Windows Server Sicherheits-Checkliste 2026: 10 wesentliche Schritte

Einen Windows Server zu betreiben bedeutet, ein Angriffsziel zu verwalten. Der Verizon 2025 Data Breach Investigations Report ergab, dass 20 % der Sicherheitsverletzungen mit der Ausnutzung von Schwachstellen begannen — ein Anstieg von 34 % gegenüber dem Vorjahr. Laut Mandiant Time-to-Exploit Trends beginnen Angreifer bereits etwa 5 Tage nach Bekanntwerden einer Schwachstelle mit deren Ausnutzung — während die branchenüblichen Patch-Zeiten je nach Sektor typischerweise 60 Tage oder mehr betragen.

In dieser Lücke passieren die meisten Einbrüche. Diese Checkliste umfasst die 10 Schritte, die die größten Risiken auf einem Windows Server schließen. Keiner erfordert teure Tools oder ein eigenes Sicherheitsteam. Die meisten lassen sich an einem Nachmittag umsetzen.

1. Windows aktuell halten

Warum es wichtig ist. Zu den jüngsten kritischen Windows-Schwachstellen gehören ein RDP-Client-Heap-Buffer-Überlauf, der ausgelöst wird, wenn ein Benutzer sich mit einem bösartigen RDP-Server verbindet (CVE-2025-29966), eine WSUS-Schwachstelle für unauthentifizierte Remote Code Execution, die aktiv ausgenutzt wird (CVE-2025-59287), und eine Remote Desktop Services Rechteausweitung als Zero-Day (CVE-2026-21533). Jede davon kann auf einem ungepatchten Server zum Einstiegspunkt werden.

Was zu tun ist. Aktivieren Sie automatische Windows-Updates für Sicherheitspatches. Prüfen und installieren Sie kumulative Updates monatlich. Priorisieren Sie jeden Patch, der als „Kritisch" oder „Aktiv ausgenutzt" gekennzeichnet ist. Falls automatische Updates nicht möglich sind, planen Sie ein monatliches Wartungsfenster und halten Sie sich daran.

2. Remote Desktop (RDP) absichern

Warum es wichtig ist. RDP bleibt das am häufigsten missbrauchte legitime Werkzeug bei Cyberangriffen — es war in 84 % der im Sophos 2025 Active Adversary Report untersuchten Incident-Response-Fälle beteiligt. Automatisierte Scanner finden exponierte RDP-Ports innerhalb von Minuten.

Was zu tun ist.

• Aktivieren Sie Network Level Authentication (NLA) — blockiert Angriffe vor der Authentifizierung.
• Konfigurieren Sie eine Kontosperrungsrichtlinie (zum Beispiel 10 Fehlversuche / 30 Minuten Sperrung).
• Beschränken Sie den RDP-Zugriff auf bestimmte IP-Adressen über die Windows-Firewall.
• Stellen Sie RDP nach Möglichkeit hinter ein VPN oder Remote Desktop Gateway, anstatt Port 3389 direkt freizugeben.
• Setzen Sie automatisierten Brute-Force-Schutz ein. BruteFence überwacht fehlgeschlagene RDP-Anmeldungen (Event ID 4625) und blockiert angreifende IPs in Echtzeit — die Installation dauert fünf Minuten und die Software läuft vollständig lokal ohne Cloud-Abhängigkeit. Mit dem kostenlosen BruteFence Checker können Sie sehen, wie viele Angriffe Ihren Server bereits erreichen.

Mehr Details finden Sie in unseren Leitfäden Was ist ein RDP-Brute-Force-Angriff? und Ist es sicher, RDP dem Internet auszusetzen?.

3. Starke Passwortrichtlinien durchsetzen

Warum es wichtig ist. Kompromittierte Zugangsdaten bleiben die häufigste Ursache für Sicherheitsverletzungen. Die aktualisierten Richtlinien NIST SP 800-63B Rev. 4 unterscheiden sich erheblich von den alten Komplexitätsregeln.

Was zu tun ist.

• Setzen Sie eine Mindestpasswortlänge von 15 Zeichen.
• Erzwingen Sie keinen periodischen Passwortwechsel — verlangen Sie eine Änderung nur bei Verdacht auf Kompromittierung.
• Verlangen Sie keine Komplexitätsregeln (Großbuchstabe + Zahl + Symbol) — Länge ist wichtiger als Komplexität.
• Prüfen Sie Passwörter gegen bekannte geleakte Listen — Tools wie Azure AD Password Protection oder Enzoic erledigen dies automatisch.
• Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) wo immer möglich.

4. Separate Administratorkonten verwenden

Warum es wichtig ist. Microsofts AD-Bedrohungsminimierungsanleitung betont, dass überprivilegierte Konten das Hauptziel der meisten Angriffe sind. Ein Administratorkonto, das zum Surfen im Internet oder Lesen von E-Mails verwendet wird, ist nur einen Phishing-Klick von einer Domänenübernahme entfernt.

Was zu tun ist.

• Erstellen Sie dedizierte Administratorkonten, die ausschließlich für die Serververwaltung verwendet werden.
• Verwenden Sie für die tägliche Arbeit ein Standardbenutzerkonto — E-Mail, Webbrowsing, alles andere.
• Melden Sie sich nie mit einem Domain-Admin-Konto an einem Server an, es sei denn, es ist absolut notwendig.
• Überprüfen Sie regelmäßig, wer Administratorrechte hat, und entziehen Sie nicht mehr benötigte Zugänge.

5. Windows-Firewall aktiviert lassen

Warum es wichtig ist. Die Windows-Firewall zu deaktivieren ist eine der häufigsten Fehlkonfigurationen, die bei Sicherheitsaudits gefunden werden. Sie ermöglicht uneingeschränkten ein- und ausgehenden Datenverkehr.

Was zu tun ist.

• Deaktivieren Sie die Windows-Firewall niemals — auch nicht in internen Netzwerken.
• Blockieren Sie standardmäßig alle eingehenden Ports. Öffnen Sie nur, was der Server tatsächlich benötigt.
• Beschränken Sie Verwaltungsports (RDP 3389, SMB 445, WinRM 5985/5986) auf bestimmte vertrauenswürdige IPs.
• Blockieren Sie alte NetBIOS-Ports (137-139), sofern sie nicht ausdrücklich benötigt werden.

6. Unnötige Dienste und Protokolle deaktivieren

Warum es wichtig ist. Jeder laufende Dienst ist eine potenzielle Angriffsfläche. Veraltete Protokolle wie SMB1 haben bekannte, aktiv ausgenutzte Schwachstellen.

Was zu tun ist.

• Überprüfen Sie, dass SMB1 deaktiviert ist — in Windows Server 2025 standardmäßig entfernt, aber ältere Versionen können es noch aktiviert haben.
• Überprüfen Sie laufende Dienste (services.msc) und deaktivieren Sie alles, was der Server nicht benötigt.
• Deaktivieren Sie den Druckspooler-Dienst auf Servern, die keine Drucker verwalten — er war Ziel mehrerer kritischer Schwachstellen.
• Entfernen Sie nicht verwendete Serverrollen und -features über den Server-Manager.

7. Dateifreigabe (SMB) absichern

Warum es wichtig ist. SMB ist eines der am häufigsten verwendeten Protokolle für laterale Bewegung innerhalb eines Netzwerks nach einem initialen Einbruch. Angreifer nutzen es, um auf Dateien zuzugreifen und sich auf andere Maschinen auszubreiten.

Was zu tun ist.

• Aktivieren Sie SMB-Signierung — Windows Server 2025 erfordert sie standardmäßig bei ausgehenden Verbindungen. Für ältere Versionen aktivieren Sie sie über Gruppenrichtlinien.
• Blockieren Sie TCP-Port 445 an der Perimeter-Firewall — SMB sollte nie aus dem Internet erreichbar sein.
• Wenden Sie das Prinzip der geringsten Berechtigung bei Freigabeberechtigungen an — vermeiden Sie Vollzugriff für „Jeder".
• Ziehen Sie SMB over QUIC in Betracht (verfügbar in Server 2025) für verschlüsselten Dateizugriff ohne VPN.

8. Protokollierung und Überwachung einrichten

Warum es wichtig ist. Wenn Sie Ihre Logs nicht überwachen, erfahren Sie erst von einem Angriff, wenn etwas kaputtgeht. Der Unterschied zwischen einem gescheiterten und einem erfolgreichen Angriff ist oft, ob jemand rechtzeitig hingeschaut hat.

Was zu tun ist. Aktivieren Sie die Überwachung und beobachten Sie diese kritischen Event-IDs:

| Event ID | Bedeutung | |----------|-----------| | 4625 | Fehlgeschlagene Anmeldung — Brute-Force-Indikator | | 4624 | Erfolgreiche Anmeldung — wer meldet sich an | | 4740 | Konto gesperrt | | 1102 | Überwachungsprotokoll gelöscht — mögliche Manipulation | | 4732 | Mitglied zu Sicherheitsgruppe hinzugefügt | | 4719 | Überwachungsrichtlinie geändert | | 4104 | PowerShell-Skriptblock ausgeführt |

Leiten Sie Logs an einen zentralen Ort weiter — ein SIEM, einen Log-Collector oder mindestens einen separaten Server. Wenn Logs nur auf der Maschine existieren, die kompromittiert wird, sind sie nutzlos.

9. Richtig sichern (3-2-1-1-0)

Warum es wichtig ist. Ransomware zielt zuerst auf Backups. Die klassische 3-2-1-Backup-Regel (3 Kopien, 2 Medientypen, 1 extern) reicht allein nicht mehr aus.

Was zu tun ist. Befolgen Sie die aktualisierte 3-2-1-1-0-Regel:

• 3 Kopien Ihrer Daten.
• 2 verschiedene Speichertypen (zum Beispiel lokale Festplatte + Cloud).
• 1 Kopie an einem externen Standort.
• 1 Kopie, die unveränderlich oder offline ist — digital gesperrt, sodass niemand, auch kein Administrator, sie für einen festgelegten Zeitraum ändern oder löschen kann.
• 0 Fehler — testen Sie Ihre Wiederherstellungen regelmäßig. Ein Backup, das Sie nie getestet haben, ist kein Backup.

10. Über neue Schwachstellen informiert bleiben

Warum es wichtig ist. Die Bedrohungslandschaft ändert sich wöchentlich. Allein in den Jahren 2025-2026 wurden mehrere kritische RDP-Schwachstellen veröffentlicht — darunter Heap-Buffer-Überläufe, Path-Traversal-Angriffe und Rechteausweitungs-Zero-Days. Diese vor den Angreifern zu kennen ist essenziell.

Was zu tun ist.

• Abonnieren Sie die Benachrichtigungen des Microsoft Security Update Guide.
• Verfolgen Sie den CISA Known Exploited Vulnerabilities Catalog — das sind die Schwachstellen, die aktiv für Angriffe genutzt werden.
• Überprüfen Sie die CIS Benchmarks für Windows Server jährlich und vergleichen Sie sie mit Ihrer Konfiguration.
• Prüfen Sie regelmäßig die Exposition Ihres Servers. Der kostenlose BruteFence Checker zeigt Ihnen, wie viele fehlgeschlagene Anmeldeversuche Ihr Server in den letzten 30 Tagen erhalten hat.

Beginnen Sie mit einem Schritt

Sie müssen nicht alle zehn heute erledigen. Wählen Sie den Schritt, der Ihre größte Lücke schließt — bei den meisten Servern ist das Patching, RDP-Sicherheit oder Passwortrichtlinie — und arbeiten Sie die Liste im Laufe der Zeit ab. Jeder Schritt reduziert Ihre Angriffsfläche spürbar, und keiner erfordert ein großes Budget.

Wenn Sie sehen möchten, wo Ihr Server gerade steht, gibt Ihnen der BruteFence Checker einen schnellen 30-Tage-Überblick über fehlgeschlagene Anmeldeaktivitäten. Und wenn Sie kontinuierlichen, automatisierten RDP-Schutz wünschen, bietet BruteFence eine kostenlose 7-Tage-Testversion.