Veilig op afstand werken: voorkom dat criminelen via RDP binnenkomen
Remote Desktop (RDP) is geweldig: thuis inloggen op kantoor alsof u er zelf zit. Maar als RDP direct vanaf internet bereikbaar is zonder extra beveiliging, is het een rode loper voor criminelen. Ransomware-groepen scannen continu het internet op openstaande RDP-poorten en proberen automatisch duizenden wachtwoorden per uur.
Het probleem: RDP is gemaakt voor binnen het netwerk
Microsoft Remote Desktop is een fantastische tool, maar het is oorspronkelijk gebouwd om binnen het bedrijfsnetwerk te werken — niet om direct op het wilde internet bereikbaar te zijn. Toen corona kwam, hebben veel bedrijven RDP-poort 3389 'even snel' opengezet zodat medewerkers vanuit huis konden werken. Die 'tijdelijke' oplossing staat bij veel bedrijven nog steeds aan, ook in 2026.
Het probleem: criminelen weten dit. Ze scannen het hele internet op openstaande RDP-poorten en als ze er een vinden, beginnen ze automatisch wachtwoorden te proberen. Met een zwak wachtwoord zoals 'Administrator/Welkom123' zijn ze binnen minuten binnen.
Hoe het in de praktijk gebeurt
Een typische aanval: een MKB-bedrijf met 20 medewerkers heeft RDP openstaan voor thuiswerk. Criminelen vinden het IP-adres tijdens een scan, proberen 100.000 wachtwoorden in een paar uur en raken het wachtwoord van 'boekhouding' (Boekhouding2024!). Ze loggen 's nachts in, ontdekken dat dit account toegang heeft tot de boekhoudsoftware en gedeelde mappen.
De criminelen blijven een paar weken stil meekijken om te leren hoe alles werkt en waar de backups staan. Dan, op een vrijdagavond om 23:00, zetten ze de ransomware uit op alle servers tegelijk. Maandagochtend komt het hele bedrijf binnen op een complete stilstand.
De oplossing: zo gebruikt u RDP veilig
RDP volledig stoppen hoeft niet — u kunt het veilig gebruiken. De belangrijkste maatregelen:
- Zet RDP NIET direct vanaf internet open. Gebruik altijd een VPN (bijvoorbeeld WireGuard, OpenVPN of FortiGate SSL-VPN) als 'voordeur' voor het bedrijfsnetwerk
- Schakel multi-factor authenticatie (MFA) verplicht in op de VPN — zonder de tweede factor komt niemand binnen, ook niet met een gelekt wachtwoord
- Gebruik sterke, unieke wachtwoorden van minimaal 14 tekens voor alle accounts met RDP-toegang
- Schakel het ingebouwde 'Administrator' account uit — geef gebruikers persoonlijke accounts
- Beperk welke gebruikers RDP mogen gebruiken — niet iedereen heeft dit nodig
- Stel een 'lockout' in: na 5 verkeerde inlogpogingen account 15 minuten blokkeren
- Houd Windows-updates altijd actueel — RDP heeft in het verleden ernstige beveiligingsgaten gehad (BlueKeep)
Modernere alternatieven voor RDP
Er zijn tegenwoordig veiligere alternatieven die specifiek voor remote work zijn gebouwd:
- Zero Trust Network Access (ZTNA) oplossingen zoals Cloudflare Access of Twingate — alleen geverifieerde gebruikers krijgen toegang tot specifieke applicaties
- Microsoft Azure Virtual Desktop of Windows 365 — veilige cloud-desktops met ingebouwde MFA en monitoring
- Citrix of VMware Horizon — bewezen oplossingen voor grotere organisaties met veel thuiswerkers
Hoe weet u of uw RDP openstaat?
Snelle test: ga naar shodan.io en zoek op uw bedrijfs-IP-adres. Als poort 3389 zichtbaar is, dan staat uw RDP open voor de hele wereld. In dat geval: zet dit per direct uit en bel een IT-specialist om een veilige VPN-oplossing in te richten. Dit is geen 'het komt vast wel goed' situatie — criminelen scannen elk IP-adres ter wereld meermaals per dag.
Veilig thuiswerken is geen luxe meer, het is essentieel. Wij helpen MKB-bedrijven met het inrichten van veilige VPN-oplossingen, MFA en zero trust toegang — vaak binnen één werkdag operationeel. Lees meer over onze diensten op vanrosmalenautomatisering.nl.
Complete IT-beveiliging voor uw bedrijf
Van Rosmalen Automatisering helpt Nederlandse MKB-bedrijven met beheerde cybersecurity: MFA, EDR, backups, monitoring en 24/7 support. Bekijk onze complete dienstenportfolio.
Lees ook
Zero Trust beveiliging: 'vertrouw niemand, verifieer alles'
Zero Trust is de moderne aanpak van IT-beveiliging. In plaats van een 'kasteel met gracht' werkt u met continue verificatie. Wat betekent dit voor uw MKB?
Lees meerMulti-factor authenticatie (MFA): wat het is en waarom u het nodig heeft
MFA is de meest impactvolle cybersecurity-maatregel die u kunt nemen. Toch heeft naar schatting 60% van het Nederlandse MKB het nog niet aan staan. Tijd om dat te veranderen.
Lees meerFirewall voor het MKB: wat heeft u écht nodig?
De gratis firewall in uw KPN-modem is niet voldoende. Welke firewall heeft een MKB-bedrijf nodig en wat moet die kunnen?
Lees meer