Ergebnisse einer Untersuchung der Spezialisten für Passwort-Sicherheit Specops zur Passwortnutzung bei Angriffen auf RDP-Ports (Netzwerkprotokoll von Microsoft für den Fernzugriff auf Computer) zeigen einmal mehr: Cyberangriffe sind manchmal gar keine ausgetüftelten Hightech-Operationen, sondern schlicht die Fleißarbeit automatisierter Systeme. Es braucht keine ausgeklügelte Hacking-Strategie, wenn nach wie vor Zugangsdaten wie ‘admin’, ‘123456’ oder ‘user’ bei öffentlich erreichbaren Remote-Desktop-Ports erfolgreich sind. Für Angreifer bedeutet das: Sie müssen nicht innovativ sein – die Unternehmen machen es ihnen immer noch viel zu leicht.
Besonders brisant: Unter den 20 meistversuchten Passwörtern finden sich praktisch ausschließlich “Klassiker”, die seit Jahren bekannt und auf Sicherheitswarnlisten stehen. Diese Passwörter stehen symbolisch für ein Problem, das viele Unternehmen weiterhin unterschätzen: Es sind nicht nur Zero-Day-Exploits oder hochspezialisierte Attacken, die die IT-Infrastruktur gefährden – oft reicht das digitale Durchprobieren von Standardpasswörtern. Dabei ist die Methode nicht neu. Brute-Force- oder Credential-Stuffing-Angriffe gehören längst zum Standard-Repertoire von Cyberkriminellen. Neu ist nur, dass es offenbar immer noch genügend Unternehmen gibt, die ihre extern erreichbaren Systeme nicht konsequent dagegen absichern.
Remote-Desktop-Protokolle (RDP) sind für viele IT-Abteilungen ein praktisches Werkzeug, um auf Systeme zuzugreifen. Aber sobald RDP-Zugänge direkt aus dem Internet erreichbar sind, wird daraus ein massives Sicherheitsrisiko – insbesondere, wenn dabei schwache, bekannte oder kompromittierte Passwörter im Spiel sind. Die Problemlösung ist ebenfalls altbekannt – und wird doch in der Praxis oft nicht umgesetzt:
• RDP-Zugänge niemals ungeschützt über das Internet erreichbar machen;
• Absicherung über VPN, Jump-Server oder Geoblocking;
• Starke Passwort-Policies und Passwortfilter einsetzen;
• Multi-Faktor-Authentifizierung (MFA) verpflichtend aktivieren;
• Unnötige Accounts und RDP-Zugänge konsequent deaktivieren.
Ein besonders gefährlicher Irrtum vieler Unternehmen: Sie verlassen sich noch immer auf klassische Passwortrichtlinien, die lediglich eine bestimmte Länge (Zeichenzahl) und Sonderzeichen fordern. Das führt in der Praxis zu Passwortkonstruktionen wie Admin2024!, die auf den ersten Blick komplex wirken, aber aufgrund ihrer Beliebtheit und Vorhersagbarkeit in jeder Angriffsliste ganz oben stehen.
Passwortlänge bei Angriffen über Remote-Desktop-Protokolle – Bildquelle: Outpost24
Moderne Passwortfilter setzen deshalb gezielt an den bekannten Schwachstellen an. Sie blockieren also Standardpasswörter und Namen, Tastaturmuster oder Passwörter aus früheren Leaks. Damit können Unternehmen das Risiko automatisierter Angriffe reduzieren.
(Die statistischen Randbedingungen – wie viele Teilnehmer in welchen Ländern – dieser Untersuchung wurden nicht genannt)
