News, Tipps und Ticks aus der IT-Welt by CSLonz

RustDesk – Das Sicherheitsrisiko, das in vielen IT-Umgebungen noch unterschätzt wird

Geschrieben von Redaktion CSLonz | 02.06.2026 06:30:00

RustDesk ist ein Open-Source-Remote-Desktop-Tool, das in den letzten Jahren als kostenlose Alternative zu AnyDesk oder TeamViewer stark an Beliebtheit gewonnen hat. Die Idee ist verlockend: kostenlos, selbst hostbar, plattformübergreifend (Windows, macOS, Linux, iOS, Android), und mit Ende-zu-Ende-Verschlüsselung beworben. Für viele kleine IT-Abteilungen und MSPs klingt das nach einer attraktiven Lösung – bis man sich die Sicherheitslage genauer anschaut.

Dieser Artikel gibt einen strukturierten Überblick über die bekannten Sicherheitsprobleme, aktuelle CVEs und die realen Angriffsvektoren rund um RustDesk.

1. Der CVE-Rucksack: Was in der Software steckt

Lange Zeit war RustDesk CVE-technisch unauffällig. Das hat sich geändert. Insgesamt sind mittlerweile 11 CVEs dokumentiert, davon ein Schwall von acht allein im März 2026 – allesamt betreffend Versionen bis einschließlich 1.4.5.

CVE-2024-25140 – Der Test-Zertifikat-Skandal

Bereits 2024 landete RustDesk mit Version 1.2.3 auf der CVE-Liste: Eine Standardinstallation unter Windows platzierte ein WDKTestCert-Zertifikat in den Trusted Root Certification Authorities des Systems – mit Code-Signing-Berechtigung, gültig bis 2033. Das Zertifikat wurde von einem anonymen Account ausgestellt, verwendet SHA-1 mit RSA 2048 (für eine Laufzeit von zehn Jahren kryptografisch als schwach eingestuft) und wurde systemweit mit allen Zwecken aktiviert, statt ausschließlich auf Code Signing beschränkt zu sein. CVE Details

Wiz

Die Konsequenz: Wäre der private Schlüssel kompromittiert worden, hätte beliebige Software als vertrauenswürdig signiert werden können. Die Entwickler bezeichneten das als bewusstes Workaround wegen fehlender EV-Zertifizierung – was die Kritik nicht entkräftete.

Die 2026er CVE-Welle: Acht Schwachstellen auf einmal

Im März 2026 wurden acht weitere CVEs für den RustDesk Client (bis Version 1.4.5) veröffentlicht. Die kritischsten:

CVE-2026-30795 / CVE-2026-30796 – Klartext-Übertragung von Zugangsdaten (CVSS 7.5)

Im Heartbeat-Synchronisierungsmechanismus des Clients werden sensible Daten – konkret Passwörter für das Adressbuch (preset-address-book-password) – unverschlüsselt im Netzwerk übertragen. Ein Angreifer, der sich auf dem Netzwerkpfad zwischen Client und Server befindet, kann diese Credentials per passivem Sniffing abgreifen – ohne jegliche Privilegien auf dem Zielsystem. CVE-2026-30796 betrifft dieselbe Schwachstelle auf Serverseite (RustDesk Server Pro). SentinelOne

CVE-2026-30791 – Schwacher Krypto-Algorithmus in der Konfigurationsverarbeitung

In den Modulen für den Import von Konfigurationen, dem URI-Schema-Handler und der CLI-Option --config kommt ein unsicherer kryptografischer Algorithmus zum Einsatz, der das Auslesen eingebetteter sensitiver Daten ermöglicht. CVE Details

CVE-2026-30797 – Fehlende Autorisierungsprüfung (CVSS 8.1)

Der Flutter URI-Schema-Handler und das Konfigurationsimport-Modul führen keine ausreichende Autorisierungsprüfung durch, was Man-in-the-Middle-Angriffe mit API-Message-Manipulation ermöglicht. Akaoma

CVE-2026-30793 – CSRF ermöglicht Rechteeskalation

Eine Cross-Site-Request-Forgery-Schwachstelle im URI-Handler erlaubt Angreifern eine Rechteeskalation über die Passwort-Setz-Funktion (rustdesk://password/). Akaoma

CVE-2026-30798 – Protokoll-Manipulation im Heartbeat-Loop (CVSS 7.5)

Unzureichende Authentizitätsvalidierung und fehlerhafte Fehlerbehandlung im Heartbeat-Synchronisierungsloop erlauben Protokoll-Manipulation durch Angreifer. Vulners

Stand Juli 2026 sind diese Schwachstellen laut GitHub-Diskussionen der RustDesk-Community noch nicht vollständig gepatcht – trotz mehrfacher Nachfragen.

2. Missbrauch als Angriffswerkzeug

Abseits der Software-eigenen Schwachstellen ist RustDesk eines der am häufigsten für kriminelle Zwecke missbrauchten Remote-Access-Tools überhaupt.

Banking-Scam / Social Engineering

Doctor Web dokumentierte eine Kampagne, bei der Betrüger sich als Bankmitarbeiter ausgaben und Opfer dazu brachten, RustDesk zu installieren. Google entfernte die RustDesk-App daraufhin aus dem Google Play Store – woraufhin die Angreifer auf eigene Webseiten auswichen, auf denen sie die App mit geändertem Namen und Icon unter dem Deckmantel der jeweiligen Bank anbieten. Dr.Web

Botnet-Angriff „Go Client" – Januar 2026

Im Januar 2026 wurde RustDesk von einem automatisierten Botnet-Angriff getroffen: Scripte traversierten das Internet systematisch nach aktiven RustDesk-IDs und versendeten massenhaft Verbindungsanfragen. Wer versehentlich auf „Annehmen" klickte, gab dem Angreifer sofortigen Vollzugriff auf das System. Auf dem Höhepunkt der Attacke griffen über 5.600 IPs gleichzeitig dasselbe Ziel an. Security Online

GitHub

Fake-Download-Seiten mit Malware-Bündel

Malwarebytes dokumentierte eine Kampagne über die Domain rustdesk[.]work, die die offizielle RustDesk-Seite täuschend echt imitierte. Downloads von dort installierten zwar den echten, voll funktionsfähigen RustDesk-Client – gleichzeitig aber das Malware-Framework Winos4.0 als versteckten Backdoor. Da der legitime RustDesk-Client normal startete, hatte der Nutzer keinen Anlass zur Skepsis. Malwarebytes

Einsatz durch Ransomware-Gruppen

RustDesk ist explizit in Threat-Profilen bekannter Ransomware-Operationen dokumentiert. Die US-Behörden CISA, FBI und DC3 warnen in ihrem gemeinsamen Akira-Advisory (zuletzt aktualisiert November 2025) ausdrücklich, dass Akira-Akteure RustDesk für Command-and-Control-Kanäle nutzen. Außerdem wurde nordkoreanischen Bedrohungsakteuren nachgewiesen, Domains zu registrieren, die RustDesk imitieren, um Opfer zum Download kompromittierter Pakete zu verleiten. CISA

Blackpoint Cyber

3. Das strukturelle Problem: Open Source als zweischneidiges Schwert

RustDesk wirbt mit Transparenz durch offenen Quellcode. Das stimmt – aber es hat eine Kehrseite. Angreifer haben genauso Zugang zum Code wie Verteidiger. „Eyes on the code" ist eben kein Ersatz für strukturierte Security-Validation. RealVNC®

Dazu kommt das Self-Hosting-Modell: Wer den eigenen Relay-Server betreibt, trägt auch die volle Verantwortung für Absicherung, Patchmanagement und Zugriffskontrolle. In der Praxis bedeutet das bei vielen kleineren Installationen: kaum jemand kümmert sich darum systematisch.

4. Was das für KMU und Gesundheitsbranche konkret bedeutet

Gerade im Bereich Gesundheitswesen – Arztpraxen, Zahnarztpraxen, Physiotherapeuten, Hörakustiker – ist RustDesk eine besonders heikle Wahl:

  • DSGVO / § 22 BDSG: Zugriff auf Patientendaten über ein Remote-Tool mit bekannten Klartext-Übertragungsschwächen ist ein Datenschutzproblem. Im Falle eines Vorfalls droht eine meldepflichtige Verletzung gemäß Art. 33 DSGVO.
  • BSI IT-Grundschutz: Der Einsatz von Software mit offenen High-Severity-CVEs ohne Patch ist mit gängigen Grundschutz-Anforderungen kaum vereinbar.
  • Nachweis-Pflicht: Wer als MSP für seinen Kunden haftet und RustDesk als Remote-Werkzeug einsetzt, steht bei einem Sicherheitsvorfall in der Erklärungspflicht – warum ein Tool mit bekannten Schwachstellen verwendet wurde.

5. Empfehlung

RustDesk ist kein schlechtes Stück Software in der Theorie – es ist eine anständige Open-Source-Implementierung eines Remote-Desktop-Protokolls. Das Problem ist die Praxis: acht neue CVEs auf einmal, ein aktiv missbrauchtes Tool in Ransomware-Toolkits, eine Community die auf Patch-Anfragen zögerlich reagiert, und ein Self-Hosting-Modell das Sicherheitsverantwortung vollständig auf den Betreiber schiebt.

Für den produktiven Einsatz in Unternehmensumgebungen – insbesondere im regulierten Umfeld – empfiehlt sich zum aktuellen Zeitpunkt:

  1. Bestandsaufnahme: Prüfen, ob und wo RustDesk im Einsatz ist (auch bei Kunden, die es selbst installiert haben könnten).
  2. Abschalten oder ersetzen: Durch lizenzierte Lösungen mit klarem Patch-Zyklus, Audit-Log und Compliance-Zertifizierung (z.B. Sophos Remote Assistance, TeamViewer Tensor, oder über das RMM-eigene Remote-Access-Modul in Atera).
  3. Endpoint-Monitoring: Im Sophos-Endpoint auf RustDesk-Signaturen und ungewöhnliche Ausführung von rustdesk.exe als SYSTEM-Prozess achten.
  4. Firewall-Policy: RustDesk-Relay-Kommunikation (Standard-Port 21116/UDP und 21115/TCP) am Perimeter blockieren, sofern kein legitimer Einsatzzweck besteht.

RustDesk steht exemplarisch für ein breiteres Problem: Kostenlos ist nicht gleich risikofrei. Die echten Kosten entstehen erst dann, wenn ein Angreifer die Tür nutzt, die das Tool offengelassen hat.