BadbUSB-Schutz für Windows von G Data und Kaspersky

Unter Windows können sich Anwender mit dem kostenlosen Tool USB Keyboard Guard von der Sicherheitsfirma G Data vor BadUSB-Angriffen schützen. Es kann auf der Hersteller-Website mit einem Klick auf "Download anfordern" heruntergeladen werden. Die etwas verwirrende Abfrage des Namens und der E-Mail-Adresse über dem Button können einfach ignoriert werden.

Nach der Installation und einem Neustart ist das Tool aktiv und fragt bei jeder unbekannten Tastatur mit einem Pop-up-Fenster nach, ob diese zugelassen oder blockiert werden soll. Soll sie zugelassen werden, muss der Nutzer zudem einen vierstelligen Code angeben.

Unsere Zweit-Tastatur erkennt der USB Keyboard Guard zuverlässig und blockiert sie bereits bei einem Login-Versuch. Sollte die Tastatur kaputtgehen, ist ein Login weiterhin über die Bildschirmtastatur, die per Maus oder Touch bedient werden kann, oder über eine weitere, bereits zuvor erlaubte Tastatur möglich.

Wir testen das Tool von G Data mit unseren Angriffen: Malduino und Bash Bunny werden zuverlässig erkannt und blockiert. Der BadUSB-Schutz ist laut G Data auch in den Kaufversionen der hauseigenen Sicherheitssoftware enthalten – sowohl in der privaten als auch in der Business-Lösung.

Kaspersky bietet BadUSB-Schutz nur für Unternehmen

Ausschließlich an Firmen richtet sich der BadUSB-Schutz von Kaspersky, der sich in Kaspersky Endpoint Security for Business (KES) aktivieren lässt. Die Software lässt sich auf allen Clients im Firmennetzwerk installieren und kann zentral über einen Server (Kaspersky Security Center) gesteuert werden. Die Software lässt sich aber auch einzeln auf einem Rechner installieren, das BadUSB-Modul wird jedoch nicht standardmäßig mitinstalliert. Für unseren Test wählen wir es aus und aktivieren die Software mit einer Testlizenz.

Tastaturen und BadUSB-Sticks werden zuverlässig erkannt. Um sie zu aktivieren, müssen wir wie bei G Data einen vierstelligen Code eingeben. Die Tastaturen können dann ebenfalls dauerhaft verwendet werden. Kaspersky bietet zudem die Möglichkeit, auch die Eingaben via Bildschirmtastatur zu sperren. Wird die Option aktiviert, sollte der Nutzer auf jeden Fall eine zweite Tastatur hinterlegen.

Kasperskys Endpoint Security for Business kann nicht einzeln, sondern nur in einem Software-Gesamtpaket erstanden werden. Das günstigste Paket Select enthält unter anderem die Serversoftware, mit der die Einstellungen zentral verwaltet werden können. Es kostet direkt beim Anbieter 325 Euro im Jahr für fünf Clients. In der Sicherheitssoftware für Privatanwender ist der BadUSB-Schutz laut Kaspersky nicht enthalten.

Fazit

Die Angriffe mit Malduino, Bash Bunny oder Rubber Ducky sind geradezu gruselig einfach durchzuführen. Einfache Scripte sind in kürzester Zeit geschrieben, neben dem Öffnen von Golem.de kann so auch Schadsoftware heruntergeladen und ausgeführt werden. Auch aufwendigere Angriffsszenarien sind problemlos umsetzbar – und mit etwas mehr Geduld und Erfahrung klappt dies auch mit herkömmlichen USB-Geräten – die sogar vom potenziellen Opfer stammen und an einem PC unbemerkt umprogrammiert werden können.

Dass die Gefahr durchaus real und vielfältig ist, konnten wir in unseren Tests zeigen. Neben dem kompletten Verzicht auf USB-Geräte und -Ports, der nur in extremen Szenarien umsetzbar sein dürfte, hilft nur ein Schutz über Sicherheitssoftware, die mindestens USB-Tastaturen blockiert und per Whitelist erlaubt. Dazu kommen USB-Geräte, die mit signierter Firmware arbeiten und so nicht angreifbar sind. Die Geräte sind allerdings selten und teuer.

Insgesamt überzeugt uns der Ansatz des USBGuards aus der Sicherheitsperspektive am meisten. Solange der Nutzer selbst keine schädlichen USB-Geräte zulässt, ist er umfassend vor BadUSB-Angriffen geschützt. Noch nicht ganz ausgereift wirkt der von Gnome implementierte Schutz, der sich jedoch noch in der Entwicklung befindet. Den Ansatz, den Schutz einfach zu halten und direkt ins Betriebssystem zu integrieren, halten wir jedenfalls für am vielversprechendsten.

Auch unter Windows überzeugt uns insbesondere der kostenlose USB Keyboard Guard von G Data. Dieser schützt zuverlässig vor Schadtastaturen. Gleiches gilt für Kasperskys Endpoint Security, die jedoch kostenpflichtig ist und sich ausschließlich an Unternehmen richtet.

Insbesondere USBGuard und die Lösung von Kaspersky sind es jedoch nicht ungefährlich. Denn es besteht das Risiko, sich komplett aus dem eigenen Rechner auszusperren, wenn beispielsweise nur eine Tastatur erlaubt wurde und diese kaputtgegangen ist. Dann ist der Rechner zwar nach wie vor sicher vor BadUSB-Angriffen – aber eben auch vor dem Nutzer selbst. Dennoch halten wir den Schutz insbesondere bei gefährdeten Personen oder im Unternehmensspektrum für zentral.