Das Remote Desktop Protocol bleibt ein bevorzugtes Angriffsziel: Port 3389 ist oft offen, Passwörter sind zu schwach, und die Login-Telemetrie macht es Bots und wenig erfahrenen Angreifern leicht. Wer wissen will, wie man RDP-Brute-Force-Angriffe verhindert, bekommt hier die kurze Antwort: Angriffsfläche reduzieren, Authentifizierung stärken, Logs konsequent überwachen. Verstecke Port 3389 hinter einem VPN oder einem RD Gateway, erzwinge MFA an jedem Zugangspunkt, aktiviere Network Level Authentication, konfiguriere Kontosperrrichtlinien mit 5 bis 10 Fehlversuchen und einer Sperrdauer von 15 bis 30 Minuten, und beobachte Event ID 4625-Spitzen kontinuierlich. Angreifer scannen, raten und bewegen sich seitwärts durch Netzwerke schneller als je zuvor, also braucht dein Sicherheitskonzept konkrete Maßnahmen, keine Wunschvorstellungen.
TL;DR: Schnelle Sicherheits-Checkliste
- Port 3389 hinter VPN oder RD Gateway verstecken, um ihn nicht öffentlich erreichbar zu machen
- Multi-Faktor-Authentifizierung für alle RDP-Zugangspunkte verpflichtend aktivieren
- Network Level Authentication (NLA) für die Vorauthentifizierung aktivieren
- Kontosperrung einrichten: 5–10 ungültige Versuche, Sperrdauer 15–30 Minuten, Reset nach 15 Minuten
- Überwachen Sie die Windows-Ereignis-IDs 4625 (fehlgeschlagen) und 4624 (erfolgreich) kontinuierlich
- IP-Allowlisting und Geo-Blocking nutzen, um den Zugriff auf bestimmte Quellen zu beschränken
- Setzen Sie eine strenge Passwortrichtlinie durch – mindestens 14 Zeichen sind Pflicht
Warum RDP-Brute-Force-Angriffe erfolgreich sind
Open RDP ist ein attraktives Ziel: Massenscan-Tools finden es in Minuten, es läuft oft mit lokalen Administratorrechten, und ein schwaches Passwort kann direkt zu Ransomware führen. Port 3389 ist offen im Internet erreichbar wie ein Schild, das Zugang ankündigt, und automatisierte Angriffswerkzeuge brauchen keinerlei Fachwissen, um Login-Formulare zu bombardieren. Passwortangriffe haben stark zugenommen, mit Microsoft meldet ein Plus von 74 % allein von 2021 bis 2022. Deshalb beginnt jede Anleitung zur Abwehr von Brute-Force-Angriffen damit, Port 3389 nicht öffentlich zugänglich zu machen, und empfiehlt dann zusätzliche Schutzmaßnahmen wie MFA und Kontosperrregeln, bevor überhaupt jemand den Anmeldebildschirm erreicht.
Aktuelle Angriffswellen von Netzwerken wie FDN3 Mitte 2025 haben gezeigt, wie schnell großangelegtes Password Spraying SSL VPN und RDP Geräte auf tausenden Systemen gleichzeitig treffen kann. Die Angriffe häufen sich in bestimmten Zeitfenstern, wenn Sicherheitsteams am wenigsten vorbereitet sind, und das Muster wiederholt sich, weil die grundlegenden Schwachstellen unbehoben bleiben. Plötzliche Spitzen bei fehlgeschlagenen Anmeldeversuchen, wiederholte Versuche über viele Benutzernamen hinweg und IPs aus wechselnden Ländern sind die typischen Warnsignale. Ohne geeignetes Monitoring bemerkt man sie jedoch oft erst, wenn der Schaden bereits begonnen hat. Die Konsequenzen sind gravierend: Verizons Datenschutzverletzungsbericht 2025 stellte fest, dass Ransomware in 44 % aller Sicherheitsvorfälle vorlag, wobei RDP ein bevorzugter Einstiegspunkt für diese Angriffe bleibt.
Moderne Endpoint-Detection-Lösungen können sitzungsbezogene RDP-Daten zusammenführen, sodass Sicherheitsteams Spray-and-Pray-Angriffe früher erkennen. Prävention ist jedoch immer besser als Erkennung – deshalb geht es im nächsten Abschnitt um Maßnahmen, die Angriffe stoppen, bevor sie zu Vorfällen werden.
So schützt du dich vor RDP-Brute-Force-Angriffen: Die wichtigsten Schutzmaßnahmen
Die größten Sicherheitsgewinne entstehen durch reduzierte Netzwerkexposition, stärkere Authentifizierungsschranken und integrierte Windows-Richtlinien. Wer RDP-Brute-Force-Angriffe wirklich abwehren will, braucht einen RDP-Brute-Force-Schutz, der all diese Ebenen kombiniert.
Offene Türen zuerst schließen: Öffentlichen Port 3389 entfernen
Versteck RDP hinter einem VPN, oder deploye Remote Desktop Gateway auf Port 443 mit TLS-Verschlüsselung. Eine kurze Allowlist bekannter IPs kombiniert mit einem Gateway schlägt einfaches Port-Forwarding jedes Mal. Damit reduzierst du den Lärm im Netz und senkst die Anzahl der Brute-Force-Versuche deutlich. Konfiguriere deine Perimeter-Firewall so, dass sie direkten Zugriff auf Port 3389 aus dem Internet blockiert, und leite den gesamten legitimen Traffic über das gesicherte Gateway. Angreifer können nichts per Brute Force knacken, was sie erst gar nicht erreichen können.
Multi-Faktor-Authentifizierung für RDP aktivieren
Spam-resistente MFA wie App-Eingabeaufforderungen mit Nummernabgleich oder Hardware-Schlüssel blockieren die meisten reinen Passwort-Angriffe. Fügen Sie MFA auf Gateway-Ebene oder über einen RDP-Anbieter mit enger Verzeichnisintegration hinzu. Laut Microsoft-Forschung haben über 99% der kompromittierten Konten MFA nicht aktiviert – das sagt alles über die Bedeutung dieser Kontrolle aus. Stellen Sie es über RD Gateway mithilfe der Netzwerkrichtlinienserver-Integration mit Azure AD bereit, oder nutzen Sie Lösungen von Drittanbietern, die TOTP und Hardware-Token unterstützen.
Netzwerkauthentifizierung (NLA) voraussetzen
NLA erzwingt die Authentifizierung, bevor ein vollständiger Desktop geladen wird, wodurch der Ressourcenverbrauch durch fehlgeschlagene Sitzungen reduziert und die Angriffsfläche verkleinert wird. Verbinden Sie NLA mit TLS für verschlüsselte Anmeldedatenübertragung. Dies verlagert die Verifizierung auf den Anfang des Verbindungsprozesses mithilfe von Credential Security Support Provider (CredSSP). Laut von Fachleuten überprüfter Forschung kann NLA die RDP-Latenz während aktiver Angriffe um 48% reduzieren, indem nicht authentifizierte Sitzungen daran gehindert werden, Serverressourcen zu verbrauchen. Aktivieren Sie dies über Systemeigenschaften, Registerkarte Remote, indem Sie "Verbindungen nur von Computern zulassen, auf denen Authentifizierung auf Netzwerkebene ausgeführt wird" auswählen.
Kontosperrrichtlinien einrichten
Setze sinnvolle Schwellenwerte und Sperrzeiträume, damit Bots nicht unbegrenzt raten können. Das sind klassische RDP-Methoden zur Abwehr von Brute-Force-Angriffen, die bei korrekter Konfiguration nach wie vor zuverlässig funktionieren. Die Einrichtung erfolgt über die lokale Sicherheitsrichtlinie (secpol.msc) unter Kontorichtlinien mit folgenden Parametern: ein Schwellenwert von 5–10 ungültigen Versuchen, eine Sperrdauer von 15–30 Minuten und ein Zurücksetzen des Zählers nach 15 Minuten. Diese Werte basieren auf dem Konsens mehrerer Sicherheits-Baselines aus 2025, darunter Windows-Sicherheitsempfehlungen und branchenweite Frameworks. Halte dabei die Balance zwischen Sicherheit und dem Aufwand für den Support, denn jedes gesperrte Konto erzeugt ein Support-Ticket.
Allowlists und Geo-Fencing verwenden
Legen Sie fest, wer überhaupt Zugang bekommt. Ländersperren, ASN-Sperren und kurze statische Positivlisten reduzieren den eingehenden Datenverkehr in vielen kleinen Büroumgebungen auf nahezu null. Konfigurieren Sie diese Regeln auf Firewall-Ebene: Sperren Sie geografische Regionen, mit denen Sie keine Geschäftsbeziehungen haben, und beschränken Sie den Zugriff auf bestimmte IP-Bereiche für Remote-Mitarbeiter. Manche Umgebungen gehen noch weiter und setzen zeitbasierte Zugriffskontrollen ein, die RDP nur während der Geschäftszeiten erlauben.
Passwörter absichern und rotieren
Verwende lange Passphrasen, einzigartige Passwörter pro Admin-Konto und einen Passwort-Manager. Das ist grundlegender RDP-Schutz gegen Brute-Force-Angriffe, dennoch beginnen zu viele Sicherheitsvorfälle genau hier. Lege die Mindestlänge auf 14 Zeichen fest und erzwinge Komplexitätsanforderungen über Group Policy. Je länger das Passwort, desto schwieriger wird es für automatisierte Tools, es per Brute Force zu knacken. Vermeide die Wiederverwendung von Passwörtern über verschiedene Admin-Konten hinweg, denn ein einziges kompromittiertes Konto kann sich durch deine gesamte Infrastruktur ziehen.
Windows und RDP Stack umgehend aktualisieren
Bekannte RDP-Schwachstellen beheben und Updates auf Server und Clients ausrollen. Alte Sicherheitslücken tauchen weiterhin aktiv auf, und Angreifer nehmen ungepatchte Systeme zuerst ins Visier, weil sie leichter zu kompromittieren sind. Richte einen regelmäßigen Patch-Zyklus mit Windows Update, WSUS oder Intune-Baselines ein, damit deine RDP-Infrastruktur gegen bekannte Angriffsvektoren aktuell bleibt.
Fehlgeschlagene Anmeldeversuche erfassen und Warnmeldungen ausgeben
Leite Windows Security-Logs an ein SIEM weiter, überwache Event IDs 4625 und 4624, und richte Alarme für ungewöhnliche Volumina, auffällige Quellregionen und Zugriffe auf Dienstkonten ein. Wer Brute-Force-Angriffe wirksam abwehren will, kommt am Log-Monitoring nicht vorbei: Reaktive Erkennung begrenzt den Schaden, wenn präventive Maßnahmen versagen. Konfiguriere Alarme für mehr als 10 fehlgeschlagene Anmeldeversuche von einer einzelnen IP innerhalb einer Stunde, und überwache Anmeldemuster vom Typ 10 (Remote Interactive) und Typ 3 (Network), die auf RDP-Aktivität hinweisen.
Jede dieser Maßnahmen reduziert das Risiko für sich allein. Zusammen bilden sie RDP Methoden zur Abwehr von Brute-Force-Angriffen, die auch unter echtem Druck standhalten.
| Methode | Implementierungsaufwand | Konfigurationsort | Hauptvorteil |
| VPN/RD Gateway | Mittel | Firewall oder RD Gateway (Port 443) | Beseitigt die öffentliche Exposition von Port 3389 |
| Multi-Faktor-Authentifizierung | Mittel | Gateway, Identity-Provider oder RDP Add-on | Verhindert Anmeldeversuche nur per Passwort |
| Authentifizierung auf Netzwerkebene | Niedrig | Systemeigenschaften → Remote → NLA-Kontrollkästchen | Authentifizierung vor der Sitzungserstellung |
| Kontosperrungsrichtlinie | Niedrig | secpol.msc → Account Policies → Account Lockout | Begrenzt endlose Passwort-Rateversuche |
| Ereignisprotokoll-Überwachung | Mittel | SIEM/EDR oder Windows Ereignisanzeige | Früherkennung von Angriffsmustern |
| IP-Allowlist/Geo-Fence | Niedrig | Firewall-Regeln oder IPS/Geo-Richtlinien | Schränkt den Zugriff nach Verbindungsquelle ein |
| Starke Passwortrichtlinie | Niedrig | Domain-GPO oder lokale Sicherheitsrichtlinie | Erhöht den Aufwand für Brute-Force-Angriffe |
| Regelmäßiges Patching | Niedrig | Windows aktualisieren, WSUS oder Intune | Schließt bekannte RDP-Sicherheitslücken |
So erkennen Sie aktive RDP-Brute-Force-Angriffe
Bevor Sie Schutzmaßnahmen einrichten, sollten Sie die Grundlagen im Blick behalten. Überwachen Sie Event ID 4625 im Windows-Sicherheitsprotokoll auf fehlgeschlagene Anmeldeversuche, denn Spitzen deuten auf aktive Angriffe hin. Wenn Sie innerhalb weniger Minuten Dutzende oder Hunderte von 4625-Ereignissen von derselben Quell-IP sehen, beobachten Sie einen Brute-Force-Versuch in Echtzeit. Moderne Erkennungsmethoden suchen nach Type-3-Anmeldungen (Netzwerkauthentifizierung über NLA), gefolgt von Type-10-Anmeldungen (remote interaktiv), da sich der Authentifizierungsablauf mit der Einführung von Network Level Authentication geändert hat.
Achten Sie auf fehlgeschlagene Anmeldemuster über mehrere Benutzernamen von einzelnen IPs, denn das ist ein Zeichen für Password Spraying statt gezielter Angriffe. Geografische Unstimmigkeiten spielen ebenfalls eine Rolle. Wenn Ihre Nutzer in Nordamerika arbeiten, aber Anmeldeversuche aus Osteuropa oder Asien auftauchen, ist das ein klares Warnsignal, dem Sie sofort nachgehen sollten. Manche Angreifer nutzen residential Proxies, um ihren tatsächlichen Standort zu verschleiern, aber Volumen und Timing-Muster verraten sie trotzdem.
Leiten Sie diese Ereignisse an ein zentrales Logging-System oder SIEM weiter, das Aktivitäten über mehrere Server hinweg korrelieren kann. Legen Sie Warnschwellen auf Basis der normalen Authentifizierungsmuster in Ihrer Umgebung fest, denn was für ein großes Unternehmen normal wirkt, kann für ein kleines Unternehmen bereits verdächtig sein. Das Ziel ist, Brute-Force-Angriffe und ihre Muster zu stoppen, bevor sie Erfolg haben, nicht erst nach dem Schaden zu dokumentieren.
So stoppen Sie einen laufenden RDP-Brute-Force-Angriff
Wenn die Überwachung einen Alarm wegen wiederholter fehlgeschlagener Anmeldungen oder Credential Sprays auslöst, arbeiten Sie die Schritte der Reihe nach ab. Zuerst: Quelle isolieren, indem Sie die IP oder den IP-Bereich an der Perimeter-Firewall sperren. Bei hohem Volumen setzen Sie temporäre Rate Limits, um den Angriff zu verlangsamen, während Sie ermitteln. Warten Sie nicht auf automatisierte Tools, wenn Sie den Angriff bereits in Echtzeit sehen.
Zweiter Schritt: Identität absichern, indem Sie das Passwort des betroffenen Kontos ablaufen lassen und prüfen, ob es auf anderen Diensten wiederverwendet wird. Deaktivieren Sie das Konto, wenn eine Kompromittierung vermutet wird, denn Zugang zu verhindern ist besser als die Nacharbeit nach einem Breach. Überprüfen Sie aktuelle erfolgreiche Anmeldungen für dieses Konto, um festzustellen, ob der Angreifer bereits Zugang hatte, bevor Sie es bemerkt haben.
Dritter Schritt: Zugangswege prüfen, indem Sie sicherstellen, dass RD Gateway oder VPN für den Zugang erforderlich ist, und etwaige Portweiterleitung entfernen, die 3389 wieder ins Internet exponiert. Manche Angriffe gelingen, weil jemand vor Monaten eine temporäre Firewall-Regel geöffnet und vergessen hat, sie zu schließen. Vierter Schritt: Auf Folgeschäden prüfen, indem Sie RDP-Sitzungsprotokolle, neue lokale Administratoren, installierte Dienste und geplante Tasks überprüfen. EDR-Telemetrie hilft dabei, Persistenzmechanismen zu erkennen, die Angreifer in kurzen Zugriffsfenstern einrichten.
Abschließend: Erkennungsregeln schärfen, indem Sie Regeln für Anmelde-Stürme auf privilegierten Konten hinzufügen und Tickets für die Nachverfolgung auslösen, damit Erkenntnisse zu Standards werden. Diese Maßnahmen halten Vorfälle kurz und zeigen konkret, wie Brute-Force-Angriffe nach dem Auslösen eines Erkennungsalarms gestoppt werden können.
Erweiterte RDP-Brute-Force-Schutzstrategien
Einige zusätzliche Maßnahmen zahlen sich aus, besonders für internet-exponierte Workloads und Admins unterwegs. Setzen Sie pro-IP-Schwellenwerte auf Ihrem RD Gateway oder Ihrer Firewall und passen Sie IPS-Signaturen an, die zu RDP-Handshake-Floods passen. Das verhindert, dass Bots Sie mit Maschinengeschwindigkeit beschießen, und gibt SOC-Alarmen mehr Kontext für die Triage. Rate Limiting am Netzwerkrand verhindert, dass einzelne Angreifer alle Ihre Authentifizierungsressourcen verbrauchen. Große Ransomware-Gruppen, darunter Black Basta und RansomHub, haben RDP-Brute-Forcing als primäre Methode für den initialen Zugang übernommen.
Modernes EDR fügt Session-Metadaten hinzu, die helfen, Admin-Arbeit von gezielten Angriffen zu unterscheiden, und unterstützt die Suche über verwandte Hosts hinweg. Dieser Kontext verkürzt die Verweildauer, wenn Angreifer sich lateral durch Ihre Umgebung bewegen. Der Unterschied zwischen dem Erkennen eines Einbruchs in Stunden statt Tagen hängt oft davon ab, die richtige Telemetrie an den richtigen Stellen zu haben.
Deaktivieren Sie unnötige Laufwerk-, Zwischenablage- und Druckerumleitung auf Hochrisiko-Hosts. Das Deaktivieren von Komfortfunktionen erhöht die Hürde für Eindringlinge, die Daten exfiltrieren oder Tools in Ihre Umgebung einschleusen wollen. Kombinieren Sie das mit dem Least-Privilege-Prinzip und getrennten lokalen Administratorkonten, damit die Kompromittierung eines Kontos nicht alles preisgibt. Brute-Force-Versuche zu stoppen fällt leichter, wenn Lateral Movement nur noch im Schneckentempo vorankommt.
Port-Obfuskation durch Ändern des Standard-Ports 3389 hält entschlossene Scans nicht auf, reduziert aber den Lärm von Bots, die nur Standard-Ports angreifen. Wenn Sie ihn ändern, kombinieren Sie das trotzdem mit VPN, Allowlists und MFA, denn Obfuskation allein versagt bei gezielten Angriffen. Bestätigen Sie auf neuen Windows-Servern Remote-Desktop-Einstellungen, NLA und Firewall-Regeln über ein erhöhtes Terminal mit PowerShell oder CMD. Aufgaben wie das Aktivieren von RDP per Befehlszeile bleiben sauber und reproduzierbar, wenn sie per Skript ausgeführt und überprüft werden - so sind diese Schritte in Ihren Änderungsprozess eingebunden und Abweichungen werden frühzeitig erkannt.
RDP-Hygiene ist Teil eines umfassenderen Remote-Access-Konzepts. Wenn Sie Systeme über Browser oder Drittanbieter-Apps verwalten, prüfen Sie auch diese -Sicherheitsrisiken bei Chrome Remote Desktop, kann zum Beispiel genauso viel Log-Rauschen erzeugen wie ein exponierter Port 3389. Konsequente Hygiene über alle Tools hinweg hält den RDP-Brute-Force-Schutz durchgehend stark.
Fazit
Jetzt haben Sie eine klare, mehrschichtige Antwort auf die Frage, wie Sie RDP-Brute-Force-Angriffe verhindern. Halten Sie die Angriffsfläche klein mit einem VPN oder Gateway, erhöhen Sie die Hürde mit MFA, NLA und Sperrrichtlinien, und behalten Sie Authentifizierungsprotokolle genau im Blick. Diese Maßnahmen ergeben einen praktischen Brute-Force-Schutz, der in realen Umgebungen unter echtem Druck funktioniert, nicht nur in der Dokumentation.
Wenn Sie eine saubere Umgebung zum Testen dieser Maßnahmen benötigen oder einen produktionsreifen Einstiegspunkt mit ordentlicher Absicherung, können Sie RDP kaufen bei Anbietern wählen, die schnelle Konnektivität, NVMe-Speicher für schnelle I/O und eine geeignete Monitoring-Infrastruktur bieten. Wählen Sie Rechenzentren, die dem Standort Ihres Teams entsprechen, damit die Latenz niedrig bleibt, und stellen Sie sicher, dass der Anbieter die von Ihnen benötigten Sicherheitskontrollen unterstützt.
Remote Desktop gesucht?
Zuverlässige, leistungsstarke RDP-Server mit 99,95 % Verfügbarkeit. Nutze deinen Desktop unterwegs in den wichtigsten Städten der USA, Europas und Asiens.
RDP-Server holen
