Event ID 4625: Was bedeutet es und was tun bei Tausenden Einträgen?

Wenn Sie jemals die Windows-Ereignisanzeige geöffnet und die Sicherheitsereignisse durchsucht haben, sind Sie wahrscheinlich auf diese Nummer gestoßen: 4625. Und Sie haben wahrscheinlich nicht nur ein oder zwei gesehen – sondern Hunderte. Oder Tausende.

Diese Nummer taucht aus gutem Grund so häufig auf. Schauen wir uns an, was sie bedeutet, warum sie wichtig ist und was Sie dagegen tun können.

Was ist Event ID 4625?

Einfach ausgedrückt: Jemand hat versucht, sich an Ihrem Computer anzumelden, und es hat nicht funktioniert. Ein falsches Passwort, ein nicht existierender Benutzername oder eine nicht erlaubte Anmeldemethode.

Windows zeichnet jeden solchen Vorfall im Sicherheitsprotokoll (Security Log) auf, und jeder Eintrag bekommt dieselbe Kennung: 4625.

Ein oder zwei solcher Einträge sind völlig normal – jeder vertippt sich mal beim Passwort. Das Problem beginnt, wenn Sie Hunderte oder Tausende pro Tag sehen.

Wie prüfen Sie, ob Sie betroffen sind?

Drücken Sie Windows + R, geben Sie eventvwr.msc ein und drücken Sie Enter. Klicken Sie im linken Baum auf Windows-Protokolle → Sicherheit. Wählen Sie rechts Aktuelles Protokoll filtern und geben Sie im Feld Ereignis-ID ein: 4625.

Was erscheint, ist die Liste der fehlgeschlagenen Anmeldeversuche. Wenn Ihr Server über Remotedesktop aus dem Internet erreichbar ist, werden Sie fast sicher keine leere Liste sehen.

Was verrät ein 4625-Eintrag?

Jeder Eintrag enthält:

• Wer es versucht hat – den Benutzernamen (Account Name). Wenn Sie Namen wie „Administrator", „Admin", „Test", „User" sehen – das ist fast sicher ein externer Versuch.
• Woher es kam – die IP-Adresse des Angreifers (Source Network Address). Ausländische, unbekannte IPs sind ein Zeichen automatisierter Angriffe.
• Wann es passiert ist – genaues Datum und Uhrzeit. Wenn um 3 Uhr nachts Hunderte Versuche kommen, war das nicht Ihr Kollege.
• Warum es fehlschlug – der Fehlergrund (Status/Sub Status Code). Am häufigsten: falsches Passwort (0xC000006A) oder nicht existierender Benutzer (0xC0000064).

Warum kommen so viele?

Die kurze Antwort: Automatisierte Programme (Bots) durchsuchen das Internet und probieren jeden erreichbaren Windows-Server. Sie zielen nicht persönlich auf Sie – sie probieren einfach jeden, bei dem Remotedesktop offen ist (RDP, Standardport 3389).

Diese Bots werden nicht müde. Sie arbeiten rund um die Uhr, mit Wörterbüchern und geleakten Passwortlisten. 5.000 bis 10.000 Versuche pro Tag gegen einen einzelnen Server sind keine Seltenheit.

Warum ist das ein Problem, wenn sie nicht reinkommen?

Drei Gründe:

1. Ihr Server arbeitet dafür. Jedes 4625-Ereignis bedeutet, dass das System die Anfrage empfangen, ausgewertet, abgelehnt und protokolliert hat. Zehntausend davon pro Tag belasten CPU und Speicher unnötig.

2. Das Protokoll füllt sich mit Rauschen. Wenn sich Tausende nutzloser Einträge ansammeln, wird es viel schwieriger zu erkennen, wenn etwas wirklich Wichtiges passiert. Ein echter Sicherheitsvorfall kann leicht im Rauschen untergehen.

3. Das Risiko wächst mit der Zeit. Ein Monat bedeutet hundertfünfzigtausend Versuche, ein Jahr fast zwei Millionen. Wenn der Angreifer mit geleakten Passwortlisten arbeitet, schießt er nicht völlig blind – und die Zeit spielt für ihn.

Was können Sie tun?

Das Ziel ist einfach: Wenn jemand mehrfach das falsche Passwort eingibt, soll er es nicht weiter versuchen können. Sperren Sie seine IP-Adresse – automatisch, sofort.

BruteFence macht genau das: Es überwacht die 4625-Ereignisse, und wenn eine bestimmte Anzahl fehlgeschlagener Versuche von derselben IP kommt, erstellt es eine Windows-Firewall-Regel, die den Angreifer blockiert. Danach kann der Angreifer den Server nicht einmal mehr erreichen.

Die Installation dauert 5 Minuten, danach läuft das Programm still im Hintergrund – kein Wartungsaufwand nötig.

Überprüfen Sie Ihren eigenen Server

Wenn Sie neugierig sind, wie viele 4625-Ereignisse auf Ihrem Server sind, aber nicht manuell durch die Ereignisanzeige suchen möchten, laden Sie den kostenlosen BruteFence Checker herunter. Mit einem einzigen Klick zeigt er alle fehlgeschlagenen Anmeldeversuche der letzten 30 Tage – mit IP-Adressen, Benutzernamen und Daten.

Zusammenfassung

Event ID 4625 bedeutet ein fehlgeschlagener Anmeldeversuch. Wenn Sie täglich Hunderte oder Tausende sehen, ist Ihr Server ein aktives Ziel. Das hört nicht von selbst auf – aber BruteFence erledigt es automatisch: Es sperrt die Eindringlinge, reduziert die Belastung und hält Ihre Protokolle sauber.

---

Lesen Sie unsere verwandten Artikel:

• Was ist ein RDP-Brute-Force-Angriff?
• Warum ein starkes Passwort nicht genug ist