· Rexoma Team · IT-Sicherheit  · 5 min read

RDP absichern: Windows Remote Desktop sicher für KMU einrichten

Offene RDP-Ports gehören zu den häufigsten Einfallstoren für Ransomware in KMU-Netzwerken. So richten Sie Windows Remote Desktop sicher ein – ohne auf Fernzugriff zu verzichten.

Offene RDP-Ports gehören zu den häufigsten Einfallstoren für Ransomware in KMU-Netzwerken. So richten Sie Windows Remote Desktop sicher ein – ohne auf Fernzugriff zu verzichten.

In vielen kleinen und mittleren Unternehmen läuft Windows Remote Desktop (RDP) auf dem Standardport 3389 – direkt aus dem Internet erreichbar. Das ist bequem, aber gefährlich. RDP gehört laut ENISA zu den meistgenutzten Angriffsvektoren für Ransomware in Europa. Dieser Artikel zeigt, wie Sie RDP in Ihrem KMU Schritt für Schritt absichern, ohne auf Fernzugriff verzichten zu müssen.

Warum RDP so ein beliebtes Angriffsziel ist

RDP (Remote Desktop Protocol) ermöglicht die vollständige Fernsteuerung eines Windows-Rechners. Genau das macht es für Homeoffice und IT-Support unverzichtbar – und für Angreifer so attraktiv. Das Internet wird rund um die Uhr automatisiert nach offenen Port-3389-Diensten gescannt.

Typische Angriffsmuster:

  • Brute-Force: Automatisierte Tools probieren tausende Passwörter pro Minute. Ohne Kontosperrung ist ein schwaches Passwort in Stunden geknackt.
  • Credential Stuffing: Zugangsdaten aus anderen Datenlecks werden direkt gegen RDP-Server getestet – funktioniert erschreckend oft.
  • BlueKeep & Co.: Bekannte RDP-Schwachstellen (z. B. CVE-2019-0708) ermöglichen Remote Code Execution ganz ohne gültigen Login – auf ungepatchten Systemen.
  • Man-in-the-Middle: Ohne Zertifikatsprüfung können Angreifer sich unbemerkt zwischen Client und Server schalten.

Wie Angreifer offene RDP-Server finden

Dienste wie Shodan oder Censys indexieren das gesamte Internet nach offenen Ports. Ein einfacher Query wie port:3389 country:DE liefert innerhalb von Sekunden zehntausende deutsche RDP-Server. Dresdner und sächsische KMU sind selbstverständlich dabei – sofern keine Schutzmaßnahmen getroffen wurden.

Die 7 wichtigsten Schritte zur RDP-Absicherung

Schritt 1: RDP nie direkt ins Internet exponieren

Die wichtigste Maßnahme überhaupt: Port 3389 darf niemals direkt aus dem Internet erreichbar sein. Schließen Sie diesen Port in Ihrer Firewall (OPNsense, FortiGate oder Windows Firewall). Fernzugriff auf Windows-Systeme sollte ausschließlich über ein VPN oder einen RDP-Gateway erfolgen.

Auf einer OPNsense-Firewall legen Sie eine WAN-Regel an, die eingehenden TCP-Traffic auf Port 3389 komplett verwirft. Interner Traffic aus dem VPN-Subnetz bleibt davon unberührt.

Schritt 2: Network Level Authentication (NLA) erzwingen

NLA verlangt eine erfolgreiche Authentifizierung, bevor überhaupt eine RDP-Sitzung aufgebaut wird. Unauthentifizierte Verbindungen erhalten keinen Zugang zu Windows-Komponenten – das verkleinert die Angriffsfläche erheblich.

Aktivierung per Gruppenrichtlinie (GPO):

Computerkonfiguration → Administrative Vorlagen →
Windows-Komponenten → Remotedesktopdienste →
Remotedesktop-Sitzungshost → Sicherheit →
"Netzwerkauthentifizierung für Remoteverbindungen erfordern" → Aktiviert

Schritt 3: Starke Passwörter und Kontosperrung

RDP-Konten benötigen komplexe Passwörter – mindestens 16 Zeichen mit Sonderzeichen und Zahlen. Zusätzlich muss eine Account Lockout Policy greifen: nach 5 Fehlversuchen wird das Konto für 30 Minuten gesperrt.

GPO-Einstellung unter:

Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen →
Kontorichtlinien → Kontosperrungsrichtlinie
→ Schwellenwert: 5 Versuche
→ Sperrdauer: 30 Minuten

Schritt 4: Multi-Faktor-Authentifizierung für RDP

MFA ist auch für Windows Remote Desktop umsetzbar. Microsoft Entra ID (früher Azure AD) mit Conditional Access erzwingt einen zweiten Faktor vor der Anmeldung. Drittanbieter wie Duo Security lassen sich ebenfalls in AD-Umgebungen integrieren.

Für kleinere KMU ohne Active Directory gilt: RDP-Zugang ausschließlich über ein VPN mit MFA bereitstellen – etwa WireGuard kombiniert mit TOTP. Der zweite Faktor sitzt dann auf Netzwerkebene, bevor RDP überhaupt erreichbar ist.

Schritt 5: RDP-Gateway statt direkter Verbindung

Der Windows Remote Desktop Gateway-Dienst tunnelt RDP-Verbindungen über HTTPS (Port 443). Vorteile:

  • Kein offener Port 3389 notwendig
  • TLS-Verschlüsselung mit validem Zertifikat (z. B. Let’s Encrypt)
  • Zentrale Protokollierung aller Verbindungen
  • Zugriffssteuerung nach Benutzer, Gerät und Zeitfenster möglich

RD Gateway ist in Windows Server (Remotedesktopdienste) enthalten und für ostdeutsche KMU mit eigenem Server eine saubere Lösung.

Schritt 6: Patchmanagement – kritische Updates sofort einspielen

RDP-Schwachstellen werden regelmäßig entdeckt und innerhalb von Stunden nach Veröffentlichung aktiv ausgenutzt. BlueKeep und DejaBlue zeigen: ein ungepatchtes System ist keine Frage des Ob, sondern des Wann. Kritische Windows-Updates sollten spätestens 48 Stunden nach Veröffentlichung eingespielt sein.

In sächsischen KMU sehen wir immer wieder Systeme, die monatelang ohne Updates laufen – oft weil keine klare Verantwortlichkeit definiert ist. Das lässt sich mit einem einfachen Patchmanagement-Prozess beheben.

Schritt 7: RDP-Verbindungen protokollieren und überwachen

Aktivieren Sie die Windows-Ereignisprotokollierung für RDP:

  • Event ID 4624: Erfolgreiche Anmeldung
  • Event ID 4625: Fehlgeschlagene Anmeldung
  • Event ID 4778 / 4779: RDP-Sitzung verbunden / getrennt

Leiten Sie diese Logs an ein zentrales System weiter (Graylog, Wazuh oder ELK Stack). So erkennen Sie Brute-Force-Muster sofort. Für KMU ohne SIEM: Mindestens ein wöchentlicher manueller Check der Ereignislogs genügt als Einstieg.

RDP vs. Alternativen – was passt für welches KMU?

LösungVorteileNachteile
RDP + WireGuard VPNKein Drittanbieter, sauberVPN muss zuverlässig laufen
RD GatewayKein offener Port 3389, TLSWindows Server erforderlich
Rustdesk (Self-hosted)Open Source, DSGVO-konformEigener Relay-Server nötig
TeamViewer / AnyDeskEinfache EinrichtungDrittanbieter-Abhängigkeit, Lizenzkosten

Für die meisten Dresdner KMU lautet unsere Empfehlung: WireGuard VPN + RDP mit NLA. Kein Drittanbieter, keine unnötige Komplexität, mit OPNsense in wenigen Stunden sauber konfiguriert.

Checkliste: RDP-Sicherheit auf einen Blick

  • Port 3389 in der Firewall aus dem Internet geblockt
  • RDP nur über VPN oder RD Gateway erreichbar
  • Network Level Authentication (NLA) aktiviert
  • Kontosperrungsrichtlinie konfiguriert (max. 5 Fehlversuche)
  • Komplexe Passwörter für alle RDP-Konten (min. 16 Zeichen)
  • Multi-Faktor-Authentifizierung aktiv
  • Windows-Updates zeitnah eingespielt
  • RDP-Ereignislogs aktiviert und überwacht
  • Kein direkter Einsatz des Administratorkontos für RDP

Unterstützung in Dresden und Sachsen

Sie möchten Windows Remote Desktop in Ihrem Unternehmen sicher einrichten oder Ihre bestehende Konfiguration überprüfen lassen? Rexoma IT betreut KMU in Dresden und ganz Sachsen bei der Absicherung ihrer Windows-Infrastruktur – von der OPNsense-Firewall-Konfiguration über WireGuard-VPN bis zum RD Gateway. Wir prüfen Ihre aktuelle RDP-Konfiguration und schließen Schwachstellen, bevor Angreifer sie finden.

Kontakt: rexoma.de/kontakt


FAQ

Reicht es, RDP auf einen anderen Port zu verlegen?

Nein. Portscanner wie nmap oder Shodan finden RDP-Dienste unabhängig vom Port innerhalb von Minuten. Ein geänderter Port reduziert automatisierte Angriffe leicht, ist aber kein Sicherheitsmerkmal. Kombinieren Sie es immer mit VPN und NLA – dann ist der Port-Wechsel sinnlos, weil kein externer Zugriff auf Port 3389 möglich ist.

Brauche ich für sicheres RDP einen Windows Server?

Nicht zwingend. WireGuard VPN + RDP mit NLA funktioniert auch ohne Windows Server. Für RD Gateway wird Windows Server mit RDS-CAL-Lizenzen benötigt. Ab etwa 10 gleichzeitigen Nutzern lohnt sich die Server-Variante.

Wie erkenne ich, ob mein RDP-Server bereits kompromittiert wurde?

Prüfen Sie die Windows-Ereignislogs auf Event ID 4625 mit vielen Fehlversuchen aus unbekannten IP-Adressen. Weitere Warnsignale: unbekannte Benutzerkonten, veränderte Autostart-Einträge, unerklärlicher Netzwerktraffic oder verdächtige Prozesse. Im Zweifel empfehlen wir eine forensische Analyse.

Kann ich RDP deaktivieren, wenn ich es nicht brauche?

Ja, und das sollten Sie tun. Wenn kein Fernzugriff über RDP benötigt wird: Systemsteuerung → System → Remoteeinstellungen → “Keine Remoteverbindungen mit diesem Computer zulassen”. Das ist der sicherste Schutz – kein Dienst, kein Angriffsziel.

Funktioniert RDP-Absicherung auch in kleinen Unternehmen ohne IT-Abteilung?

Ja. WireGuard VPN auf einer OPNsense-Firewall lässt sich einmalig einrichten und läuft dann wartungsarm. Die initiale Konfiguration dauert wenige Stunden. Dresdner KMU ohne eigene IT-Abteilung können das an einen lokalen IT-Dienstleister wie Rexoma IT auslagern.

Back to Blog

Related Posts

View All Posts »