„Wie finden Hacker eigentlich unsere Systeme?“ – eine Frage, die ihr in Security-Reviews immer wieder hört. Die Antwort ist ernüchternd: Sie suchen nicht lange. Nach über 15 Jahren Erfahrung in Softwarequalität und Remote Consulting zeigen wir euch heute, was ein Forscherteam in drei Jahren Honeypot-Betrieb aufgedeckt hat – und welche konkreten Learnings ihr daraus für eure Infrastruktur ziehen könnt.
Warum RDP Honeypots mehr als nur Security-Theater sind
Remote Desktop Protocol (RDP) ist für viele Teams unverzichtbar. Doch die Bequemlichkeit hat ihren Preis: RDP-Systeme sind eines der häufigsten Einfallstore für Ransomware und Kompromittierungen. Zwei Sicherheitsforscher von GoSecure, Andréanne Bergeron und Olivier Bilodeau, haben das getan, was nur wenige wagen: Sie haben einen RDP-Honeypot ins Internet gestellt und drei Jahre lang beobachtet, was passiert.
Die Zahlen sind beeindruckend:
- Über 20.000 RDP-Sitzungen aufgezeichnet
- 190 Millionen Events dokumentiert
- 100 Stunden Videomaterial von echten Hacker-Aktivitäten
- 3,5 Millionen Brute-Force-Versuche in nur drei Monaten
Das Team von Never Code Alone hat die Erkenntnisse dieser Studie analysiert und zeigt euch, welche praktischen Konsequenzen sich daraus für eure Entwicklungs- und Produktionsumgebungen ergeben.
Die 10 häufigsten Fragen zu RDP Honeypots und ihre Antworten
1. Wie schnell werden RDP-Systeme im Internet tatsächlich angegriffen?
Die Realität ist schockierend: Bereits wenige Minuten nach dem Online-Schalten des Honeypots begannen die ersten Login-Versuche. In neun Tagen wurden über 58.000 Login-Versuche registriert. Das bedeutet für euch: Jeder RDP-Port, den ihr direkt ins Internet stellt, wird innerhalb von Stunden gefunden und angegriffen.
Best Practice: Setzt niemals – wirklich niemals – RDP direkt ins Internet. Nutzt immer eine VPN-Verbindung mit Multi-Faktor-Authentifizierung als Zwischenschicht.
2. Welche Angriffsmethoden setzen Hacker bei RDP-Systemen ein?
Die Forscher identifizierten fünf verschiedene „Hacker-Archetypen“, inspiriert von Rollenspielen:
Rangers (Späher): Erkunden das System, scannen das Netzwerk und bereiten spätere Angriffe vor. Sie hinterlassen bewusst wenig Spuren und kehren später zurück.
Thieves (Diebe): Versuchen schnellstmöglich, Profit zu generieren. Installation von Krypto-Minern, Click-Fraud-Software oder Verkauf des Zugangs an andere Kriminelle.
Barbarians (Barbaren): Nutzen kompromittierte Systeme als Sprungbrett für weitere Brute-Force-Attacken auf andere Ziele.
Wizards (Magier): Verwenden den Honeypot als Proxy, um ihre eigenen IP-Adressen zu verschleiern und von dort aus weitere Angriffe zu starten.
Bards (Laien): Käufer von bereits kompromittierten RDP-Zugängen mit minimalen technischen Fähigkeiten. Nutzen die Systeme für banale Zwecke wie das Umgehen von Geo-Blocking.
3. Welches Tool wurde für die Honeypot-Forschung verwendet?
Die Forscher entwickelten PyRDP, ein Open-Source-Tool, das als Man-in-the-Middle für RDP-Verbindungen fungiert. PyRDP bietet:
- Vollständige Aufzeichnung aller RDP-Sitzungen als Video
- Logging von Credentials und Tastatureingaben
- Speicherung aller übertragenen Dateien
- Capture von Clipboard-Inhalten
- NetNTLMv2 Hash-Extraktion
Für eure Security-Teams: PyRDP ist auf GitHub verfügbar und kann sowohl für Honeypot-Szenarien als auch für Penetration-Testing eingesetzt werden.
4. Wie häufig sind die Angriffe und gibt es zeitliche Muster?
Überraschenderweise folgen viele Angreifer regulären Arbeitszeiten. Die Analyse zeigte, dass Attacken sich auf bestimmte Zeitfenster konzentrieren – offenbar arbeiten viele Cyberkriminelle von 9 bis 17 Uhr in ihren jeweiligen Zeitzonen.
Während der COVID-19-Pandemie explodierten die Angriffszahlen: Ein einzelner Honeypot verzeichnete einen Anstieg von 9.769 Prozent zwischen Dezember 2019 und April 2020 – von 15.000 auf über 179.000 Versuche.
5. Welche Credentials werden am häufigsten für Brute-Force-Angriffe verwendet?
Die Top-Strategien der Angreifer:
- Variationen des RDP-Zertifikatnamens
- Kombinationen mit dem Wort „password“ (z.B. password123, Password2024)
- Einfache Zahlenfolgen bis zu 10 Ziffern
- Admin/Administrator mit schwachen Passwörtern
Interessant: Angreifer aus China und Russland nutzten bevorzugt den RDP-Zertifikatsnamen als Benutzernamen – ein Hinweis darauf, dass sie aktive Reconnaissance betreiben, bevor sie angreifen.
6. Was passiert nach einem erfolgreichen Login?
Nur 25 Prozent der Angreifer, die erfolgreich eindrangen, begannen tatsächlich mit der Exploration des Systems. Die Forscher vermuten, dass das leere Honeypot-System viele abschreckte. In einem realistischen Szenario mit fingierten Unternehmensdaten wäre die Rate deutlich höher.
Typische Post-Exploitation-Aktivitäten:
- Installation von Krypto-Mining-Software
- Deployment von Android-Emulatoren für Click-Fraud
- Laterale Bewegung im Netzwerk
- Exfiltration von Daten
- Installation von Ransomware
7. Kann ein Honeypot auch zur Abwehr eingesetzt werden?
Absolut! Die Erkenntnisse aus Honeypots sind Gold wert für Defensive Teams:
Threat Intelligence: Sammlung aktueller Indicators of Compromise (IoCs) und Angriffsmuster
Frühwarnsystem: Erkennung neuer Angriffsvektoren bevor sie gegen Produktivsysteme eingesetzt werden
Ablenkung: Angreifer verschwenden Zeit und Ressourcen auf dem Honeypot statt auf echten Zielen
Forensik-Training: Realistische Angriffsdaten für Blue Teams
8. Wie sicher sind meine RDP-Verbindungen wirklich?
Wenn ihr RDP nutzt, solltet ihr folgende Schutzmaßnahmen implementieren:
Network Level Authentication (NLA): Erzwingt Authentifizierung vor Verbindungsaufbau. Verhindert aber keine Brute-Force-Angriffe.
Starke Passwort-Policies: Mindestens 16 Zeichen, Komplexität, Prüfung gegen Breach-Datenbanken.
Multi-Faktor-Authentifizierung (MFA): Unerlässlich für jeden Remote-Zugriff.
VPN-Gateway: RDP sollte ausschließlich über VPN erreichbar sein, niemals direkt aus dem Internet.
IP-Whitelisting: Beschränkung auf bekannte, vertrauenswürdige IP-Bereiche.
9. Welche Risiken bestehen beim Betrieb eines eigenen Honeypots?
Honeypots sind kein Plug-and-Play-Security-Tool. Risiken umfassen:
- Legal Liability: Ihr seid verantwortlich für alles, was von eurem Honeypot aus passiert
- Pivot-Risiko: Angreifer könnten den Honeypot als Sprungbrett für weitere Attacken nutzen
- Resource Drain: Honeypots benötigen Monitoring und Wartung
- False Sense of Security: Ein Honeypot ersetzt keine echten Security-Maßnahmen
Unser Rat: Startet mit Low-Interaction-Honeypots in isolierten Umgebungen und arbeitet euch schrittweise hoch.
10. Wie kann ich RDP-Angriffe in meiner Umgebung detektieren?
Konkrete Detection-Strategien:
Windows Event Logs: Aktiviert detailliertes Logging für Event IDs 4624, 4625 (Logon/Logoff) und 4688 (Process Creation).
Sysmon: Deployment von Microsoft Sysmon für erweiterte Process-Monitoring-Capabilities.
Network Monitoring: Tools wie Zeek (früher Bro) zur Überwachung aller RDP-Verbindungen.
Failed Login Tracking: Automatische Alerts bei ungewöhnlichen Login-Patterns.
Honeypot-Integration: Deployment interner Honeypots zur Erkennung lateraler Bewegungen.
Best Practices aus der Honeypot-Forschung für eure Infrastruktur
Nach der Analyse von Millionen Angriffsversuchen haben wir bei Never Code Alone folgende Empfehlungen destilliert:
✅ Zero-Trust für RDP: Behandelt RDP-Zugriffe wie externe Angriffe – jede Verbindung muss authentifiziert und autorisiert werden
✅ Defense in Depth: Mehrschichtige Sicherheit mit VPN, MFA, starken Passwörtern und Network Segmentation
✅ Continuous Monitoring: Echtzeit-Überwachung aller RDP-Aktivitäten mit automatischen Alerts
✅ Honeypot-Deployment: Interne Honeypots als Frühwarnsystem für Lateral Movement
✅ Regular Audits: Vierteljährliche Überprüfung aller RDP-Expositionen und Zugriffskonfigurationen
✅ Incident Response Plan: Dokumentierte Prozesse für den Fall einer RDP-Kompromittierung
Die wichtigsten Erkenntnisse für Developer und Entscheider
Die Honeypot-Forschung zeigt deutlich: RDP-Security ist kein optionales Feature, sondern Business-Critical. Die Kombination aus automatisierten Massenangriffen und gezielten menschlichen Attacken schafft eine Bedrohungslandschaft, die ihr ernst nehmen müsst.
Drei zentrale Takeaways:
- Angriffe sind unvermeidlich: Jedes exponierte System wird binnen Stunden gefunden
- Angreifer sind professionalisiert: Von Script-Kiddies bis zu organisierten Gruppen ist alles vertreten
- Verteidigung muss aktiv sein: Passive Maßnahmen allein reichen nicht aus
Direkte Unterstützung für eure RDP-Security
Ihr wollt eure RDP-Infrastruktur auf Security-Lücken überprüfen oder einen Honeypot als Frühwarnsystem aufsetzen? Mit über 15 Jahren Expertise in Softwarequalität und Remote Consulting unterstützen wir euch bei:
- Security-Audits eurer RDP-Konfigurationen
- Deployment von Honeypot-Infrastrukturen
- Implementation von Monitoring und Detection
- Incident-Response-Planung für RDP-Kompromittierungen
Kontakt: roland@nevercodealone.de
Gemeinsam machen wir eure Remote-Zugänge sicher – keine Theorien, sondern praxiserprobte Lösungen basierend auf realen Angriffsdaten.
Fazit: Von Honeypots lernen heißt Angreifer verstehen
Die Arbeit der GoSecure-Forscher zeigt eindrucksvoll, wie wertvoll es ist, Angreifer in kontrollierten Umgebungen zu beobachten. Die 100 Stunden Videomaterial sind ein Lehrbuch darüber, wie Cyberkriminelle arbeiten, denken und ihre Ziele erreichen.
Für euch als Developer und Entscheider bedeutet das: Ihr müsst nicht selbst drei Jahre lang einen Honeypot betreiben. Lernt aus den dokumentierten Angriffsmustern, implementiert die Best Practices und macht eure Systeme zu harten Zielen.
Startet heute: Überprüft eure RDP-Expositionen, aktiviert detailliertes Logging und implementiert mehrstufige Authentifizierung. Die Alternative ist, dass ihr selbst zum unfreiwilligen Honeypot werdet.
Never Code Alone – Gemeinsam für bessere Software-Qualität und Security!
