Ist es sicher, RDP dem Internet auszusetzen? Was Sie wissen müssen

Nein. RDP direkt dem Internet auszusetzen ist nicht sicher. Als Sophos einen RDP-Honeypot einrichtete, traf der erste Brute-Force-Versuch in etwa einer Minute ein. In den folgenden 15 Tagen verzeichneten sie über 2 Millionen fehlgeschlagene Anmeldeversuche von 999 verschiedenen IP-Adressen mit 137.500 unterschiedlichen Benutzernamen.

Genau das passiert jedes Mal, wenn Port 3389 auf einer öffentlichen IP-Adresse erreichbar wird. Wenn Sie diesen Artikel lesen, ahnen Sie die Antwort vermutlich schon. Die entscheidende Frage ist: Was können Sie dagegen tun?

Was passiert, wenn Port 3389 offen ist

Sobald Ihr RDP-Port aus dem Internet erreichbar ist, finden ihn automatisierte Scanner. Nicht in Stunden. Nicht in Tagen. In Minuten.

Die Honeypot-Daten von Sophos zeigen ein eindeutiges Bild. Allein der Benutzername „administrator" wurde in diesen 15 Tagen 866.862-mal ausprobiert. Die Angreifer setzten riesige Anmeldedatenlisten ein und arbeiteten gängige Benutzernamen und geleakte Passwörter rund um die Uhr durch.

Auch ein anderer Port löst das Problem nicht. Derselbe Honeypot zeigte, dass ein Wechsel auf einen nicht standardmäßigen Port die Entdeckung nur kurz hinauszögerte — die Scanner fanden ihn trotzdem.

Das Ausmaß ist enorm. Shodan-Scans zeigen regelmäßig Millionen dem Internet ausgesetzter RDP-Server — während der Fernarbeitswelle 2020 überstieg die Zahl 4,5 Millionen. Im Oktober 2025 dokumentierte GreyNoise ein koordiniertes Botnet mit über 100.000 IPs aus mehr als 100 Ländern, das gezielt RDP-Dienste in den USA angriff. Innerhalb weniger Tage wuchs das Botnet auf circa 300.000 IPs an.

Das sind keine theoretischen Risiken. Laut dem Sophos 2025 Active Adversary Report war RDP in 84 % der von Sophos untersuchten Managed-Detection- und Incident-Response-Fälle beteiligt — überwiegend für laterale Bewegung innerhalb von Netzwerken, nachdem Angreifer den ersten Zugang erlangt hatten. Es bleibt das am häufigsten missbrauchte legitime Werkzeug bei realen Sicherheitsvorfällen.

Warum setzen Unternehmen RDP trotzdem dem Internet aus?

Weil sie Fernzugriff brauchen — und RDP schon da ist.

RDP ist in jedem Windows Server und jeder Pro-Edition bereits integriert. Es kostet nichts extra. Keine zusätzliche Lizenz, keine Hardware, keine Client-Software. Für ein kleines Unternehmen mit fünf Mitarbeitern, die den Büroserver von zu Hause erreichen müssen, ist RDP die naheliegendste Lösung.

Viele dieser Setups sind während der COVID-bedingten Umstellung auf Homeoffice entstanden. Eine schnelle Portweiterleitung am Router, und plötzlich konnte das Team von zu Hause arbeiten. Die „vorübergehende" Lösung wurde dauerhaft.

Andere haben echte Einschränkungen: ältere Branchenanwendungen, die sich nicht in die Cloud verschieben lassen. Kein IT-Personal, das ein VPN einrichten und pflegen könnte. Managed-Service-Provider, die schnellen Zugang zu Dutzenden von Kundenumgebungen benötigen. Budgetgrenzen, die Enterprise-Lösungen unrealistisch machen.

Das ist keine Fahrlässigkeit. Es ist eine pragmatische Antwort auf reale geschäftliche Anforderungen. Aber das Risiko muss gemanagt werden.

Was CISA und Microsoft empfehlen

Beide sind unmissverständlich: Setzen Sie RDP nicht direkt dem Internet aus.

CISA empfiehlt, TCP-Port 3389 an der Unternehmens-Firewall zu blockieren und RDP nur über ein VPN mit Multi-Faktor-Authentifizierung oder ein Zero-Trust-Gateway zu nutzen. Außerdem raten sie, Kontosperr-Richtlinien durchzusetzen und alle RDP-Sitzungen zu überwachen.

Microsofts Empfehlung lautet, ein Remote Desktop Gateway (RD Gateway) mit SSL einzusetzen, anstatt RDP direkt freizugeben. Zusätzlich empfehlen sie Network Level Authentication (NLA), MFA und den eingeschränkten Administratormodus für Helpdesk-Szenarien.

Die offizielle Antwort ist eindeutig. Aber wenn Sie diese Maßnahmen heute nicht vollständig umsetzen können, gibt es trotzdem Möglichkeiten, Ihr Risiko deutlich zu senken.

Wenn Sie RDP nicht vom Internet nehmen können

Wenn es derzeit nicht möglich ist, RDP vom Internet zu entfernen, sollten Sie mehrere Schutzschichten kombinieren. Keine einzelne Maßnahme reicht allein aus, aber zusammen machen sie einen erheblichen Unterschied.

1. Network Level Authentication (NLA) aktivieren

NLA verlangt eine Authentifizierung, bevor eine vollständige Remotedesktop-Sitzung aufgebaut wird. Das blockiert viele automatisierte Tools, die auf den direkten Zugang zum Anmeldebildschirm angewiesen sind. Es handelt sich um eine Windows-Einstellung, die nichts kostet.

2. Starke Passwörter und Kontosperrung konfigurieren

Der Sophos-Honeypot zeigte, dass „administrator" allein 866.000-mal als Benutzername getestet wurde. Auf vielen Windows-Server-Installationen ist die Kontosperrung standardmäßig nicht konfiguriert — ein Angreifer kann also unbegrenzt Passwörter durchprobieren. Legen Sie einen Schwellenwert fest (zum Beispiel: Konto für 30 Minuten sperren nach 5 Fehlversuchen). Diese Funktion ist in Windows integriert, wird aber erstaunlich oft nicht aktiviert.

3. Das Standard-Administratorkonto umbenennen oder deaktivieren

Wenn jedes automatisierte Skript zuerst „administrator" versucht, sollte kein Konto diesen Namen tragen. Benennen Sie es um oder deaktivieren Sie es vollständig und verwenden Sie ein anderes Administratorkonto.

4. Den Standardport ändern

RDP von Port 3389 auf einen anderen Port zu verlegen, stoppt keinen entschlossenen Angreifer. Aber es eliminiert den Großteil des automatisierten Scan-Traffics. Betrachten Sie es als Rauschreduzierung, nicht als echte Sicherheitsmaßnahme. Der Aufwand beträgt fünf Minuten, und Ihre Logs werden deutlich übersichtlicher.

5. Zugriff per IP-Adresse einschränken

Wenn Sie wissen, welche IP-Adressen RDP-Zugriff benötigen — Ihr Büro, Ihr Zuhause, Ihr MSP — erlauben Sie in der Firewall nur diese. Es gibt keinen Grund, warum das gesamte Internet Ihren Remotedesktop-Dienst erreichen können sollte.

6. Automatisierten Brute-Force-Schutz einsetzen

Tools, die fehlgeschlagene Anmeldeversuche überwachen und angreifende IPs automatisch blockieren, schließen die Lücke zwischen dem Beginn eines Angriffs und Ihrer Reaktion. BruteFence ist eine Lösung in dieser Kategorie — es erkennt wiederholte fehlgeschlagene RDP-Anmeldungen und blockiert die Quell-IP in Echtzeit. Die Installation dauert etwa fünf Minuten, und die Software läuft vollständig lokal auf Ihrem Server, ohne Cloud-Abhängigkeit. Mehr dazu finden Sie in der Dokumentation. BruteFence ersetzt nicht die anderen Maßnahmen auf dieser Liste, ist aber eine praktische zusätzliche Schutzschicht, wenn Sie RDP nicht vom Internet nehmen können.

7. Systeme aktuell halten

BlueKeep (CVE-2019-0708) hat gezeigt, dass RDP-Schwachstellen Remote Code Execution ohne jede Authentifizierung ermöglichen können. Neue RDP-bezogene Sicherheitslücken werden regelmäßig entdeckt. Patchen ist nicht optional.

8. Logs überwachen

Fehlgeschlagene RDP-Anmeldeversuche werden in den Windows-Ereignisprotokollen aufgezeichnet. Wenn Sie diese nicht beobachten, erfahren Sie erst von einem Angriff, wenn etwas kaputtgeht. Richten Sie Benachrichtigungen ein: Spitzen bei Fehlversuchen, Zugriffe außerhalb der Arbeitszeiten oder Anmeldungen von unerwarteten Standorten.

Mehr Hintergrund dazu, wie diese Angriffe ablaufen, finden Sie in unserem Leitfaden Was ist ein RDP-Brute-Force-Angriff und warum ist er gefährlich?.

Bessere Alternativen

Wenn Sie auch nur ein kleines Budget oder etwas technischen Spielraum haben, können diese Optionen RDP vollständig von der direkten Internetanbindung entfernen.

VPN + RDP hinter der Firewall. Der klassische Ansatz. RDP berührt nie das öffentliche Internet — die Benutzer verbinden sich zuerst mit einem VPN. Erfordert etwas Einrichtung und Pflege, ist aber die bewährteste Lösung. WireGuard und OpenVPN sind solide kostenlose Optionen.

Remote Desktop Gateway (RD Gateway). Eine Windows-Server-Rolle, die RDP-Verkehr über HTTPS tunnelt. Wenn Sie bereits Windows Server betreiben, ist sie integriert. Sie bietet SSL-Verschlüsselung und die Möglichkeit, Zugriffszeiten und berechtigte Benutzer einzuschränken.

Tailscale oder Cloudflare Tunnel. Moderne Alternativen, die besonders für kleine Unternehmen praktisch sind. Tailscale erstellt ein privates Mesh-Netzwerk mit minimalem Konfigurationsaufwand (der kostenlose Personal-Tarif unterstützt bis zu 3 Benutzer für den persönlichen Gebrauch). Cloudflare Tunnel ermöglicht es, Dienste über das Cloudflare-Netzwerk bereitzustellen, ohne eingehende Ports zu öffnen (der kostenlose Tarif unterstützt bis zu 50 Benutzer).

Jede dieser Lösungen ist ein deutlicher Sicherheitsgewinn gegenüber direkt exponiertem RDP. Wenn Sie eine davon umsetzen können, sollten Sie es tun.

Fazit

RDP dem Internet auszusetzen ist nicht sicher. Die Daten sind eindeutig, die offiziellen Empfehlungen einhellig, und die Angriffe laufen konstant und vollautomatisiert.

Trotzdem tun es Millionen von Unternehmen, weil sie Fernzugriff brauchen und die Alternativen unerreichbar erscheinen. Wenn das Ihre Situation ist: Die oben genannten Härtungsmaßnahmen sind nicht perfekt — aber sie sind deutlich besser, als Port 3389 mit Standardeinstellungen offen zu lassen.

Wenn Sie RDP hinter ein VPN oder Gateway bringen können, tun Sie es. Wenn das heute nicht möglich ist, kombinieren Sie mehrere Schutzschichten und planen Sie den Umstieg. Und in jedem Fall: Wissen Sie, was auf Ihrem Server passiert. BruteFence bietet eine kostenlose 7-Tage-Testversion — die Zahlen, die Sie dort sehen werden, liefern in der Regel das stärkste Argument für bessere Absicherung.