Was ist ein RDP-Brute-Force-Angriff? Ein verständlicher Leitfaden

Genau in diesem Moment versucht irgendwo im Internet ein automatisiertes Skript, sich auf Ihrem Windows-Server anzumelden. Es ist nichts Persönliches. Das Skript weiß weder, wer Sie sind, noch was Ihr Unternehmen macht. Es hat Ihren Server gefunden, weil Port 3389 offen war — und jetzt arbeitet es eine Passwortliste ab. Tausende Versuche pro Stunde. In der Hoffnung, dass eines davon passt.

Das nennt man einen RDP-Brute-Force-Angriff, und es ist einer der häufigsten Wege, wie Unternehmen kompromittiert werden. Wenn Sie einen Windows-Server mit aktiviertem Remotedesktop betreiben, ist dieser Artikel für Sie.

Was genau ist RDP?

RDP steht für Remote Desktop Protocol — auf Deutsch Remotedesktopprotokoll. Es ist eine in Windows integrierte Funktion, mit der Sie einen Computer von einem anderen Standort aus steuern können: vom Homeoffice, aus dem Café oder aus einem anderen Land. Millionen von Unternehmen nutzen RDP täglich, um Server zu verwalten, auf Dateien zuzugreifen und Anwendungen aus der Ferne zu betreiben.

Das Problem: Angreifer nutzen es genauso gern.

Wie ein RDP-Brute-Force-Angriff funktioniert

Das Prinzip ist denkbar einfach. Ein Angreifer richtet ein automatisiertes Werkzeug auf den Remotedesktop-Anmeldebildschirm Ihres Servers und beginnt, Kombinationen aus Benutzernamen und Passwörtern durchzuprobieren. Stellen Sie sich jemanden vor, der mit einem Schlüsselbund aus zehntausend Schlüsseln vor Ihrer Haustür steht und systematisch jeden einzelnen ausprobiert.

Moderne Brute-Force-Tools schaffen Tausende Kombinationen pro Minute. Sie greifen auf Listen häufig verwendeter Passwörter zurück, auf geleakte Zugangsdatenbanken und auf vorhersagbare Muster wie Admin2026! oder Firma123. Kein Mensch sitzt dabei an der Tastatur. Der gesamte Prozess läuft vollautomatisch — oft über Netzwerke bereits kompromittierter Rechner rund um den Globus.

Wenn ein Passwort stimmt, ist der Angreifer drin — mit denselben Rechten wie ein legitimer Benutzer.

Warum Angreifer RDP so gern ins Visier nehmen

Remotedesktop wurde für den bequemen Fernzugriff entwickelt, nicht dafür, ungeschützt im offenen Internet zu stehen. Mehrere Faktoren machen RDP zu einem besonders attraktiven Ziel:

Es ist allgegenwärtig. Millionen von RDP-Servern sind direkt aus dem Internet erreichbar — Shodan-Scans zeigen diese Zahl konstant im Millionenbereich. Jeder einzelne ist eine potenzielle Tür, an der man klopfen kann.

Der Standard-Port ist allgemein bekannt. RDP lauscht standardmäßig auf Port 3389. Angreifer müssen nicht raten — sie scannen das gesamte Internet nach diesem Port und erstellen automatisch Ziellisten.

Auf den meisten Serverversionen gibt es keine eingebaute Ratenbegrenzung. Bei vielen Windows-Server-Installationen gibt es keine Standard-Kontosperrrichtlinie — ein Angreifer kann unbegrenzt Passwörter testen, solange Sie nicht selbst Sperrrichtlinien konfiguriert haben. (Neuere Versionen wie Windows 11 und Server 2022 haben Standard-Sperrrichtlinien eingeführt, aber viele Produktivserver laufen noch ohne.)

Gestohlene Zugangsdaten sind billig. Laut CrowdStrike stiegen Anzeigen von Access Brokern — Kriminelle, die gestohlene Zugangsdaten verkaufen — im Jahr 2024 um 50 % gegenüber dem Vorjahr. RDP-Zugangsdaten gehören zu den meistgehandelten Gütern. Angreifer kaufen funktionierende Logins in großen Mengen — Brute Force ist nur ein Baustein in einer größeren Zugangs-Ökonomie.

Der Schaden in der Praxis

Das ist kein theoretisches Risiko. Die Zahlen aktueller Sicherheitsberichte sprechen eine deutliche Sprache.

RDP ist das am häufigsten missbrauchte legitime Werkzeug bei Cyberangriffen. Sophos stellte fest, dass RDP in 84 % aller Managed-Detection- und Incident-Response-Fälle im Jahr 2024 beteiligt war. Auch ihr Bericht von 2026 führt RDP als das meistgenutzte legitime Tool bei Sicherheitsvorfällen.

Ransomware-Gruppen zielen gezielt auf RDP. Die Akira-Ransomware-Gruppe — eine der aktivsten im Jahr 2024 — nutzt mehrere Einstiegswege, darunter auch RDP-Brute-Force, insbesondere gegen kleine und mittlere Unternehmen. Die CISA veröffentlichte eine eigene Warnung zu Akiras Taktiken.

Kleine Unternehmen trifft es besonders hart. Kleine und mittlere Unternehmen werden überproportional häufig von Ransomware angegriffen. Laut dem Sophos 2025 Bericht sind Organisationen mit begrenzten Ressourcen und kleinen IT-Teams dem höchsten Risiko ausgesetzt — und die Wiederherstellungskosten können für ein kleines Unternehmen verheerend sein, noch bevor Ausfallzeiten und Datenverluste eingerechnet werden.

Angreifer arbeiten, während Sie schlafen. Laut dem Sophos 2025 Active Adversary Report fanden 83 % der Ransomware-Einsätze 2024 außerhalb der Geschäftszeiten statt. Der Folgebericht 2026 zeigt einen Anstieg auf 88 %. Wenn Sie am Montagmorgen ins Büro kommen, kann der Schaden längst angerichtet sein.

Drei Irrtümer, die Unternehmen in Gefahr bringen

„Wir haben starke Passwörter — das reicht"

Starke Passwörter helfen, aber sie allein genügen nicht. Der Verizon 2025 Data Breach Investigations Report ergab, dass kompromittierte Zugangsdaten in 22 % aller Sicherheitsvorfälle der initiale Angriffsvektor waren. Noch auffälliger: Bei 54 % der Ransomware-Opfer wurden die Zugangsdaten in Infostealer-Malware-Logs gefunden. Es handelt sich um Passwörter, die bei anderen Vorfällen gestohlen oder durch Schadsoftware abgefangen wurden — keine noch so hohe Passwortkomplexität schützt ein bereits geleaktes Passwort.

Mehr dazu, warum Passwörter allein nicht ausreichen, finden Sie in unserem Beitrag Warum ein starkes Passwort nicht genug ist.

„Kleine Unternehmen sind doch kein Ziel"

Das Gegenteil ist der Fall. Kleinere Organisationen mit begrenzten IT-Ressourcen gehören konstant zu den am häufigsten angegriffenen Zielen von Ransomware. Gerade kleine Unternehmen sind attraktiv, weil sie in der Regel weniger Sicherheitsebenen, kleinere IT-Teams und weniger Monitoring im Einsatz haben.

„Wir würden es merken, wenn uns jemand angreift"

Wahrscheinlich nicht — zumindest nicht schnell genug. Laut dem Sophos 2025 Bericht betrug die mediane Zeitspanne vom ersten Zugang bis zur Kompromittierung des Active Directory 11 Stunden — der Folgebericht 2026 zeigt einen Rückgang auf nur 3,4 Stunden. Da die überwiegende Mehrheit der Ransomware außerhalb der Geschäftszeiten ausgerollt wird, beginnen die meisten Angriffe am Freitagabend und sind abgeschlossen, bevor am Montag jemand nachschaut. Fehlgeschlagene Anmeldeversuche sammeln sich zwar in den Windows-Ereignisprotokollen, aber nur wenige Organisationen überwachen diese aktiv.

Was Sie dagegen tun können

Die gute Nachricht: Für den Schutz von RDP brauchen Sie weder ein riesiges Budget noch ein eigenes Security-Team. Hier sind praktische Maßnahmen, die wirklich etwas bewirken.

Ändern Sie den Standard-RDP-Port. Das Verlegen von RDP weg von Port 3389 hält einen entschlossenen Angreifer nicht auf, eliminiert aber den Großteil des automatisierten Scan-Traffics. Die Änderung dauert fünf Minuten und reduziert das Grundrauschen erheblich.

Aktivieren Sie Network Level Authentication (NLA). NLA verlangt eine Authentifizierung, bevor eine vollständige Remotedesktop-Sitzung aufgebaut wird. Dadurch werden viele Brute-Force-Tools blockiert, die auf den direkten Zugriff auf den Anmeldebildschirm angewiesen sind.

Schränken Sie ein, wer sich verbinden darf. Begrenzen Sie den RDP-Zugriff per Firewall auf bestimmte IP-Adressen oder IP-Bereiche. Wenn nur Ihr Büro und Ihr Heimnetzwerk Zugang brauchen, gibt es keinen Grund, warum das gesamte Internet Port 3389 erreichen können sollte.

Konfigurieren Sie Kontosperrrichtlinien. Windows sperrt Konten nach fehlgeschlagenen Anmeldungen standardmäßig nicht. Setzen Sie einen Schwellenwert — sperren Sie das Konto beispielsweise für 30 Minuten nach 5 Fehlversuchen. Das ist eine eingebaute Windows-Funktion, die viele Administratoren nie aktivieren.

Nutzen Sie ein VPN für den Fernzugriff. Wenn Sie RDP hinter ein VPN legen, muss der RDP-Port gar nicht erst öffentlich im Internet erreichbar sein.

Setzen Sie automatische Brute-Force-Erkennung ein. Tools, die Anmeldeversuche überwachen und angreifende IP-Adressen automatisch blockieren, schließen die Lücke zwischen einem fehlgeschlagenen Login und einer Reaktion. BruteFence ist eine Möglichkeit — es erkennt wiederholte fehlgeschlagene RDP-Anmeldungen und blockiert die Quell-IP in Echtzeit. Die Installation dauert etwa fünf Minuten, und die Software läuft vollständig auf Ihrem Server, ohne Cloud-Abhängigkeit. Es ist nicht die einzige Lösung in dieser Kategorie, aber einen Blick wert, wenn Sie etwas Schlankes suchen, das sich in Ihr bestehendes Setup einfügt. Mehr dazu in der Dokumentation.

Keine einzelne Maßnahme ist hundertprozentig sicher. Der beste Schutz kombiniert mehrere dieser Schritte miteinander.

Prüfen Sie Ihren Server in fünf Minuten

Wenn Ihr Windows-Server online ist und Remotedesktop erreichbar, probiert mit hoher Wahrscheinlichkeit bereits jemand Passwörter dagegen aus. Das soll Sie nicht beunruhigen — es ist schlicht die Realität internetfähiger Dienste im Jahr 2026.

Die oben genannten Schritte sind unkompliziert, und die meisten dauern Minuten, nicht Stunden. Fangen Sie mit einem an. Wenn Sie sehen möchten, was gerade auf Ihrem Server passiert, bietet BruteFence eine kostenlose 7-Tage-Testversion — allein die Anmeldeversuch-Protokolle zeigen Ihnen genau, wie oft Ihr Server getestet wird.