RustDesk ist ein Open-Source-Remote-Desktop-Tool, das in den letzten Jahren als kostenlose Alternative zu AnyDesk oder TeamViewer stark an Beliebtheit gewonnen hat. Die Idee ist verlockend: kostenlos, selbst hostbar, plattformübergreifend (Windows, macOS, Linux, iOS, Android), und mit Ende-zu-Ende-Verschlüsselung beworben. Für viele kleine IT-Abteilungen und MSPs klingt das nach einer attraktiven Lösung – bis man sich die Sicherheitslage genauer anschaut.
Dieser Artikel gibt einen strukturierten Überblick über die bekannten Sicherheitsprobleme, aktuelle CVEs und die realen Angriffsvektoren rund um RustDesk.
1. Der CVE-Rucksack: Was in der Software steckt
Lange Zeit war RustDesk CVE-technisch unauffällig. Das hat sich geändert. Insgesamt sind mittlerweile 11 CVEs dokumentiert, davon ein Schwall von acht allein im März 2026 – allesamt betreffend Versionen bis einschließlich 1.4.5.
CVE-2024-25140 – Der Test-Zertifikat-Skandal
Bereits 2024 landete RustDesk mit Version 1.2.3 auf der CVE-Liste: Eine Standardinstallation unter Windows platzierte ein WDKTestCert-Zertifikat in den Trusted Root Certification Authorities des Systems – mit Code-Signing-Berechtigung, gültig bis 2033. Das Zertifikat wurde von einem anonymen Account ausgestellt, verwendet SHA-1 mit RSA 2048 (für eine Laufzeit von zehn Jahren kryptografisch als schwach eingestuft) und wurde systemweit mit allen Zwecken aktiviert, statt ausschließlich auf Code Signing beschränkt zu sein. CVE Details
Die Konsequenz: Wäre der private Schlüssel kompromittiert worden, hätte beliebige Software als vertrauenswürdig signiert werden können. Die Entwickler bezeichneten das als bewusstes Workaround wegen fehlender EV-Zertifizierung – was die Kritik nicht entkräftete.
Die 2026er CVE-Welle: Acht Schwachstellen auf einmal
Im März 2026 wurden acht weitere CVEs für den RustDesk Client (bis Version 1.4.5) veröffentlicht. Die kritischsten:
CVE-2026-30795 / CVE-2026-30796 – Klartext-Übertragung von Zugangsdaten (CVSS 7.5)
Im Heartbeat-Synchronisierungsmechanismus des Clients werden sensible Daten – konkret Passwörter für das Adressbuch (preset-address-book-password) – unverschlüsselt im Netzwerk übertragen. Ein Angreifer, der sich auf dem Netzwerkpfad zwischen Client und Server befindet, kann diese Credentials per passivem Sniffing abgreifen – ohne jegliche Privilegien auf dem Zielsystem. CVE-2026-30796 betrifft dieselbe Schwachstelle auf Serverseite (RustDesk Server Pro). SentinelOne
CVE-2026-30791 – Schwacher Krypto-Algorithmus in der Konfigurationsverarbeitung
In den Modulen für den Import von Konfigurationen, dem URI-Schema-Handler und der CLI-Option --config kommt ein unsicherer kryptografischer Algorithmus zum Einsatz, der das Auslesen eingebetteter sensitiver Daten ermöglicht. CVE Details
CVE-2026-30797 – Fehlende Autorisierungsprüfung (CVSS 8.1)
Der Flutter URI-Schema-Handler und das Konfigurationsimport-Modul führen keine ausreichende Autorisierungsprüfung durch, was Man-in-the-Middle-Angriffe mit API-Message-Manipulation ermöglicht. Akaoma
CVE-2026-30793 – CSRF ermöglicht Rechteeskalation
Eine Cross-Site-Request-Forgery-Schwachstelle im URI-Handler erlaubt Angreifern eine Rechteeskalation über die Passwort-Setz-Funktion (rustdesk://password/). Akaoma
CVE-2026-30798 – Protokoll-Manipulation im Heartbeat-Loop (CVSS 7.5)
Unzureichende Authentizitätsvalidierung und fehlerhafte Fehlerbehandlung im Heartbeat-Synchronisierungsloop erlauben Protokoll-Manipulation durch Angreifer. Vulners
Stand Juli 2026 sind diese Schwachstellen laut GitHub-Diskussionen der RustDesk-Community noch nicht vollständig gepatcht – trotz mehrfacher Nachfragen.
2. Missbrauch als Angriffswerkzeug
Abseits der Software-eigenen Schwachstellen ist RustDesk eines der am häufigsten für kriminelle Zwecke missbrauchten Remote-Access-Tools überhaupt.
Banking-Scam / Social Engineering
Doctor Web dokumentierte eine Kampagne, bei der Betrüger sich als Bankmitarbeiter ausgaben und Opfer dazu brachten, RustDesk zu installieren. Google entfernte die RustDesk-App daraufhin aus dem Google Play Store – woraufhin die Angreifer auf eigene Webseiten auswichen, auf denen sie die App mit geändertem Namen und Icon unter dem Deckmantel der jeweiligen Bank anbieten. Dr.Web
Botnet-Angriff „Go Client" – Januar 2026
Im Januar 2026 wurde RustDesk von einem automatisierten Botnet-Angriff getroffen: Scripte traversierten das Internet systematisch nach aktiven RustDesk-IDs und versendeten massenhaft Verbindungsanfragen. Wer versehentlich auf „Annehmen" klickte, gab dem Angreifer sofortigen Vollzugriff auf das System. Auf dem Höhepunkt der Attacke griffen über 5.600 IPs gleichzeitig dasselbe Ziel an. Security Online
Fake-Download-Seiten mit Malware-Bündel
Malwarebytes dokumentierte eine Kampagne über die Domain rustdesk[.]work, die die offizielle RustDesk-Seite täuschend echt imitierte. Downloads von dort installierten zwar den echten, voll funktionsfähigen RustDesk-Client – gleichzeitig aber das Malware-Framework Winos4.0 als versteckten Backdoor. Da der legitime RustDesk-Client normal startete, hatte der Nutzer keinen Anlass zur Skepsis. Malwarebytes
Einsatz durch Ransomware-Gruppen
RustDesk ist explizit in Threat-Profilen bekannter Ransomware-Operationen dokumentiert. Die US-Behörden CISA, FBI und DC3 warnen in ihrem gemeinsamen Akira-Advisory (zuletzt aktualisiert November 2025) ausdrücklich, dass Akira-Akteure RustDesk für Command-and-Control-Kanäle nutzen. Außerdem wurde nordkoreanischen Bedrohungsakteuren nachgewiesen, Domains zu registrieren, die RustDesk imitieren, um Opfer zum Download kompromittierter Pakete zu verleiten. CISA
3. Das strukturelle Problem: Open Source als zweischneidiges Schwert
RustDesk wirbt mit Transparenz durch offenen Quellcode. Das stimmt – aber es hat eine Kehrseite. Angreifer haben genauso Zugang zum Code wie Verteidiger. „Eyes on the code" ist eben kein Ersatz für strukturierte Security-Validation. RealVNC®
Dazu kommt das Self-Hosting-Modell: Wer den eigenen Relay-Server betreibt, trägt auch die volle Verantwortung für Absicherung, Patchmanagement und Zugriffskontrolle. In der Praxis bedeutet das bei vielen kleineren Installationen: kaum jemand kümmert sich darum systematisch.
4. Was das für KMU und Gesundheitsbranche konkret bedeutet
Gerade im Bereich Gesundheitswesen – Arztpraxen, Zahnarztpraxen, Physiotherapeuten, Hörakustiker – ist RustDesk eine besonders heikle Wahl:
5. Empfehlung
RustDesk ist kein schlechtes Stück Software in der Theorie – es ist eine anständige Open-Source-Implementierung eines Remote-Desktop-Protokolls. Das Problem ist die Praxis: acht neue CVEs auf einmal, ein aktiv missbrauchtes Tool in Ransomware-Toolkits, eine Community die auf Patch-Anfragen zögerlich reagiert, und ein Self-Hosting-Modell das Sicherheitsverantwortung vollständig auf den Betreiber schiebt.
Für den produktiven Einsatz in Unternehmensumgebungen – insbesondere im regulierten Umfeld – empfiehlt sich zum aktuellen Zeitpunkt:
RustDesk steht exemplarisch für ein breiteres Problem: Kostenlos ist nicht gleich risikofrei. Die echten Kosten entstehen erst dann, wenn ein Angreifer die Tür nutzt, die das Tool offengelassen hat.