Wird Ihr RDP-Server angegriffen? Kostenloses Audit-Tool

Die meisten Windows-Administratoren wissen nicht, ob ihr RDP-Server gerade mit Login-Versuchen bombardiert wird. Die Antwort steckt im Windows-Sicherheitsprotokoll, aber niemand öffnet die Ereignisanzeige morgens bei einem Kaffee. Führen Sie ein kostenloses Open-Source-Tool aus, das dasselbe Security Event Log in etwa 30 Sekunden ausliest und einen sauberen Bericht liefert: Gesamtangriffe, eindeutige Angreifer-IPs, Top 10 Quellen und eine tageweise Aufschlüsselung.

Wenn die Zahl schlimm aussieht, zeigen die folgenden Abschnitte, was zu tun ist. Die Diagnose ist kostenlos — prüfen Sie erst die Zahlen, entscheiden Sie dann.

Warum wissen Sie nicht längst, dass Sie angegriffen werden?

Weil die manuelle Prüfung mühsam ist. Jeder fehlgeschlagene RDP-Login schreibt einen Windows Event ID 4625-Eintrag ins Security-Log, und auf einem Server mit öffentlicher IP wächst diese Zahl schnell. Der Forscher Jeffrey Appel maß in einem Microsoft-Sentinel-Honeypot 209.335 fehlgeschlagene Logins in 7 Tagen — etwa 30.000 pro Tag. Ein Sophos-RDP-Honeypot verzeichnete mehr als 2.000.000 fehlgeschlagene Login-Versuche in 15 Tagen von 999 eindeutigen IPs (Sophos — Exposed RDP is dangerous). Das ist die Hintergrundstrahlung des heutigen Internets.

Wer das Log nicht regelmäßig prüft, weiß schlicht nicht, ob täglich 5 oder 30.000 Versuche ankommen. Und Event ID 4625 ist in großer Menge schwer zu lesen — die Ereignisanzeige zählt nicht nach IP, gruppiert nicht, zeichnet keine Tagestrendlinie. Sie bekommen Rohdaten, einen Eintrag nach dem anderen. Genau deshalb wird aus der Frage "Was ist ein RDP-Brute-Force-Angriff?" schnell "Ich habe keine Ahnung, wie schlimm es bei mir ist."

Was ist BruteFence Checker?

BruteFence Checker ist ein kostenloses Open-Source-Audit-Tool, das das lokale Windows Security Event Log ausliest, RDP-bezogene Event-ID-4625-Einträge der letzten 30 Tage filtert und eine lesbare Zusammenfassung ausgibt.

Eigenschaften:

• Kostenlos für private und kommerzielle Nutzung
• Portabel — eine einzelne EXE, keine Installation, keine Registry-Änderungen
• Nur-Lese — ändert keine Systemeinstellung, keine Firewall-Regel, kein Log
• Open Source — vollständiger Code auf GitHub
• EV-codesigniert von Certum CA — deutlich reduzierte SmartScreen-Reibung
• Offline — 0 Bytes Telemetrie verlassen die Maschine

Volle Transparenz: Den Checker pflegt dasselbe Team, das BruteFence entwickelt (Infotipp Rendszerház Kft., seit 2002). Wir haben ihn als kostenloses Diagnose-Tool veröffentlicht, weil die meisten Admins, mit denen wir sprechen, ihre eigenen 4625-Zahlen noch nie gesehen haben. Der Checker ist keine Testversion, nicht kastriert und nicht limitiert — er ist tatsächlich kostenlos, auch kommerziell.

Wie führen Sie BruteFence Checker in 3 Schritten aus?

Sie brauchen Windows 10 oder Windows Server 2016 (oder neuer), Administratorrechte auf der Maschine und etwa 30 Sekunden.

1. Herunterladen von der neuesten Version unter github.com/bohemtucsok/brutefence-checker/releases. Sie bekommen eine einzelne signierte .exe.
2. Als Administrator ausführen. Rechtsklick auf die EXE, "Als Administrator ausführen". Die Rechte sind nötig, weil das Lesen des Windows Security Event Logs eine privilegierte Operation ist; ohne sie sieht das Tool keine 4625-Einträge.
3. Warten Sie etwa 30 Sekunden. Der Checker läuft durch das Security-Log der letzten 30 Tage, filtert RDP-Fehlanmeldungen und druckt den Bericht. Auf stark belasteten Servern reichen die Log-Einträge eventuell nicht volle 30 Tage zurück, weil Windows das Log nach Größe (standardmäßig 20 MB), nicht nach Zeit rotiert.

Das ist der gesamte Ablauf. Keine Konfigurationsdatei, kein Agent, kein Dienst.

Was bedeutet die Ausgabe?

Der Bericht hat vier Felder. Jedes beantwortet eine andere Frage.

• Total failed login attempts — rohe Anzahl der Event-ID-4625-Einträge, die als Remote-Desktop-Fehlanmeldungen markiert sind, über die letzten 30 Tage. Ihr Brutto-Angriffsvolumen.
• Unique attacker IPs — wie viele unterschiedliche Quell-Adressen versucht haben, sich anzumelden. Hohe Gesamtzahl bei wenigen IPs heißt ein oder zwei hartnäckige Angreifer; hohe Gesamtzahl bei vielen IPs heißt, Sie sind im Fadenkreuz eines Botnets.
• Top 10 source IPs — die aggressivsten Einzel-Angreifer, sortiert nach Versuchszahl. Nützlich zum punktuellen Blockieren in der Firewall und für Abgleiche mit Threat-Intel-Listen.
• Daily breakdown — Aufschlüsselung pro Tag über die letzten 30 Tage. Hier sehen Sie einen plötzlichen Ausschlag (eine neue Kampagne hat Sie gerade entdeckt) oder eine langsame Steigerung (jemand testet geduldig).

Wie interpretieren Sie Ihre Ergebnisse?

Grobe Faustregel. Kein wissenschaftlicher Schwellenwert, aber das, was wir auf echten Kundenservern sehen.

| Angriffe pro Tag | Was es wahrscheinlich bedeutet | |---|---| | 0 – 10 | Normales Internet-Rauschen. Kein Problem. | | 10 – 100 | Verdächtig. Jemand testet gezielt Ihre IP. | | 100 – 1.000 | Aktiver automatisierter Angriff. Lockout oder Rate-Limit nötig. | | 1.000 – 30.000 | Server unter anhaltendem Angriff. Sofortige Maßnahme. | | 30.000+ | Honeypot-Niveau. Der Appel- und Sophos-Bereich. |

Wenn Ihre Tageszahl in der untersten Zeile liegt, sind Sie nicht paranoid. Sie sind ein Ziel.

Was tun Sie, wenn Sie viele Angriffe sehen?

Zwei Stufen: kostenlose Fixes, die Sie heute anwenden können, und automatisierter Schutz, falls die kostenlosen Fixes nicht reichen.

Kurzfristige kostenlose Fixes

Alles in Windows eingebaut. Keiner davon kostet Geld.

1. Account-Lockout-Policy aktivieren. Standardmäßig liefert Windows Server 2016 und 2019 die Lockout-Schwelle auf 0 — Lockout ist also deaktiviert. Neuere Builds von Server 2022 und Server 2025 setzen den Standard auf 10 Versuche, aber viele bestehende Installationen laufen noch mit dem alten Wert 0. Setzen Sie sie via Group Policy auf 5–10 Fehlversuche. Siehe die Microsoft-Dokumentation zur Account-Lockout-Policy.
2. Network Level Authentication (NLA) erzwingen. NLA verlangt die Authentifizierung vor dem Aufbau der RDP-Sitzung, was viele nicht authentifizierte Probing-Tools blockiert.
3. Standard-Administrator umbenennen. Bots hauen auf Administrator namentlich ein. Nach dem Umbenennen müssen Angreifer Benutzername und Passwort erraten.
4. RDP in der Windows-Firewall einschränken auf einen bekannten Büro-IP-Bereich, wenn möglich. Der Stop-Ransomware-Leitfaden der CISA führt das als Basismaßnahme.

Die vollständige Liste steht in der Windows Server Sicherheits-Checkliste 2026.

Langfristig: automatisierter Schutz

Kostenlose Fixes helfen, aber eine Lockout-Policy, die am Samstag um 3 Uhr morgens den echten Admin aussperrt, ist nicht in jeder Umgebung praktikabel. Automatisierter Schutz — Software, die 4625-Events in Echtzeit überwacht und die angreifende IP zur Windows-Firewall-Blockliste hinzufügt — nimmt den Menschen aus der Schleife.

Die ganze Kategorie behandelt Wie RDP-Brute-Force-Schutz 2026 funktioniert. Wenn der Checker aktive Angriffe zeigt und die schnellen kostenlosen Fixes nicht reichen, bietet die 7-Tage-Testversion von BruteFence automatisches Blockieren in etwa 5 Minuten Einrichtung. Das ist eine Option unter mehreren — der Zweck des Checkers ist, dass Sie die Zahl zuerst kennen.

Häufig gestellte Fragen

Ist BruteFence Checker sicher auszuführen?

Ja. Das Tool ist nur-lesend — es ändert keine Dateien, Registry-Schlüssel, Firewall-Regeln oder Logs. Es ist EV-codesigniert von Certum CA, und der vollständige Quellcode liegt auf GitHub, falls Sie vor dem Ausführen prüfen möchten.

Warum nur 30 Tage zurück?

Dreißig Tage ist ein sinnvolles Audit-Fenster. Windows rotiert das Security-Log nach Größe (standardmäßig 20 MB), nicht nach Zeit — auf stark belasteten Servern sind ältere Ereignisse daher oft schon überschrieben. Erhöhen Sie die maximale Log-Größe in der Ereignisanzeige, liest der Checker beim nächsten Lauf weiter zurück.

Sendet es meine Daten irgendwohin?

Nein. Der Checker läuft ausschließlich lokal. Er telefoniert nicht nach Hause, lädt keine Logs hoch, enthält kein Telemetrie-SDK. Auf einem air-gapped Server funktioniert er identisch.

Wie oft sollte ich ihn ausführen?

Einmal im Monat ist eine vernünftige Basis für einen ruhigen Server. Führen Sie ihn sofort aus, wenn Sie langsame RDP-Logins, zufällige Kontosperren oder unerklärliche LSASS-CPU-Spikes bemerken — klassische Anzeichen einer aktiven Brute-Force-Welle. Details im Beitrag zu Event ID 4625.

Wie lautet die Lizenz?

Kostenlos für private und kommerzielle Nutzung. Sie dürfen ihn auf Client-Maschinen, Produktionsservern und Maschinen einsetzen, die Sie für Dritte verwalten. Die Lizenz liegt im Repository.

Der Checker existiert aus einem Grund: Wenn ein Admin fragt "Werde ich angegriffen?", soll die Antwort eine konkrete Zahl sein, kein Schulterzucken. Was Sie danach tun — Lockout-Policy, Firewall-Regeln, BruteFence-Test oder gar nichts — lässt sich viel leichter entscheiden, wenn Sie das echte Volumen Ihres eigenen Servers gesehen haben.

Wenn Sie sehen möchten, was auf Ihrem Server passiert, testen Sie BruteFence 7 Tage kostenlos.