Sicherheitssoftware erkennt USB-Hardware-Keylogger nichtDeshalb sind USB-Keylogger so gefährlich!
Von
Tobias Scheible
6 min Lesedauer
Sie haben sicher schon von Keyloggern gehört - einer Schadsoftware, die alle Tastatureingaben aufzeichnet und an den Angreifer weiterleitet. Dagegen gibt es etablierte Gegenmaßnahmen. Wussten Sie aber, dass diese nicht gegen Hardware Keylogger helfen? Diese werden zwischen Computer und Tastatur gesteckt und sind für das Betriebssystem und Computerprogramme unsichtbar.
Eine Erkennung von USB-Hardware-Keyloggern durch Sicherheitssoftware ist nur sehr schwer möglich, da der Keylogger nicht als eigenständiges Gerät mit dem System interagiert, sondern nur die Datenübertragung der Tastatur mitliest.
(Bild: Tomasz Zajda - stock.adobe.com)
USB-Hardware-Keylogger, die wie Adapter oder Verlängerungskabel aussehen, werden einfach zwischen Tastatur und Computer gesteckt. Der Keylogger zeichnet dann alle Tastatureingaben auf. Nach einer gewissen Zeit, die zwischen einigen Stunden und mehreren Tagen liegen kann, werden die unauffälligen Geräte wieder entfernt und die Angreifer können die abgefangenen Informationen auslesen. Werden Varianten mit WLAN eingesetzt, muss der Angreifer nicht zurückkehren, sondern kann die abgefangenen Informationen von außerhalb des Firmengeländes zu einem beliebigen Zeitpunkt abrufen. Keylogger speichern bereits die ersten Eingaben direkt nach dem Start eines Systems, also auch UEFI/BIOS- oder Pre-Boot BitLocker-Passwörter. Zudem kann Sicherheitssoftware Hardware Keylogger nicht erkennen, da sie die Signale nur aufzeichnen und nicht verändern. Gerade in etwas chaotischen Umgebungen werden solche eingeschmuggelten Logger nicht bemerkt. Wenn unter den Tischen der Computerarbeitsplätze ein Kabelchaos herrscht, fällt ein zusätzlicher Adapter nicht auf.
Keylogger (manchmal auch als KeyGrabber, Tastatur-Tracker oder Keylogger bezeichnet) werden von Cyberkriminellen als Angriffswerkzeug vor Ort eingesetzt. Sie existieren schon so lange, dass es bereits Geräte für die alte runde PS/2-Schnittstelle gab. Unter bestimmten Voraussetzungen werden USB-Hardware-Keylogger aber auch von Arbeitgebern zur Überwachung der Computeraktivitäten ihres Personals eingesetzt. Hierzu hat das Bundesarbeitsgericht mit Urteil vom 27. Juli 2017, Az. 2 AZR 681/16, klargestellt, dass der Einsatz eines Keyloggers nur zulässig ist, wenn ein durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Keylogger können auch von Eltern eingesetzt werden, die die Internetnutzung ihrer Kinder überwachen, um diese zu schützen. Ein weiteres Anwendungsgebiet ist der Einsatz von Keyloggern auf dem eigenen Computer durch den Nutzer selbst zur Überprüfung der eigenen Geräte auf unbefugte Aktivitäten während seiner Abwesenheit.
Bildergalerie
Funktionsweise
USB-Keylogger sind raffinierte, aber gleichzeitig auch sehr einfach aufgebaute Geräte. Sie haben die Form eines Zwischensteckers und sind je nach Ausführung nur ein bis vier Zentimeter groß (ohne USB-Stecker). Auf der einen Seite befindet sich ein USB-A-Stecker, auf der anderen Seite eine USB-A-Buchse. USB-C spielt hier noch keine Rolle, da es bisher nur sehr wenige kabelgebundene USB-C-Tastaturen gibt. Zum Aufladen kabelloser Tastaturen ist USB-C dagegen häufiger anzutreffen.
Intern sind alle vier Ports der USB-Schnittstelle (USB 2.0) miteinander verbunden. Das bedeutet, dass alle vier Verbindungen ohne Unterbrechung vom Stecker zur Buchse geführt werden. Der Grundaufbau ähnelt somit einem Adapter. Der eigentliche Chip des Keyloggers wird über die Stromversorgung der USB-Schnittstelle mit Strom versorgt. Dieser hört (snifft) die Kommunikation auf der Datenverbindung ab und sobald der Befehl einer Tastatureingabe erkannt wird, wird der Buchstabe gespeichert.
Da Tastaturen universell einsetzbar sind und immer funktionieren, sobald sie angeschlossen werden, verwenden sie ein einheitliches Kommunikationsprotokoll zur Übertragung der Tastatureingaben. Da auch der Keylogger dieses Protokoll versteht, kann er die Eingaben von grundsätzlich jeder Tastatur aufzeichnen.
Dabei arbeiten USB Keylogger unabhängig vom Betriebssystem, egal ob Windows, MacOS, Linux oder ein anderes System verwendet wird. Da sie nicht konfiguriert werden müssen, können USB-Hardware-Keylogger ohne spezielle Kenntnisse verwendet werden.
WLAN-Variante
Neben der Offline-Variante gibt es auch USB-Keylogger mit integriertem Funkmodul. Diese sind von der Bauform her nicht größer als die Varianten ohne Funkmodul. Diese können z.B. so konfiguriert werden, dass der Keylogger mit WLAN ein Netzwerk mit versteckter SSID aufbaut. Reicht die Sendeleistung des WLAN bis außerhalb des Firmengeländes, kann ein Angreifer nachts vorbeikommen und von der Straße aus die gespeicherten Tastatureingaben herunterladen. Der Angreifer muss sich also nur einmal physischen Zugang verschaffen, um den Keylogger zu platzieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sind die Zugangsdaten für das WLAN bekannt, kann der Keylogger auch direkt in das Netzwerk eingebunden werden. So wird jeder Tastendruck live über das Internet an einen Server übertrage. Damit muss sich der Angreifer kein zweites Mal in die Nähe begeben. Zusätzlich kann ein automatisches E-Mail-Protokoll aktiviert werden. Dabei werden die abgefangenen Eingaben regelmäßig per E-Mail verschickt. Dies alles kann über ein komfortables Webinterface konfiguriert werden, ohne das viel Know-how benötigt wird.
Fallbeispiele
Da es sich um sehr gezielte Angriffe handelt, die keine Spuren hinterlassen, gibt es keine belastbaren Statistiken mit Fallzahlen. Gleichzeitig melden Unternehmen solche Vorfälle nur selten, so dass es nur sehr wenige Berichte darüber gibt. Daher gibt es im Bereich der USB-Keylogger eine hohe Dunkelziffer. Dennoch sind einige Vorfälle bekannt.
In Deutschland hat ein Fall von Keylogger-Einsatz bei der Tageszeitung taz für Aufsehen gesorgt. Hier wurde ein USB-Keylogger an einem Computer eines Redakteurs gefunden. Um den potenziellen Täter zu überführen, wurde der Keylogger an seinem Platz belassen und beobachtet, wer die Hardware abholte. Es stellte sich heraus, dass ein anderer Mitarbeiter den Keylogger unbemerkt mitnehmen wollte. Der langjährige Redakteur wurde zur Rede gestellt und erhielt Hausverbot. Nach einer Anzeige bei der Polizei und der Durchsuchung seiner Privatwohnung wurde nur noch bekannt, dass sich der Beschuldigte ins Ausland abgesetzt hatte.
Ein weiterer Vorfall ereignete sich an der University of Iowa. Hier hatte ein Student plötzlich bessere Noten im Zeugnis, als er tatsächlich nach der Prüfung bekommen hatte. Dieses Phänomen trat dann auch bei anderen Studierenden auf. Nachforschungen ergaben dann, dass er im Besitz von Zugangsdaten der Professoren war. Diese hatte er mit Hilfe eines USB-Keyloggers erlangt. Die Universität exmatrikulierte den Studenten, das FBI verhaftete ihn. Neben einer Geldstrafe droht ihm auch eine Haftstrafe.
Wie oben beschrieben, ist eine Erkennung nur sehr schwer möglich, da der USB-Keylogger nicht als eigenständiges Gerät mit dem System interagiert, sondern nur die Datenübertragung mitliest. Theoretisch könnte der zusätzliche Keylogger durch den erhöhten Stromverbrauch am USB-Port erkannt werden. In der Praxis gibt es dafür aber keine integrierte Möglichkeit, so dass dies im Alltag kaum eine Rolle spielt.
Lediglich das Ab- und Anstecken der Tastatur führt zu einem Ereignis auf dem Rechner. Dieses könnte an zentraler Stelle protokolliert und gemeldet werden. Tritt ein solches Ereignis außerplanmäßig auf, könnte der Arbeitsplatz daraufhin untersucht werden. Je nach Unternehmensstruktur ist dies in der Praxis ein gangbarer Weg.
Anders sieht es bei der WLAN-Variante der Keylogger aus. Hier kann neben der bestehenden Infrastruktur ein zusätzliches WLAN gesucht werden. Viele Anbieter von WLAN-Infrastruktur bieten eine solche Möglichkeit an, um weitere Access Points zu erkennen und zu protokollieren. Hier spielt auch die versteckte SSID keine Rolle, da diese Netze genauso erkannt werden können. Anhand der Signalstärke und des Access Points in Reichweite kann die Position fremder WLANs eingegrenzt werden. Befindet sich das Signal innerhalb des Unternehmens und kann nicht von außen kommen, bleibt die Signalstärke immer in einem ähnlichen Bereich und ist es auch über Nacht aktiv, sollte dem nachgegangen werden. Unabhängig davon, ob ein Keylogger vermutet wird oder nicht, sollten unbekannte WLANs untersucht werden.
Bildergalerie
Schutzmaßnahmen
Grundsätzlich sind nur Tastaturen mit USB-Anschluss betroffen. Bei Funktastaturen ist dies auch der Fall, wenn ein USB-Dongle vorhanden ist, der wieder normale Tastatursignale ausgibt. Bluetooth-Tastaturen und natürlich integrierte Notebook-Tastaturen sind nicht betroffen. Achten Sie aber auch auf Dockingstations, an denen USB-Tastaturen angeschlossen sind, diese werden oft in Sicherheitsstrategien nicht mit einbezogen.
Eine pauschale Gegenmaßnahme gegen USB-Hardware-Keylogger ist nur schwer umzusetzen. Hier wird vor allem auf präventive Maßnahmen gesetzt. Bei öffentlich zugänglichen Computern sollten diese durch bauliche Maßnahmen so geschützt werden, dass die USB-Ports nicht zugänglich sind und die Tastatur nicht einfach abgezogen werden kann. Der Klassiker ist hier ein Schreibtisch mit einer Öffnung für die Kabel, die in den unteren Teil führt, der verschlossen ist und in dem der Rechner steht.
Auch wenn manche es nicht gerne hören wollen: Ein aufgeräumter Arbeitsplatz mit gutem Kabelmanagement schafft Übersicht. Und neu installierte und fremde Hardware wie USB-Keylogger werden vom Personal leichter entdeckt. Gleichzeitig sollten USB-Keylogger in die regelmäßigen Security-Awareness-Schulungen aufgenommen werden. Denn das Personal hat oft den Erstkontakt und ist daher für eine effektive IT-Sicherheit unverzichtbar.
Über den Autor: Tobias Scheible ist leidenschaftlicher Informatiker, Sicherheitsforscher und Referent für Cyber Security und IT-Forensik und bloggt unter scheible.it. Er ist Dozent an der Hochschule für Polizei Baden-Württemberg. Darüber hinaus hält er Vorträge und Workshops für Verbände und Unternehmen und hat sich in seinem Buch „Hardware & Security“ intensiv mit dem Thema Hacking- und Pentest-Hardware auseinandergesetzt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/c0/ea/c0ea1246b8ffc117bf84eae7bde7750b/0116168564v3.jpeg "USB-Hardware-Keylogger, der zwischen Tastatur und Computer gesteckt wird.(Bild: Tobias Scheible)")
:quality(80)/p7i.vogel.de/wcms/b2/f8/b2f809217b39a9f7c41c9c9e51b8c8e2/0116168568v3.jpeg "Unauffälliger USB-Keylogger, getarnt als USB-Verlängerungskabel(Bild: Tobias Scheible)")
:quality(80)/p7i.vogel.de/wcms/be/f3/bef365fb96d93ca18196d3c3c303eb99/0116168562v4.jpeg "USB-Keylogger-Modul zum Einbau in vorhandene Tastaturen.(Bild: Tobias Scheible)")
:quality(80)/p7i.vogel.de/wcms/05/09/0509242e10bcf67c253df37e17dcde1b/0116168565v4.jpeg "USB-Keylogger mit integriertem WLAN-Modul zur Fernabfrage.(Bild: Tobias Scheible)")
:quality(80)/images.vogel.de/vogelonline/bdb/738000/738032/original.jpg "Detektiv Jochen Meismann von der Detektei A Plus ist darauf spezialisiert, Industriespione zu enttarnen. (Detektei A Plus)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/df/5f/df5fda91807d41b8fe2e24f03714bb78/0126602956v1.jpeg "Qubes OS kombiniert mit Whonix: Durch Isolation und Tor-Routing entsteht eine besonders sichere und anonyme Umgebung für den Alltagseinsatz. (Bild: Dall-E / KI-generiert)")