Woher wissen Sie, ob Ihr Server gerade angegriffen wird?

Stellen Sie sich vor, in Ihrem Haus gibt es eine Hintertür, die Sie nie benutzen. Eines Tages gehen Sie daran vorbei und bemerken, dass die Klinke zerkratzt ist und Spuren rund um das Schloss zu sehen sind. Jemand hat es versucht – ist aber nicht hineingekommen.

Genau das passiert auf den meisten Windows-Servern, nur dass es hier keine Kratzspuren gibt, sondern Einträge im Systemprotokoll. Die Frage ist: Wann haben Sie zuletzt nachgeschaut?

Wo sehen Sie die Versuche?

Windows protokolliert alles. Jeder fehlgeschlagene Anmeldeversuch wird in einem Protokoll gespeichert, das Ereignisanzeige (Event Viewer) heißt. Sie müssen dafür nichts installieren – es ist auf jedem Windows-Server standardmäßig vorhanden.

Fehlgeschlagene Anmeldungen werden unter einer bestimmten Nummer protokolliert: 4625. Wenn Sie diese Nummer im Protokoll suchen, sehen Sie sofort, wie oft jemand ein falsches Passwort ausprobiert hat.

So prüfen Sie es (2 Minuten)

1. Drücken Sie Windows + R, geben Sie ein: eventvwr.msc, dann Enter
2. Klicken Sie im linken Bereich auf: Windows-Protokolle → Sicherheit
3. Klicken Sie rechts auf Aktuelles Protokoll filtern
4. Geben Sie im Feld Ereignis-ID ein: 4625
5. Klicken Sie auf OK

Was erscheint, ist die Liste der fehlgeschlagenen Anmeldeversuche. Jede Zeile ist ein Versuch – mit Datum, Uhrzeit und der IP-Adresse, von der er kam.

Was werden Sie sehen?

Wenn Ihr Server über das Internet per Remote-Desktop erreichbar ist, werden Sie mit ziemlicher Sicherheit keine leere Liste sehen. Die meisten Server haben täglich Hunderte oder sogar Tausende solcher Einträge.

Achten Sie auf Folgendes:

• Wie viele Einträge in den letzten 24 Stunden? Wenn es Hunderte sind, handelt es sich um aktives Ausprobieren.
• Welche Benutzernamen werden versucht? Typische Namen: Administrator, Admin, Test, User, Guest. Wenn Sie einen Namen sehen, der auf Ihrem Computer gar nicht existiert – kommt er definitiv von außen.
• Woher kommen sie? Jeder Eintrag enthält eine IP-Adresse. Wenn Sie ausländische, unbekannte IPs sehen, ist das ein Zeichen für automatisierte Angriffe.

Warum ist das ein Problem, wenn sie nicht hineinkommen?

Berechtigte Frage. Wenn das Passwort stark ist, was ist dann das Problem? Drei Dinge:

Erstens: Ihr Server arbeitet daran. Jeder einzelne Versuch muss geprüft, abgelehnt und protokolliert werden. Das ist so, als würde ein Pförtner jeden Tag Tausende Unbekannte an der Tür abweisen – während die echten Mitarbeiter in der Schlange warten. Darüber haben wir in unserem vorherigen Artikel ausführlicher geschrieben.

Zweitens: Das Protokoll füllt sich. Wenn Tausende falscher Einträge eingehen, wird es schwieriger, etwas Wichtiges zu erkennen. Das ist so, als würden auf Ihrer Sicherheitskamera Tausende Unbekannte herumlaufen – und Sie müssten den einen finden, der wirklich verdächtig ist.

Drittens: Die Zeit arbeitet nicht für Sie. Angreifer haben Geduld. Wenn sie zehntausend Versuche pro Tag machen, sind das dreihunderttausend im Monat. Irgendwann könnten sie Glück haben, besonders wenn das Passwort nicht lang oder komplex genug ist.

Was sollten Sie tun, wenn Sie viele Einträge finden?

Wenn Sie nachgeschaut haben und Tausende sehen – keine Panik, aber ignorieren Sie es auch nicht. Die Situation ist beherrschbar.

Die effektivste Lösung ist, dass die Angreifer automatisch gesperrt werden, bevor sie in größerem Umfang probieren können. Genau das macht BruteFence: Es überwacht diese 4625-Ereignisse, und wenn von einer IP-Adresse zu viele falsche Passwörter kommen, wird sie automatisch blockiert.

Danach sehen Sie nicht mehr Tausende im Protokoll, sondern nur noch einige Dutzend – weil die Angreifer bereits nach den ersten Versuchen ausgesperrt werden.

Zusammenfassung

Das Protokoll Ihres Servers lügt nicht. Wenn Sie die 4625-Ereignisse prüfen, sehen Sie genau, wie viele es versuchen. Auf den meisten Servern ist diese Zahl überraschend hoch – und sie hört nicht von alleine auf. BruteFence kümmert sich automatisch darum: sperrt die Angreifer, schützt die Leistung und hält das Protokoll sauber. Zwei Minuten zum Prüfen, zwei Minuten zum Lösen.