Wer täglich mit Remote Desktop Protocol, kurz RDP, arbeitet, kennt das Feature: Man ist per Fernzugriff auf einem anderen Rechner und kann bequem Dateien zwischen dem lokalen Computer und dem Remote-System hin- und herkopieren. Praktisch, schnell und direkt in Windows eingebaut. Doch genau diese Funktion steht nun im Fokus einer neuen Sicherheitsempfehlung von Microsoft.
Aktueller Stand: Die neue Empfehlung befindet sich seit Ende Februar 2026 in der Public Preview und soll bis Mitte März 2026 vollständig ausgerollt sein. Sie erscheint im Microsoft Secure Score innerhalb von Microsoft Defender for Endpoint.
Was ist RDP überhaupt, und wo liegt das Problem?
RDP ist das Protokoll, mit dem Windows-Administratoren und Benutzer sich grafisch auf entfernte Systeme aufschalten. Man sieht den Desktop des Remote-Computers, kann Programme starten, Einstellungen vornehmen, und eben auch Dateien übertragen. Diese Dateiübertragung läuft über eine sogenannte Laufwerksumleitung: Das lokale Laufwerk wird im Remote-System als Netzlaufwerk eingeblendet, sodass man Dateien einfach per Drag-and-Drop oder Copy-Paste transferieren kann.
Klingt harmlos. Das Problem ist aber: Genau dieser Übertragungsweg lässt sich auch von Angreifern missbrauchen. Wenn es einem Angreifer gelingt, eine RDP-Sitzung zu kompromittieren oder selbst eine aufzubauen, beispielsweise mit gestohlenen Anmeldedaten, kann er darüber Schadsoftware auf das Zielsystem bringen. Oder er schleust Daten aus. Beides ohne großes Aufsehen, denn die Dateiübertragung sieht für viele Monitoring-Lösungen aus wie ganz normaler RDP-Verkehr.
Was empfiehlt Microsoft konkret?
Die neue Empfehlung im Microsoft Secure Score lautet: Dateiübertragungen über RDP blockieren. Das bedeutet, die Laufwerksumleitung in RDP-Verbindungen zu deaktivieren, sodass kein lokales Laufwerk mehr im Remote-System eingeblendet wird, und damit kein direkter Dateitransfer mehr möglich ist.
Wichtig zu verstehen: Microsoft ändert durch diese Empfehlung nichts an eurer bestehenden Konfiguration. Es ist eine reine Empfehlung, die ihr aktiv umsetzen müsst. Sie erscheint in eurem Secure Score als offener Punkt, und die Umsetzung liegt vollständig bei euch als Administrator.
Sicherheitsempfehlungen sind keine Pflicht, aber sie zeigen, wo Microsoft selbst den größten Handlungsbedarf sieht. Das sollte man ernst nehmen.
Was ist der Microsoft Secure Score?
Falls ihr noch nicht damit vertraut seid: Der Microsoft Secure Score ist eine Art Sicherheits-Punktzahl für eure Microsoft-365- und Defender-Umgebung. Je mehr der empfohlenen Sicherheitsmaßnahmen ihr umsetzt, desto höher euer Score. Das Gute daran ist, dass der Secure Score nicht nur eine abstrakte Zahl ist, er enthält konkrete, umsetzbare Empfehlungen mit Erklärungen, warum eine Maßnahme sinnvoll ist und wie ihr sie aktivieren könnt.
Mit der neuen Empfehlung wird sich euer Secure Score automatisch aktualisieren, sobald sie in eurem Tenant verfügbar ist. Habt ihr die Maßnahme noch nicht umgesetzt, sinkt der Score entsprechend, das ist kein Fehler, sondern das System, das euch auf Verbesserungsmöglichkeiten hinweist.
Für wen ist diese Empfehlung relevant?
Grundsätzlich für alle Organisationen, die Microsoft Defender for Endpoint im Einsatz haben und RDP nutzen, also nahezu jede Windows-Unternehmensumgebung. Besonders relevant ist die Empfehlung dort, wo RDP nicht nur intern zwischen Administratoren genutzt wird, sondern etwa auch für den Fernzugriff auf Server, für Support-Sitzungen oder für den Zugang zu kritischen Systemen.
Je mehr RDP-Verbindungen in eurer Umgebung existieren, und je weniger diese überwacht werden, desto größer ist das Risiko, das durch unkontrollierten Dateitransfer entsteht.
Was solltet ihr als Admin jetzt tun?
Zunächst: nicht in Panik verfallen. Die Empfehlung ist sinnvoll, aber ihr müsst nicht sofort alles umstellen. Hier ist ein pragmatischer Einstieg:
- Secure Score prüfen: Öffnet das Microsoft Defender-Portal und schaut euch die Empfehlungen im Secure Score an. Sobald die neue Empfehlung für euren Tenant ausgerollt ist, seht ihr sie dort mit einer Erklärung und einer Anleitung zur Umsetzung.
- RDP-Nutzung in eurer Umgebung verstehen: Klärt intern, wer RDP wofür nutzt. Gibt es Nutzer oder Prozesse, die aktiv auf die Dateiübertragungsfunktion angewiesen sind? Diese müssen vor einer Umstellung auf alternative Wege umgestellt werden.
- Abhängigkeiten dokumentieren: Falls es legitime Anwendungsfälle für RDP-Dateiübertragung gibt, dokumentiert diese, zum Beispiel für zukünftige Ausnahmen oder als Grundlage für eine Policy-Entscheidung.
- Mit dem Team absprechen: Diese Änderung betrifft möglicherweise mehrere Personen im Unternehmen. Kommuniziert frühzeitig mit dem Sicherheits- und Endpoint-Team, bevor ihr etwas aktiviert.
Was passiert, wenn man die Empfehlung nicht umsetzt?
Technisch gesehen: nichts. Microsoft ändert eure Konfiguration nicht automatisch. Ihr behaltet die volle Kontrolle. Allerdings bleibt dann ein Angriffspfad offen, den Angreifer aktiv ausnutzen. In realen Angriffsszenarien, insbesondere bei gezielten Angriffen und Ransomware-Kampagnen, ist RDP einer der am häufigsten genutzten Einstiegsvektoren. Die Dateiübertragungsfunktion macht es Angreifern einfacher, Werkzeuge einzuschleusen, ohne auffällig zu werden.
Gleichzeitig wirkt sich die nicht umgesetzte Empfehlung auf euren Secure Score aus, was intern manchmal auch strategische Bedeutung hat, etwa wenn der Score als Kennzahl für den Sicherheitsstatus des Unternehmens genutzt wird.
Ein kurzes Fazit
Die Empfehlung, Dateiübertragungen per RDP zu blockieren, ist ein gutes Beispiel dafür, wie Microsoft zunehmend die Sicherheits-Baseline für Windows-Umgebungen anhebt. Wer gerade in die Adminrolle hineinwächst, findet im Secure Score ein Werkzeug, das konkrete und umsetzbare Hinweise liefert, wie die eigene Umgebung sicherer werden kann.
Wenn ihr wissen möchtet, wie gut eure aktuelle Endpoint-Sicherheit aufgestellt ist oder ob ihr Unterstützung bei der Umsetzung von Defender-Empfehlungen benötigt, sprecht uns gerne direkt an.