Was ist RDP und welchen Nutzen hat die Technik?
RDP steht für Remote Desktop Protokoll – eine Technik, die Microsoft entwickelt hat, damit du von einem Gerät aus einen anderen Windows-Rechner fernsteuern kannst. Über das Internet werden Steuerungsbefehle und Bildschirmdarstellungen verschlüsselt übertragen. Maus- und Tastatureingaben landen nahezu in Echtzeit auf dem Zielgerät, der Bildschirm wird gespiegelt.
Praktisches Beispiel: Ein Systemadministrator installiert vom eigenen PC aus neue Software auf einem entfernten Rechner – ohne physisch vor Ort zu sein. Soweit die nützliche Seite.
Veränderte Arbeitswelt seit Beginn der Coronakrise erweist sich als Cyberrisiko
Mit der Corona-Pandemie hat sich die Arbeitswelt grundlegend verschoben. Viele Mitarbeitende sitzen nicht mehr in Büros, die von der firmeneigenen IT-Sicherheit überwacht werden – sondern zu Hause, am eigenen Rechner. Und von dort greifen sie auf sensible Firmendaten zu.
Das passiert meist über das Windows RDP Tool. Genau diese Kombination – externer Zugriff, privates Heimnetz, vertrauliche Daten – ist eine Schwachstelle, die Cyberkriminelle gezielt suchen und ausnutzen.
RDP Angriffe auf Schwachstellen
Sicher funktioniert die Fernsteuerung nur, wenn alle Systeme aktuell sind: Sicherheitsupdates und Patches müssen auf allen beteiligten Geräten eingespielt sein. Starke, regelmässig wechselnde Passwörter erschweren unbefugten Zugriff. Und der RDP-Zugriff selbst gehört technisch auf die höchste Sicherheitsstufe gesetzt.
RDP nutzt den TCP-Port 3389. Die Anmeldung ist durch eine solide Verschlüsselung grundsätzlich geschützt. Bei vielen privaten Windows-Systemen landet man aber bei der schwachen Variante „RDP-Security“ – die arbeitet noch immer mit dem veralteten RC4-Algorithmus und 40-Bit-Schlüsseln. Noch kritischer: „RDP-Security“ verwendet auf allen RDP-Servern denselben, öffentlich bekannten Microsoft-Schlüssel als Signatur. Für Angreifer ist das ein offenes Tor – Zugangsdaten lassen sich damit mitlesen.
Warum und wie genau Cyberkriminelle RDP Angriffe durchführen
Das Ziel ist meistens Diebstahl sensibler Firmendaten – mit teils massivem Schaden für das angegriffene Unternehmen. Eine der verbreitetsten Methoden ist der RDP-Brute-Force-Angriff. Mit einem Netzwerkscanner wie Masscan sucht der Angreifer nach IP- oder TCP-Portbereichen, die aktiv RDP-Server ansprechen. Masscan schafft das in unter sechs Minuten für das gesamte Internet. Ein gefundener Server wird direkt attackiert.
Dann kommt das Brute-Force-Tool. Es testet automatisch Tausende Kombinationen aus Kennwörtern und Benutzernamen – immer wieder, bis eine passt. Manchmal bricht unter der Last der Anfragen die Serverleistung zusammen. Irgendwann stimmt eine Kombination, der Zugriff steht.
Mit einem Administratoren-Account über RDP haben Angreifer freie Hand: alle Bereiche, alle Berechtigungen. Antivirensoftware wird deaktiviert, Malware installiert, Datensätze werden gelesen, verändert oder verschlüsselt. Besonders lukrativ ist die Verschlüsselung ganzer Systemsoftware via Ransomware – danach folgt die Forderung nach Lösegeld. Der Schaden für betroffene Unternehmen ist erheblich.