Remote Desktop Protocol
Von Microsoft entwickeltes Netzwerkprotokoll für den grafischen Fernzugriff auf Windows-Systeme — und einer der meistgenutzten Angriffsvektoren in Unternehmensnetzwerken.
Das Remote Desktop Protocol (RDP) ist ein proprietäres Netzwerkprotokoll von Microsoft, das die grafische Fernsteuerung eines Windows-Systems über eine Netzwerkverbindung ermöglicht. RDP nutzt standardmäßig TCP-Port 3389 und wird in Unternehmen flächendeckend für die Administration von Servern, den Support von Endanwendern und den Zugriff aus dem Home-Office eingesetzt.
Trotz dieser legitimen Einsatzzwecke ist RDP einer der am häufigsten von Angreifern missbrauchten Dienste — insbesondere dann, wenn er direkt aus dem Internet erreichbar ist. Automatisierte Scanner durchsuchen das Internet permanent nach offenen RDP-Ports und melden Treffer innerhalb von Minuten an Angreifer weiter.
Angriffsvektor RDP
RDP ist ein bevorzugtes Ziel für Angreifer, weil es direkten, interaktiven Zugriff auf ein System bietet — mit derselben Oberfläche, die auch ein Administrator sieht. Die häufigsten Angriffsmethoden umfassen:
Brute-Force-Angriffe und Credential Stuffing richten sich gegen schwache oder wiederverwendete Passwörter. Kritische Schwachstellen wie BlueKeep (CVE-2019-0708) ermöglichten Remote Code Execution ohne Authentifizierung — vergleichbare Schwachstellen in RDP-Implementierungen tauchen regelmäßig auf. Pass-the-Hash-Angriffe nutzen gestohlene NTLM-Hashes, um sich ohne Kenntnis des Klartextpassworts anzumelden. RDP-Session-Hijacking erlaubt es Angreifern mit lokalen Administratorrechten, bestehende Sitzungen anderer Nutzer zu übernehmen.
Ransomware-Gruppen nutzen exponierte RDP-Zugänge regelmäßig als initialen Einstiegspunkt. Ist der Zugang einmal etabliert, dient RDP zusätzlich als Werkzeug für Lateral Movement innerhalb des Netzwerks — Angreifer bewegen sich von System zu System, bis sie Domain-Controller oder Backup-Server erreichen.
Absicherung
Die wichtigste Regel lautet: RDP darf niemals direkt aus dem Internet erreichbar sein. Stattdessen sollte der Zugriff ausschließlich über einen VPN-Tunnel, ein Remote Desktop Gateway oder eine Zero-Trust-Zugangslösung erfolgen.
Network Level Authentication (NLA) ist zwingend zu aktivieren. NLA erzwingt die Authentifizierung vor dem Aufbau der grafischen Sitzung und verhindert so unauthentifizierte Verbindungen zum RDP-Host. Ohne NLA können Angreifer die Login-Oberfläche des Zielsystems erreichen, ohne sich vorher zu authentifizieren — das öffnet die Tür für Schwachstellen im RDP-Stack selbst.
Multi-Faktor-Authentifizierung auf dem VPN- oder Gateway-Zugang schließt den häufigsten Angriffsvektor — kompromittierte Zugangsdaten — weitgehend aus. Credential Guard auf den RDP-Zielsystemen verhindert zusätzlich, dass Angreifer NTLM-Hashes oder Kerberos-Tickets aus dem Speicher extrahieren können. Account-Lockout-Richtlinien und die Beschränkung der RDP-Berechtigung auf tatsächlich benötigte Konten reduzieren die Angriffsfläche weiter.
Sichere Alternativen zum klassischen RDP-Zugriff
Statt RDP direkt über Port 3389 im Netzwerk bereitzustellen, existieren mehrere Architekturansätze mit deutlich reduzierter Angriffsfläche.
Ein Remote Desktop Gateway (RD Gateway) tunnelt RDP-Verkehr über HTTPS (Port 443) und ermöglicht granulare Zugriffsrichtlinien. Der RDP-Port muss nicht im Internet geöffnet sein — nur der Gateway selbst ist erreichbar. Zero-Trust-basierte Lösungen wie Azure Virtual Desktop, Cloudflare Access oder Tailscale gehen einen Schritt weiter: Jeder Zugriff wird individuell authentifiziert und autorisiert, ohne dass offene Ports im Unternehmensnetzwerk erforderlich sind.
Für die reine Serveradministration sind textbasierte Alternativen wie SSH oder PowerShell Remoting oft ausreichend und bieten eine deutlich kleinere Angriffsfläche als ein vollständiger grafischer Desktop.
Relevanz für KMUs
In vielen mittelständischen Unternehmen ist RDP mit Port-Weiterleitung direkt aus dem Internet erreichbar — häufig als pragmatische Lösung für Fernwartung oder Home-Office gewachsen. Diese Konfiguration ist einer der häufigsten Befunde in Schwachstellenanalysen und ein bevorzugter Einstiegspunkt für Ransomware.
Schon das Entfernen der direkten Internetexposition und die Umstellung auf VPN- oder Gateway-basierten Zugriff mit MFA eliminiert einen Großteil des Risikos. Wer den eigenen Perimeter prüfen will, kann mit einem einfachen Port-Scan der externen IP-Adressen auf Port 3389 beginnen. Regelmäßige Scans der eigenen externen Angriffsoberfläche auf offene RDP-Ports gehören zu den grundlegenden Hygienemaßnahmen jeder IT-Abteilung.