie die „Bash Bunny“ oder der „O.MG Cable“, erweitern das Konzept um WLAN- oder Bluetooth-Fähigkeiten.

Diese Geräte können Fernzugriffe ermöglichen, Befehle über das Netzwerk empfangen oder sich tarnen, sobald sie erkannt werden.
Das bedeutet: Die Bedrohung entwickelt sich weiter - und Sicherheitsstrategien müssen Schritt halten.

O.MG Cable. Kein Unterschied in Verarbeitung, Gewicht und Haptik zu einem "normalen" USB Kabel.
Bietet dieselben Funktionen wie ein Rubber Ducky und hat zusätzlich einen Wireless Access Point und einen Webserver integriert.

Nicht jede Ente ist harmlos

Der Rubber Ducky zeigt auf eindrucksvolle Weise, wie einfach sich das Vertrauen in Hardware ausnutzen lässt.
Ein unscheinbarer USB-Stick kann innerhalb weniger Sekunden ein komplettes System kompromittieren - ohne Malware, ohne Download, nur mit simulierten Tastatureingaben.

Deshalb ist Aufklärung entscheidend:
Technische Schutzmaßnahmen allein reichen nicht aus, wenn das Sicherheitsbewusstsein fehlt. Nur wer versteht, wie Angriffe funktionieren, kann sie effektiv verhindern.

Eines steht fest: Nicht jede Ente ist niedlich - und diese ganz bestimmt nicht.

Weitere Themen:
Virtualisierung
,
Netzwerksegmentierung als Schutzmaßnahme
richtig umgesetzt für maximale IT-Sicherheit
Kein Zutritt
, ,
Microsoft Entra ID
Die neue Ära des Identitäts­managements
classified document
,
Datenschutz bei generativer KI
So schützen Unternehmen Daten und erfüllen rechtliche Anforderungen
Schatten-IT
,
Schatten-IT
Die Herausforderung im eigenen Netz
Sie haben Fragen oder suchen Unterstützung bei Ihrer IT?
KONTAKTIEREN SIE UNS
chevron-upmenu-circlecross-circle