Das Remote Desktop Protokoll (RDP) ist zweifellos ein unschätzbares Werkzeug für die moderne IT-Infrastruktur. Es ermöglicht Nutzern, über das Netzwerk eine Verbindung zu entfernten Computern herzustellen und diese zu steuern. Insbesondere in Unternehmen ist diese Funktion bei der IT-Administration beliebt, sei es für den Support oder die Fernwartung von Systemen.

Doch während RDP zweifellos die Produktivität steigern kann, birgt es auch erhebliche Risiken, insbesondere wenn es nicht angemessen abgesichert ist und offen im Internet zugänglich ist.

Lesen Sie hier, wie Sie Gefahrenherde schließen und das RDP sicher nutzen können.

Gefahrenpotentiale des Remote Desktop Protokolls

Das Remote Desktop Protokolll (RDP) ist ein wertvolles Werkzeug, mit dem Nutzende über eine Netzwerkverbindung eine Verbindung zu einem entfernten Computer herstellen und diesen steuern können. Besonders beliebt ist diese Funktion bei der IT-Administration in Unternehmen, wenn Mitarbeitende beispielsweise IT-Support benötigen.

Während das RDP die Produktivität im Unternehmen erheblich steigern kann, kann es Ihr System aber auch ernsthaften Risiken aussetzen, wenn Sie es ohne angemessene Sicherheitsmaßnahmen für das Internet offen lassen.

Was ist RDP Hijacking?

RDP-Hijacking liegt vor, wenn sich Unbefugte Zugang zu Ihrem RDP-fähigen System verschaffen. Cyberkriminelle nutzen häufig Schwachstellen in offenen RDP-Konfigurationen aus, um Angriffe zu starten. Dies kann zu unbefugtem Zugriff, Datenverletzungen und potenzieller Systemgefährdung führen. Die Folgen können schwerwiegend sein und reichen von der Offenlegung oder dem Abfluss sensibler Daten bis hin zum vollständigen Verlust der Kontrolle über Ihr System oder einer Verschlüsselung einer unternehmensweiten Infrastruktur mit einem Ransomware-Trojaner.

Aus unserer Erfahrung heraus raten wir unseren Kunden stets, Dienste zum Internet nicht ohne weitere Absicherung zu exponieren. Dies bedeutet: Man sollte den RDP-Dienst nicht direkt mit dem Internet verbinden, da entsprechende Dienste stets Sicherheitsrisiken bergen. Was wir aus vergangenen Fällen lernen konnten, war, dass Angreifer derartig (ohne zusätzlichen Schutz, wie z.B. einen Firewall oder ein VPN) exponierte Dienste, mittels Brute-Force-Angriffen (Ausprobieren von Listen mit Benutzer- und Passwort-Kombinationen) recht schnell übernehmen konnten und damit innerhalb von wenigen Stunden Zugriff auf ganze Unternehmensinfrastrukturen erlangten konnten.

Angreifer haben es dabei auf die vom Internet freigegebenen Standard-Ports des Dienstes (Port 3389) abgesehen, um sich Zugang zu Netzwerken zu verschaffen. Leider ist auch das Verändern dieser Ports zur Verschleierung kein geeignetes Mittel, da Angreifer mittels eines Portscans der 65.535 möglichen Ports mit geringem Aufwand diese Verschiebung feststellen können.

Was kann ich tun?

Um dieses Risiko so gering wie möglich zu halten, ist es ratsam, RDP-Dienste nicht direkt freizugeben und alternative Lösungen in Betracht zu ziehen. Erwägen Sie die Verwendung von einem Firewall mit VPN-Zugang, Microsoft Remote Desktop Gateway oder Azure Multi-Factor Authentication Server für einen sicheren Zugriff.

Legen Sie darüber hinaus Gruppenrichtlinien fest: Passen Sie die Einstellungen dahingehend an, dass Benutzer nach dem Trennen einer RDP-Sitzung sofort abgemeldet werden, um zu verhindern, dass Angreifer Sitzungen einfach „wieder aufnehmen“ können. Weiter sollte die Anzahl der fehlerhaften Logins auf z.B. fünf fehlgeschlagene Anmeldungen reduziert werden. Damit wird auch die Angriffsfläche mittels Brute-Forcing reduziert.

Bleiben Sie stets wachsam: Mit der zunehmenden Verbreitung von Homeoffice/ Fernarbeit ist es wichtig, die mit RDP verbundenen Risiken zu verstehen und die gebotene Angriffsfläche zu minimieren. Die Implementierung von Präventionsstrategien und das Wissen, wo regelmäßig Informationen über neue Bedrohungen gelistet werden (z.B. BSI oder CERT Bund, sind wichtige Bausteine zum Schutz Ihrer IT-Systeme.