Remote Desktop Protocol

Was ist Remote Desktop Protocol?

Remote Desktop Protocol (RDP) ist ein von Microsoft entwickeltes Netzwerkprotokoll, das grafischen Zugriff auf den Desktop eines entfernten Rechners ermöglicht. RDP arbeitet über verschlüsselte TCP-Verbindungen, standardmäßig auf Port 3389, und wird häufig für Fernadministration und Support eingesetzt.

Trotz seiner Funktionalität birgt RDP erhebliche Sicherheitsrisiken – insbesondere bei ungeschützten externen Zugriffen. Angreifer nutzen automatisierte Brute-Force- oder Credential-Stuffing-Angriffe, um schwach gesicherte RDP-Instanzen zu kompromittieren.

Wichtige RDP-Ressourcen

• Network Level Authentication (NLA)
  → Sicherheitsfeature, das eine Authentifizierung vor dem Aufbau der grafischen Sitzung verlangt.

• RDP Gateway
  → Sicherer Vermittlungsdienst, der RDP-Zugriffe über zentrale Zugangskontrollen kanalisiert.

• Multi-Faktor-Authentifizierung (MFA)
  → Reduziert das Risiko kompromittierter Zugangsdaten erheblich.

• Gruppenrichtlinien (Winlogon Policies)
  → Steuerung von Login-Versuchen, Sperren und Zeitintervallen.

• RDP-Härtung & Protokolleinstellungen
  → Deaktivierung unnötiger Funktionen wie Clipboard- oder Drive-Redirection.

Anwendung in der Praxis

• Admin-Zugriff: IT-Administratoren nutzen RDP zur Remote-Wartung von Servern.

• Angriffsvektor: Exponierte RDP-Dienste sind häufig Ziel von Ransomware-Vorfällen.

• Härtung: Einsatz von VPNs, Firewalls, NLA und IP-Whitelists schützt vor Missbrauch.

• Logging & Monitoring: RDP-Verbindungen sollten aktiv überwacht und protokolliert werden.

• Gateway-Absicherung: Zentralisierte RDP-Gateways ermöglichen bessere Zugriffskontrolle.

Verwandte Begriffe

• Brute-Force-Angriff

• Multi-Factor Authentication

• Endpoint Protection Platform

• Ransomware

• VPN

Beispiel aus der Praxis

In einem mittelständischen Unternehmen wird RDP für den Zugriff auf interne Server genutzt. Nach einem Vorfall mit Ransomware stellt sich heraus, dass ein exponierter RDP-Port ohne IP-Beschränkung und NLA betrieben wurde. Die Angreifer nutzten gestohlene Zugangsdaten, um sich Zugriff zu verschaffen und das Netzwerk zu verschlüsseln. Im Nachgang wurden alle RDP-Dienste hinter ein VPN verlegt, Multi-Faktor-Authentifizierung aktiviert und nicht benötigte RDP-Funktionen deaktiviert.