BadUSB ist ein Angriff, bei dem die Firmware eines USB-Geräts manipuliert wird, sodass es sich beim Einstecken als anderes Gerät (z. B. Tastatur) ausgibt und automatisch Schadcode ausführt. Der Angriff ist besonders tückisch, weil das Gerät äußerlich unverändert aussieht.
Im ISMS adressieren ISO 27001 Annex A Controls A.7.9 (Sicherheit von Betriebsmitteln außerhalb der Geschäftsräume) und A.8.1 (User Endpoint Devices) dieses Risiko. Gegenmaßnahmen umfassen USB-Port-Kontrolle über Gruppenrichtlinien oder Endpoint-Security-Software, Deaktivierung nicht benötigter USB-Klassen und Awareness-Schulungen zum Umgang mit unbekannten USB-Geräten. In Hochsicherheitsbereichen kann die vollständige Deaktivierung von USB-Ports oder der Einsatz von USB-Datenschleusen sinnvoll sein.