Autorun (auch AutoRun) ist eine Windows-Funktion, die beim Einlegen eines Datenträgers oder Anschließen eines USB-Geräts automatisch ein in der Datei autorun.inf hinterlegtes Programm ausführt – ohne jede Nutzerinteraktion. Die Funktion wurde ursprünglich für CDs und DVDs entwickelt, um Installations-Assistenten und Multimedia-Menüs komfortabel zu starten. Da Autorun jedoch auch von Schadsoftware missbraucht wurde, um sich automatisch und unbemerkt zu verbreiten, hat Microsoft die Funktion für USB-Geräte mit Windows 7 weitgehend deaktiviert. Heute unterscheidet Windows strikt zwischen dem sicherheitskritischen Autorun (automatische Programmausführung) und dem harmlosen AutoPlay (Dialogfenster mit Optionsauswahl).
Autorun vs. AutoPlay: Ein wichtiger Unterschied
Die beiden Begriffe werden häufig verwechselt, beschreiben aber grundlegend verschiedene Verhaltensweisen:
| Merkmal | Autorun | AutoPlay |
|---|---|---|
| Aktion | Führt Programm automatisch aus (autorun.inf) | Zeigt Dialogfenster mit Optionsauswahl |
| Nutzerinteraktion | Keine – läuft ohne Bestätigung | Nutzer wählt Aktion selbst aus |
| Sicherheitsrisiko | Hoch – Einfallstor für Malware | Gering – Nutzer trifft Entscheidung |
| Status in Windows 7+ | Für USB-Geräte deaktiviert | Weiterhin aktiv (aber deaktivierbar) |
| Status bei CDs/DVDs | Noch möglich, aber selten genutzt | Aktiv |
Kurz gesagt: Autorun führt aus, AutoPlay fragt nach. Nur Autorun stellt ein echtes Sicherheitsproblem dar. AutoPlay ist sicher, solange der Nutzer keine verdächtigen Optionen auswählt.
Wie autorun.inf funktioniert
Die Datei autorun.inf ist eine einfache Textdatei im Stammverzeichnis eines Datenträgers. Sie teilt Windows mit, was beim Einlegen oder Anschließen automatisch passieren soll. Ein typischer Aufbau:
[AutoRun]
open=setup.exe
icon=setup.ico
label=Mein Programm
Der Eintrag open= oder shellexecute= gibt das Programm an, das automatisch gestartet werden soll. Windows liest diese Datei, wenn ein Laufwerk erkannt wird, und führt den angegebenen Befehl aus – bei aktiviertem Autorun ohne jede Rückfrage. Genau diese Eigenschaft machte Autorun zum bevorzugten Verbreitungsweg für Würmer und Trojaner: Infizierte USB-Sticks kopierten beim Anschließen unbemerkt Schadsoftware auf den Rechner.
Autorun-Malware: Die Conficker-Ära und ihre Folgen
Das bekannteste Beispiel für Autorun-Missbrauch ist der Conficker-Wurm, der ab 2008 Millionen Windows-PCs weltweit infizierte. Conficker kopierte sich auf jeden angeschlossenen USB-Stick und erstellte dort eine autorun.inf-Datei, die beim Anschließen an einen anderen PC den Wurm automatisch startete. Die Weiterverbreitung funktionierte vollständig ohne Nutzerinteraktion – es genügte, einen infizierten Stick einzustecken.
Conficker war nicht allein: Dutzende weitere Würmer und Trojaner nutzten denselben Mechanismus. Das Antivirenunternehmen ESET bezeichnete USB-Sticks mit Autorun-Funktion in dieser Zeit als häufigsten Virenträger überhaupt. Microsoft reagierte mit einem Sicherheitsupdate (KB971029) für Windows XP und Vista und änderte in Windows 7 das Verhalten grundlegend: Autorun für USB-Massenspeichergeräte wurde standardmäßig deaktiviert.
Autorun in modernen Windows-Versionen: Was noch aktiv ist
Seit Windows 7 gilt folgende Regelung:
- USB-Massenspeicher (USB-Sticks, externe Festplatten): Autorun ist deaktiviert. Eine autorun.inf-Datei auf einem USB-Stick wird von Windows ignoriert. Stattdessen erscheint ein AutoPlay-Dialogfenster.
- CDs und DVDs: Autorun ist technisch noch möglich, wird aber kaum noch genutzt. Software-Hersteller setzen für ihre Installationsmedien mittlerweile auf einfache Ordneransichten statt Autorun.
- AutoPlay-Dialogfenster: Weiterhin aktiv, aber harmlos: Windows zeigt verfügbare Aktionen an (Fotos importieren, Mediaplayer öffnen etc.). Der Nutzer wählt selbst.
AutoPlay deaktivieren: So geht es in Windows 10 und 11
Für Unternehmensumgebungen oder besonders sicherheitsbewusste Nutzer lässt sich auch AutoPlay vollständig abschalten. Das verhindert, dass beim Anschließen eines USB-Geräts überhaupt ein Dialogfenster erscheint:
- Windows-Einstellungen öffnen (Win + I)
- Bluetooth und Geräte → AutoPlay
- „AutoPlay für alle Medien und Geräte verwenden“ auf „Aus“ setzen
Alternativ über Gruppenrichtlinien (für Unternehmensumgebungen): Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → AutoPlay-Richtlinien → „AutoPlay deaktivieren“ auf „Aktiviert“ setzen und „Alle Laufwerke“ auswählen.
Autorun und USB-Sicherheit in Unternehmen
In Unternehmensumgebungen ist die Kontrolle von USB-Geräten ein zentrales IT-Sicherheitsthema. Auch wenn Autorun für USB-Sticks in modernen Windows-Versionen deaktiviert ist, bleibt das Anschließen unbekannter USB-Geräte ein Risiko – durch andere Angriffsmethoden wie sogenannte „BadUSB“-Angriffe, bei denen ein manipuliertes USB-Gerät als Tastatur getarnt wird und Befehle eingibt.
Best Practices für Unternehmensumgebungen:
- AutoPlay über Gruppenrichtlinien für alle Arbeitsplätze deaktivieren
- USB-Port-Zugriff auf registrierte, bekannte Geräte beschränken (über Endpoint-Management-Lösungen wie Microsoft Intune)
- Mitarbeiter schulen: Unbekannte USB-Sticks niemals anschließen – auch wenn sie als Werbegeschenk oder „gefundenes Gerät“ erscheinen
- USB-Datenverkehr über Antivirensoftware und EDR-Lösungen überwachen
Autorun und refurbished Notebooks
Bei einem frisch aufgesetzten refurbished Notebook mit Windows 10 oder 11 ist Autorun für USB-Geräte standardmäßig deaktiviert. Es besteht kein unmittelbarer Handlungsbedarf. AutoPlay lässt sich nach Belieben in den Einstellungen an- oder abschalten. Wer das Gerät in einer Unternehmensumgebung nutzt, sollte prüfen, ob Gruppenrichtlinien für USB-Kontrolle und AutoPlay-Deaktivierung durch die IT-Abteilung konfiguriert werden sollen.
Autorun-Konflikte: Was tun, wenn ein USB-Stick immer noch etwas startet?
Gelegentlich erscheint beim Anschließen eines USB-Sticks ein Fenster, das ein unbekanntes Programm zum Ausführen anbietet. Das ist in aller Regel AutoPlay, nicht Autorun – der Stick enthält eine autorun.inf und Windows zeigt das als Option im AutoPlay-Dialog an. Der Unterschied: Das Programm läuft nicht automatisch, sondern nur, wenn der Nutzer aktiv auf die Option klickt. Empfehlung in diesem Fall: Option ignorieren oder abbrechen, Stick mit einem Antivirenprogramm scannen, bevor Dateien darauf zugegriffen wird.
Ein echter Autorun-Angriff – bei dem ein Programm ohne jede Nutzerinteraktion startet – ist auf Windows 10 und 11 mit regulärem USB-Stick so gut wie ausgeschlossen. Das Szenario ist nur noch auf sehr alten Windows-XP-Systemen ohne Sicherheitspatches relevant.
Der Conficker-Wurm: Lektionen für die IT-Sicherheit
Conficker infizierte bis zu 15 Millionen Rechner weltweit und demonstrierte das Ausmaß, das Autorun-Missbrauch annehmen konnte. Die IT-Sicherheitslehren aus Conficker sind bis heute gültig: Automatische Codeausführung ohne Nutzerinteraktion ist per Definition ein Sicherheitsrisiko, unabhängig davon, ob der Auslöser ein USB-Stick, eine E-Mail oder eine Website ist. Microsoft hat daraus die richtige Konsequenz gezogen: Autorun für USB-Massenspeicher zu deaktivieren. Seitdem sind autorun.inf-basierte USB-Würmer praktisch ausgestorben.
Für IT-Abteilungen bleibt die Empfehlung bestehen, AutoPlay über Gruppenrichtlinien zu deaktivieren und den USB-Zugang auf bekannte Geräte zu beschränken – nicht wegen autorun.inf, sondern wegen moderner Angriffe wie BadUSB, die ohne Autorun-Funktion auskommen.
Autorun im Unternehmensalltag: Was IT-Admins wissen müssen
Für IT-Administratoren, die refurbished Notebooks in einer Unternehmensumgebung konfigurieren, gelten diese Empfehlungen:
- AutoPlay per Gruppenrichtlinie unternehmensweit deaktivieren – verhindert ungewollte Aktionsdialoge
- USB-Zugang über Microsoft Intune oder ähnliche MDM-Lösungen auf registrierte, geprüfte Geräte beschränken
- Windows Defender oder eine EDR-Lösung mit USB-Geräteschutz aktivieren
- Mitarbeiter regelmäßig über USB-Risiken aufklären – Social-Engineering-Angriffe mit „vergessenen“ USB-Sticks sind in der Praxis dokumentiert
Autorun und CD/DVD: Was gilt heute noch?
Für optische Medien (CDs, DVDs) ist Autorun in Windows 10 und 11 technisch noch möglich, wird aber selten genutzt. Software-Hersteller haben Installations-CDs weitgehend aufgegeben. Für die wenigen Fälle, in denen noch eine Software-CD mit autorun.inf existiert, empfiehlt sich: die CD einlegen, das AutoPlay-Dialogfenster abbrechen, den Explorer öffnen und die Setup-Datei manuell starten – das ist sicherer als dem automatischen Aufruf zu vertrauen.
FAQ zu Autorun
Autorun ist eine Windows-Funktion, die beim Einlegen eines Datenträgers oder Anschließen eines USB-Geräts automatisch ein in autorun.inf angegebenes Programm ausführt. Für USB-Massenspeicher ist Autorun seit Windows 7 standardmäßig deaktiviert.
Autorun führt automatisch und ohne Nutzerinteraktion ein Programm aus. AutoPlay zeigt ein Dialogfenster mit Optionsauswahl, aus dem der Nutzer selbst eine Aktion auswählt. AutoPlay ist sicher; Autorun war ein Sicherheitsrisiko und ist für USB-Geräte deaktiviert.
Für USB-Massenspeicher nicht mehr, da Autorun seit Windows 7 für diese Geräte deaktiviert ist. Restrisiken bestehen bei älteren Windows-XP-Systemen, speziell manipulierten USB-Geräten (BadUSB) und bei CDs, die noch autorun.inf-Einträge enthalten können.
Windows-Einstellungen öffnen (Win + I) → Bluetooth und Geräte → AutoPlay → Schalter bei „AutoPlay für alle Medien und Geräte verwenden“ auf Aus stellen. Für Unternehmensgeräte alternativ per Gruppenrichtlinie: Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → AutoPlay-Richtlinien.
autorun.inf ist eine einfache Textdatei im Stammverzeichnis eines Datenträgers, die Windows mitteilt, welches Programm beim Einlegen oder Anschließen automatisch gestartet werden soll. Auf USB-Sticks wird diese Datei von Windows 7+ ignoriert; auf CDs und DVDs kann sie noch wirksam sein.
