Wie lange dauert es, ein schwaches Passwort per RDP zu knacken?

Wenn Sie nach „Passwort-Knackzeit" suchen, finden Sie Tabellen wie diese von Hive Systems: Ein 8-Zeichen-Passwort nur aus Kleinbuchstaben lässt sich mit moderner GPU-Hardware in etwa drei Wochen knacken. Ein 8-Zeichen-Passwort mit Großbuchstaben, Zahlen und Symbolen dauert Jahrhunderte. Problem gelöst, oder?

Nicht ganz. Diese Tabellen beschreiben Offline-Hash-Cracking mit dedizierter GPU-Hardware. Wenn Angreifer Ihren Windows-Server über Remote Desktop ins Visier nehmen, knacken sie überhaupt keine Hashes. Sie machen etwas völlig anderes — und die echten Zahlen könnten Sie überraschen.

Was ist die ehrliche Antwort?

Wenn Ihr Passwort wirklich zufällig und einzigartig ist, werden Angreifer es niemals über RDP knacken. Selbst ein einfaches 8-Zeichen-Passwort nur aus Kleinbuchstaben hat etwa 200 Milliarden mögliche Kombinationen. Bei typischen RDP-Brute-Force-Raten — meist nur wenige bis wenige Dutzend Versuche pro Sekunde pro Quell-IP, weil Angreifer bewusst langsamer werden, um Sperrrichtlinien nicht auszulösen — würde das weit über ein Jahrhundert dauern.

Wenn Ihr Passwort unter den 1.000 häufigsten geleakten Passwörtern ist, wird es in den ersten Sekunden ausprobiert.

Wenn Ihr Passwort jemals bei einem Datenleck auftauchte, ist es bereits kompromittiert. Es muss überhaupt nicht geknackt werden.

Genau in der Lücke zwischen diesen drei Szenarien werden die meisten Unternehmen kompromittiert.

Warum verändert die Mathematik alles?

RDP-Brute-Force-Angriffe unterscheiden sich grundlegend vom Offline-Cracking. Wenn ein Hacker eine Passwort-Datenbank stiehlt, kann er massive GPU-Leistung darauf werfen — Milliarden von Rateversuchen pro Sekunde. Aber über eine Netzwerkverbindung zu Ihrem Server erfordert jeder einzelne Anmeldeversuch:

• Einen TCP-Handshake
• TLS-Aushandlung
• Übermittlung der Anmeldedaten
• Serverantwort

Das braucht echte Zeit. Angreifer, die mit moderaten Raten von einigen Versuchen pro Sekunde pro IP arbeiten — was sie meist tun, um Sperren zu vermeiden — bräuchten weit mehr als ein Jahrhundert, um ein zufälliges 8-Zeichen-Passwort per Brute Force zu knacken.

Deshalb probieren Angreifer keine zufälligen Kombinationen. Sie verwenden weitaus cleverere Techniken.

Was tun Angreifer wirklich?

1. Credential Stuffing

Angreifer beginnen mit Listen von Passwörtern, die aus früheren Datenlecks geleakt wurden. Diese Listen sind riesig — der HaveIBeenPwned Pwned-Passwords-Dienst verfolgt über eine Milliarde einzigartig geleakte Passwörter, und es werden regelmäßig neue Dumps hinzugefügt. Das RockYou2024-Leck machte mit fast 10 Milliarden Einträgen Schlagzeilen, obwohl Specops' eigene Analyse ergab, dass der Großteil unbrauchbar war — dennoch blieben nach Bereinigung Hunderte Millionen echter, nutzbarer Passwörter übrig.

Wenn Ihr Passwort jemals auf einer kompromittierten Website verwendet wurde, steht es wahrscheinlich in einer dieser Listen. Und wenn es in der Liste ist, probieren Angreifer es zuerst.

2. Password Spraying

Statt viele Passwörter gegen ein einziges Konto zu versuchen (was Sperren auslöst), probieren Angreifer ein Passwort gegen viele Konten. Sie nehmen eine Liste gängiger Passwörter — 123456, password, qwerty123, admin2025! — und probieren jedes davon gegen jeden Benutzer auf Ihrem Server, und gehen dann zum nächsten Passwort über.

Das umgeht Kontosperrrichtlinien und trifft überraschend oft funktionierende Zugangsdaten.

3. Wörterbuchangriffe mit Mutationen

Angreifer nehmen gängige Wörter und wenden vorhersehbare Substitutionen an: password → P@ssw0rd! → Password2026!. Jede „kreative" Substitution, die sich Menschen ausdenken, ist bereits in Knack-Wörterbüchern automatisiert.

Die tatsächlichen Top-Passwörter bei RDP

Specops Software analysierte 2025 Millionen von RDP-Angriffsversuchen und veröffentlichte die tatsächlich von Angreifern gegen Remote Desktop verwendeten Passwörter. Die Top 10:

| Rang | Passwort | |------|----------| | 1 | 123456 | | 2 | 1234 | | 3 | Password1 | | 4 | P@ssw0rd | | 5 | password | | 6 | Password123 | | 7 | Welcome1 | | 8 | 12345678 | | 9 | Aa123456 | | 10 | admin |

Schauen Sie sich diese Liste genau an. P@ssw0rd, Password1, Password123, Welcome1 — sie alle erfüllen die Standard-Komplexitätsregeln. Sie enthalten Großbuchstaben, Kleinbuchstaben, Zahlen und sogar Symbole. Jede Unternehmens-Passwortrichtlinie würde sie akzeptieren. Und sie stehen unter den Top 10, die Angreifer als Erstes gegen Ihren RDP-Server ausprobieren.

Das ist der Kern des Problems: Komplexitätsregeln halten keine Angreifer auf. Sie hindern Benutzer nur daran, leicht zu tippende Passwörter zu wählen — nicht daran, leicht zu erratende Passwörter zu wählen.

Warum „starke" Passwörter oft versagen

Hier ist die unbequeme Wahrheit: Die meisten „starken" Passwörter sind nicht stark.

Password123! erfüllt jede Komplexitätsregel, die eine typische Unternehmensrichtlinie durchsetzt — Großbuchstabe, Kleinbuchstabe, Zahl, Symbol, 12 Zeichen. Es steht auch in jedem Breach-Dump im Internet. Es gehört zu den ersten Rateversuchen eines Angreifers.

Specops analysierte 2025 über eine Milliarde durch Malware gestohlener Zugangsdaten und stellte fest, dass 230 Millionen kompromittierte Passwörter die Standard-Komplexitätsregeln erfüllten. Komplexität ist nicht dasselbe wie Einzigartigkeit. Ein Passwort kann gleichzeitig komplex und schrecklich sein.

Eine separate Specops-Analyse von 10 Millionen stichprobenartig ausgewählten kompromittierten Passwörtern ergab, dass 98,5 % nach modernen Standards schwach waren — selbst viele, die die Komplexitätsregeln erfüllten.

Was macht ein Passwort wirklich unknackbar?

Drei Dinge zählen, und Komplexität ist keines davon:

1. Länge. Ein zufälliges 15-Zeichen-Passwort hat so viele mögliche Kombinationen, dass selbst Offline-Cracking Jahrhunderte dauert. Länge skaliert exponentiell — jedes zusätzliche Zeichen vervielfacht die Schwierigkeit.

2. Einzigartigkeit. Ein Passwort, das Sie nirgendwo sonst verwendet haben und das nie bei einem Leak aufgetaucht ist, ist für Credential Stuffing unsichtbar. Prüfen Sie Ihre Passwörter gegen HaveIBeenPwned — wenn es auch nur einmal erscheint, ist es kompromittiert.

3. Kein Wörterbuchwort oder Muster. correcthorsebatterystaple hat 25 Zeichen, aber es ist ein berühmtes xkcd-Beispiel — es steht inzwischen in jedem Wörterbuch. Sommer2026! ist komplex, aber ein Muster. Angreifer haben jedes „clevere" Muster, das Menschen sich ausdenken, automatisiert.

Aber warten Sie — es gibt ein größeres Problem

Selbst ein perfektes Passwort hat eine Schwäche, die Sie nicht beheben können: Infostealer-Malware.

Infostealer wie Redline, Vidar und LummaC2 laufen auf kompromittierten Benutzerrechnern und greifen gespeicherte Passwörter aus Browsern, Passwort-Managern und dem Speicher ab. Der Sophos 2025 Active Adversary Report stellte fest, dass kompromittierte Zugangsdaten im zweiten Jahr in Folge die Hauptursache für Angriffe waren — in 41 % der Fälle — und in 56 % der Sophos IR- und MDR-Fälle meldeten sich Angreifer einfach mit gültigen Zugangsdaten an, anstatt einzubrechen.

Wenn Ihr starkes, einzigartiges Passwort auf einem Rechner getippt wird, auf dem ein Infostealer läuft, wird es im Klartext erfasst und an andere Angreifer verkauft. Keine Komplexität hilft da.

Deshalb kann eine Passwortrichtlinie allein RDP nicht schützen. Sie brauchen mehrschichtige Verteidigung.

Die praktische Erkenntnis

Hören Sie auf, für Komplexitätsregeln zu optimieren. Beginnen Sie, für Folgendes zu optimieren:

• Mindestens 15 Zeichen, idealerweise mehr.
• Einzigartig für dieses Konto, nicht anderswo wiederverwendet.
• Gegen Leak-Datenbanken geprüft, bevor Sie es setzen (Tools wie Azure AD Password Protection erledigen dies automatisch).
• Kombiniert mit Multi-Faktor-Authentifizierung, sodass ein geleaktes Passwort allein nicht ausreicht.
• Geschützt durch automatisierte Brute-Force-Erkennung, die angreifende IPs blockiert, bevor sie Zugangsdatenlisten erschöpfen. BruteFence erkennt fehlgeschlagene RDP-Anmeldungen und blockiert Quell-IPs in Echtzeit — es verwandelt Credential Stuffing von „Millionen Passwörter ausprobieren" in „nach 5 Versuchen blockiert". Der kostenlose BruteFence Checker zeigt Ihnen, wie viele Versuche Ihr Server bereits gesehen hat.

Für die vollständige Geschichte, wie RDP-Brute-Force-Angriffe funktionieren, lesen Sie unseren Leitfaden Was ist ein RDP-Brute-Force-Angriff?. Und wenn Sie verstehen möchten, warum starke Passwörter allein nicht genügen, haben wir dies in Warum ein starkes Passwort nicht genug ist behandelt.

Eine letzte Zahl

Wenn Sie nur eines aus diesem Artikel mitnehmen, nehmen Sie das:

Ein Passwort aus der Liste der 1.000 häufigsten wird innerhalb von Sekunden nach Beginn eines Angriffs ausprobiert. Ein Passwort aus der Top-1-Million innerhalb von Stunden. Ein wirklich zufälliges 15-Zeichen-Passwort, das einzigartig ist, wird nie ausprobiert, weil Angreifer lange aufgeben, bevor sie es erreichen.

Die Frage ist nicht, wie stark Ihr Passwort aussieht. Die Frage ist, ob es auf einer der Listen steht, die Angreifer bereits haben.