RDP-Sicherheitsaudit-Checkliste: 12 Dinge, die vor dem nächsten Penetrationstest behoben werden müssen

17. Mai 2026 · 7 Min. Lesezeit

Security Engineering

RDP (Remote Desktop Protocol) taucht in der Initial-Access-Phase fast jedes schwerwiegenden Ransomware-Vorfalls auf. Exponierter Port 3389, schwache Zugangsdaten, kein MFA — Angreifer kennen dieses Muster. Ihr nächster Penetrationstest wird diese Probleme finden, wenn Sie sie noch nicht behoben haben. Diese Checkliste sagt Ihnen genau, was zu beheben ist und wie.

Die 12-Punkte-Checkliste

Gehen Sie sie der Reihe nach durch. Punkte 1–3 sind kritisch; befassen Sie sich mit ihnen vor allem anderen.

1. Exponierter RDP-Port (3389) direkt im Internet

Problem: Ihre Windows-Server akzeptieren RDP-Verbindungen auf Port 3389 aus dem öffentlichen Internet.

Risiko: Angreifer scannen kontinuierlich nach offenem Port 3389. Innerhalb von Stunden nach dem Start eines neuen Servers ist er ein Ziel von Brute-Force- und Credential-Stuffing-Angriffen. Das ist der häufigste Initial-Access-Vektor für Ransomware in Unternehmensumgebungen.

Lösung: Entfernen Sie die Firewall-Regel, die eingehende Verbindungen auf Port 3389 aus dem Internet erlaubt. Greifen Sie auf Windows-Server ausschließlich über eine PAM-Lösung (wie VaultPAM) zu, die die Sitzung vermittelt — der RDP-Port bleibt auf dem Server geschlossen, und die Verbindung wird über den Connector ausgehend hergestellt.

2. Gemeinsam genutzte Administratorzugangsdaten zwischen Servern

Problem: Ihr Team verwendet ein gemeinsames Administrator-Konto (oder admin oder ein einzelnes benanntes Konto) zwischen mehreren Servern, und mehrere Personen kennen das Passwort.

Risiko: Wenn jemand das Unternehmen verlässt, stehen Sie vor einer unmöglichen Wahl: Passwort rotieren und alle anderen stören, oder den Zugriff des ehemaligen Mitarbeiters unberührt lassen. Bei einem Vorfall können Sie nicht feststellen, wer welche Aktion durchgeführt hat, da alle Aktivitäten dem gemeinsamen Konto zugeordnet werden.

Lösung: Wechseln Sie zu individuellen benannten Konten für den gesamten privilegierten Zugriff. Verwenden Sie einen Zugangsdaten-Safe zur Speicherung und automatischen Rotation von Server-Zugangsdaten. Verwenden Sie Sitzungs-Proxying, damit Benutzer sich verbinden, ohne das tatsächliche Passwort zu erhalten — der Safe speichert es.

3. Kein MFA auf privilegierten Konten

Problem: Administratoren authentifizieren sich bei Produktionssystemen ausschließlich mit Benutzername und Passwort.

Risiko: Eine einzige Phishing-E-Mail, ein Zugangsdaten-Dump oder ein wiederverwendetes Passwort gibt einem Angreifer vollen Administratorzugriff. MFA ist der einzelne Kontrollmechanismus mit der höchsten Wirkung, um zugangsdatenbasierte Angriffe zu stoppen.

Lösung: Verlangen Sie TOTP (Google Authenticator, Authy) oder Hardware-Token (YubiKey, Touch ID, Windows Hello) für jedes privilegierte Konto. Überprüfen Sie die Durchsetzung — Richtliniendokumente zählen nicht; zeigen Sie, dass ein Anmeldeversuch ohne MFA abgelehnt wird.

4. Keine Sitzungsaufzeichnung

Problem: Wenn privilegierte Sitzungen stattfinden, gibt es keine Aufzeichnung dessen, was während der Sitzung passiert ist.

Risiko: Forensik nach einem Vorfall ist unmöglich. Prüfer können nicht überprüfen, welche Aktionen durchgeführt wurden. Insider-Bedrohungen hinterlassen keine Beweisspur. Ransomware-Angreifer, die Administratorzugangsdaten missbrauchen, können über das Anmeldeereignis hinaus nicht verfolgt werden.

Lösung: Leiten Sie alle privilegierten Sitzungen über eine PAM-Lösung, die vollständiges Sitzungsvideo und Aktivitätsprotokolle aufzeichnet (ausgeführte Befehle, übertragene Dateien, Zwischenablageinhalt). Speichern Sie Aufzeichnungen mit manipulationssicherer Integrität (Hash-Chains) für mindestens 12 Monate.

5. Dauerhafte Administratorberechtigungen (kein JIT-Zugriff)

Problem: Administratoren haben 24/7/365 privilegierten Zugriff auf Produktionssysteme, auch wenn sie keine administrative Aufgabe ausführen.

Risiko: Ein Angreifer, der eine Administrator-Workstation oder -Zugangsdaten kompromittiert, hat sofortigen und dauerhaften Zugriff auf die Produktionsumgebung. Die Angriffsfläche ist immer maximal.

Lösung: Implementieren Sie Just-in-Time-Zugriff (JIT). Berechtigungen werden für eine bestimmte Aufgabe und ein Zeitfenster gewährt und danach automatisch entzogen. Zwischen Aufgaben hat das Konto keinen privilegierten Zugriff — oder überhaupt kein aktives Konto.

6. Keine Prüfprotokoll-Weiterleitung

Problem: Server-Ereignisprotokolle (Windows-Ereignisprotokoll, Linux-Auth-Protokoll) liegen auf dem Server, wo sie von einem Angreifer gelöscht werden können, der Administratorzugriff erhält.

Risiko: Ein Angreifer mit Administratorzugriff kann Protokolle löschen und seine Spuren verwischen. Bei Vorfallreaktionen können wichtige forensische Daten fehlen.

Lösung: Leiten Sie alle privilegierten Zugriffsereignisse sofort an ein zentralisiertes SIEM oder unveränderlichen Protokollspeicher weiter. Stellen Sie sicher, dass das Protokollweiterleitungsprogramm als Dienst ausgeführt wird, der nicht ohne Auslösung eines Alarms gestoppt werden kann.

7. Nicht rotierte Zugangsdaten in gemeinsamen Safes oder Tabellenkalkulationen

Problem: Produktionspasswörter sind in einer gemeinsamen Tabellenkalkulation, einem gemeinsamen Passwort-Manager mit mehreren Benutzern oder einem IT-Dokumentationswerkzeug gespeichert — und wurden seit Monaten oder Jahren nicht rotiert.

Risiko: Jede Person, die jemals Zugriff auf diese Tabellenkalkulation oder diesen Passwort-Manager hatte, ist eine potenzielle Bedrohung. Zugangsdaten, die im Klartext geteilt werden, sind Zugangsdaten, die schließlich durchsickern werden.

Lösung: Verschieben Sie alle Produktionszugangsdaten in einen Safe mit automatischer Rotation. Legen Sie Rotationspläne entsprechend der Empfindlichkeit fest (täglich für kritische Produktionskonten, wöchentlich für andere). Konfigurieren Sie den Safe so, dass er Zugangsdaten nach jedem Checkout rotiert.

8. Kein Genehmigungsworkflow für sensible Ziele

Problem: Jeder Administrator kann jederzeit auf jeden Server zugreifen, ohne dass eine zweite Person informiert oder genehmigt.

Risiko: Laterale Bewegung durch eine Insider-Bedrohung oder ein kompromittiertes Administratorkonto ist unkontrolliert. Versehentliche Änderungen an kritischen Systemen haben keine Vier-Augen-Kontrolle.

Lösung: Implementieren Sie Genehmigungsworkflows für Ihre fünf wichtigsten Produktionsziele. Zugriffsanfragen erfordern eine dokumentierte Genehmigung durch eine zweite autorisierte Person vor Sitzungsbeginn. VaultPAM protokolliert die Anfrage, die Genehmigung und jede Aktion, die während der genehmigten Sitzung durchgeführt wird.

9. Standard-Administratorkontonamen (Administrator, admin, root)

Problem: Ihre Server verwenden Standard-integrierte Administratorkontonamen.

Risiko: Credential-Stuffing-Angriffe zielen auf Standard-Kontonamen ab, weil sie vorhersehbar sind. Jeder Windows-Server hat ein Administrator-Konto; Angreifer wissen, dass sie es zuerst versuchen sollen.

Lösung: Benennen Sie das integrierte Windows-Administrator-Konto auf allen Servern um. Deaktivieren Sie auf Linux die direkte SSH-Root-Anmeldung (PermitRootLogin no in sshd_config). Erstellen Sie benannte Administratorkonten für legitime Nutzung. Speichern Sie Zugangsdaten im Safe.

10. Kein Timeout für inaktive Sitzungen

Problem: RDP-Sitzungen bleiben unbegrenzt aktiv, wenn der Benutzer den Schreibtisch verlässt, ohne zu sperren oder die Verbindung zu trennen.

Risiko: Eine unbeaufsichtigte aktive Sitzung ist eine offene Tür. Physisches Tailgating oder Fernzugriff auf die Administrator-Workstation gibt vollen Zugriff auf jedes System, mit dem der Administrator verbunden ist.

Lösung: Konfigurieren Sie Sitzungs-Timeout-Richtlinien — trennen Sie inaktive Sitzungen nach 15 Minuten, melden Sie getrennte Sitzungen nach 30 Minuten ab. Erzwingen Sie sowohl auf Client-Ebene (GPO) als auch auf Server-Ebene. VaultPAM erzwingt Sitzungs-Timeouts auf der PAM-Schicht unabhängig von der Client-Konfiguration.

11. Zugangskontrolle nur durch VPN (ohne PAM-Schicht)

Problem: Ihr Zugangskontrollmodell lautet: „Wenn Sie im VPN sind, können Sie per RDP auf jeden Server zugreifen, für den Sie Zugangsdaten haben."

Risiko: VPN ist Zugangskontrolle auf Netzwerkebene. Es schränkt nicht ein, auf welche Server ein Benutzer zugreifen kann, erzwingt keine minimalen Rechte, zeichnet keine Sitzungen auf und erfordert kein MFA pro Sitzung. Kompromittierte VPN-Zugangsdaten geben einem Angreifer Zugriff auf das gesamte interne Netzwerk.

Lösung: Fügen Sie eine PAM-Schicht über dem VPN hinzu (oder ersetzen Sie VPN-basierten Zugriff vollständig). Benutzer authentifizieren sich bei der PAM-Lösung, die richtlinienbasierten Zugriff auf bestimmte Ziele erzwingt, MFA erfordert und jede Sitzung aufzeichnet. Zielserver sind nicht vom VPN aus zugänglich — nur vom PAM-Connector.

12. Kein Zugriffsüberprüfungsprozess

Problem: Privilegierte Zugriffsrechte werden gewährt, aber nie überprüft. Benutzer akkumulieren im Laufe der Zeit Zugriff; ausscheidende Mitarbeiter können nach ihrem Abgang monatelang Zugriff behalten.

Risiko: Privilege Creep ist der häufigste Befund bei Audits und ein echtes Sicherheitsrisiko. Ruhende Konten mit privilegiertem Zugriff sind hochwertige Ziele — Angreifer suchen nach Konten, die sich zuletzt nicht angemeldet haben (niemand schaut hin).

Lösung: Implementieren Sie einen vierteljährlichen Zugriffsüberprüfungsprozess. Exportieren Sie eine vollständige Liste privilegierter Konten und ihrer Zugriffsrechte. Bitten Sie einen zugewiesenen Prüfer zu bestätigen, dass jeder Zugriff noch benötigt und angemessen eingeschränkt ist. Entziehen Sie Zugriff, der nicht gerechtfertigt werden kann. Dokumentieren Sie die Überprüfung mit Datum, Prüfernamen und Ergebnis.

Wo beginnen

Wenn Sie sich auf einen Penetrationstest vorbereiten, priorisieren Sie zunächst die Punkte 1, 2 und 3 — das sind die häufigsten Initial-Access-Befunde und das höchste Risiko. Punkte 4, 5 und 6 sind die häufigsten Post-Exploitation-Befunde. Punkte 7–12 sind die häufigsten Compliance-Audit-Befunde.

Alle 12 Punkte werden durch die Implementierung einer PAM-Lösung behoben. Die Liste der Penetrationstest-Befunde wird ohne sie im Laufe der Zeit nicht kürzer — sie wächst, wenn die Umgebung expandiert.

VaultPAM behebt alle 12 dieser Befunde in einem Nachmittag Bereitstellung. Keine zu installierenden Agents. Keine Firewall-Änderungen erforderlich. Sitzungen werden ausschließlich über ausgehende Connectors vermittelt; Port 3389 bleibt geschlossen.

Starten Sie Ihren kostenlosen Test — sehen Sie, wie VaultPAM die häufigsten RDP-Penetrationstest-Befunde aus Ihrer Umgebung eliminiert.

Die 12-Punkte-Checkliste​

1. Exponierter RDP-Port (3389) direkt im Internet​

2. Gemeinsam genutzte Administratorzugangsdaten zwischen Servern​

3. Kein MFA auf privilegierten Konten​

4. Keine Sitzungsaufzeichnung​

5. Dauerhafte Administratorberechtigungen (kein JIT-Zugriff)​

6. Keine Prüfprotokoll-Weiterleitung​

7. Nicht rotierte Zugangsdaten in gemeinsamen Safes oder Tabellenkalkulationen​

8. Kein Genehmigungsworkflow für sensible Ziele​

9. Standard-Administratorkontonamen (Administrator, admin, root)​

10. Kein Timeout für inaktive Sitzungen​

11. Zugangskontrolle nur durch VPN (ohne PAM-Schicht)​

12. Kein Zugriffsüberprüfungsprozess​

Wo beginnen​