Welche Ports kann man gefahrlos offen lassen?

Verschlüsselte, authentifizierte Dienste können sicher freigegeben werden: 443 (HTTPS), 587 und 993 (E-Mail über TLS) sowie 22 (SSH), wenn es Schlüssel-Authentifizierung und MFA verwendet. Die Regel ist einfach — wenn der Datenverkehr verschlüsselt und der Dienst gepatcht und authentifiziert ist, stellt ein offener Port für sich genommen kein nennenswertes Risiko dar.

Welche Ports sind am gefährlichsten, wenn sie offen bleiben?

Die risikoreichsten Ports sind 23 (Telnet), 21 (FTP), 139 und 445 (NetBIOS/SMB), 3389 (RDP) sowie jeder Datenbank-Port wie 3306 (MySQL), 5432 (PostgreSQL), 1433 (MSSQL), 6379 (Redis) und 27017 (MongoDB). Sie übertragen Zugangsdaten im Klartext, haben eine Geschichte der Massenausnutzung oder sollten Fremden niemals erreichbar sein. Besonders RDP und SMB sind beliebte Einfallstore für Ransomware.

Ist es schlecht, überhaupt offene Ports zu haben?

Nein. Ein offener Port ist nur ein Dienst, der Verbindungen annimmt — Webserver müssen 443 offen halten, um zu funktionieren. Ein Port ist nur dann ein Risiko, wenn der dahinterliegende Dienst ungepatcht, nicht authentifiziert, unverschlüsselt oder gar nicht für die Öffentlichkeit gedacht ist. Das Ziel sind nicht null offene Ports, sondern null unnötige oder ungeschützte.

Warum werden die meisten meiner Ports als „gefiltert“ angezeigt?

Gefiltert bedeutet, dass eine Firewall oder das NAT Ihres Routers Verbindungsversuche stillschweigend verwirft. Heimanschlüsse zeigen standardmäßig fast alle Ports als gefiltert an, weil Consumer-Router jeglichen unaufgeforderten eingehenden Verkehr blockieren — das ist die sichere Voreinstellung, die Sie in der Regel beibehalten sollten.

Wie schließe ich einen Port, der nicht offen sein sollte?

Finden Sie heraus, was lauscht (ss -tlnp unter Linux, netstat -ano unter Windows), stoppen Sie diesen Dienst oder konfigurieren Sie ihn so, dass er nur an localhost gebunden ist, und fügen Sie dann eine Firewall-Regel hinzu, die den Port verweigert. Führen Sie anschließend erneut einen Port-Checker aus — der Port sollte aus dem Internet betrachtet von offen auf gefiltert wechseln.

8. Juni 2026 · 9 Min. Lesezeit

Welche Ports sollten offen sein (und welche sind riskant)

Ein verständlicher Leitfaden dazu, welche Netzwerk-Ports sicher offen bleiben dürfen, welche man härten sollte und welche niemals ins Internet zeigen dürfen — mit einer Risiko-Übersichtstabelle.

Ein offener Port ist nicht automatisch gefährlich. Ein Port ist nur dann riskant, wenn der dahinterliegende Dienst unverschlüsselt, nicht authentifiziert, ungepatcht oder schlicht nicht für das Internet gedacht ist. Kurz gesagt: 443, 587, 993 und ein gehärtetes SSH können sicher freigegeben werden; 23, 21, 445, 3389 und jeder Datenbank-Port sollten niemals aus dem öffentlichen Internet erreichbar sein. Dieser Leitfaden erklärt die Logik, damit Sie jeden Port selbst beurteilen können.

Die kurze Antwort

Urteil	Ports	Warum
✅ Sicher freizugeben	443, 587, 993, 8443	Von Haus aus verschlüsselt und authentifiziert
⚠️ Härten, wenn offen	22, 80, 53, 8080	Nützlich, aber ziehen Angriffe an — absichern
❌ Niemals freigeben	23, 21, 139, 445, 3389, 1433, 3306, 5432, 6379, 27017	Klartext, veraltet oder nie für die Öffentlichkeit gedacht

Mit dem Tool Was sind meine offenen Ports sehen Sie sofort, welche davon auf Ihrer eigenen Verbindung erreichbar sind — es scannt diese gängigen Ports und kennzeichnet jeden nach Risiko.

Zuerst: Was „offen“ wirklich bedeutet

Eine Port-Prüfung hat drei mögliche Ergebnisse, und der Unterschied ist für die Sicherheit entscheidend:

Zustand	Was passiert ist	Was es bedeutet
Offen	Der Dienst hat geantwortet	Etwas lauscht und ist aus dem Internet erreichbar
Geschlossen	Der Host antwortete „niemand da“	Erreichbar, aber kein Dienst läuft auf diesem Port
Gefiltert	Überhaupt keine Antwort	Eine Firewall oder NAT verwirft die Pakete stillschweigend

Die meisten Heimanschlüsse zeigen fast jeden Port als gefiltert an, weil das NAT des Routers eingehenden unaufgeforderten Verkehr standardmäßig blockiert. Das ist die sichere Grundlinie. Ein offener Port bedeutet, dass Sie (oder Ihr Anbieter, Ihr Router oder Schadsoftware) absichtlich einen Dienst freigegeben haben — daher lohnt es sich zu wissen, welche davon vertretbar sind.

Ports, die man gefahrlos offen lassen kann

Sie übertragen verschlüsselten, authentifizierten Verkehr. Sie offen zu lassen ist normal und zu erwarten:

443 — HTTPS. Der ganze Sinn eines Webservers. Mit TLS verschlüsselt; halten Sie Zertifikat und TLS-Version aktuell.
587 — SMTP-Submission (TLS) / 993 — IMAPS. Moderne E-Mail nutzt diese verschlüsselten, authentifizierten Ports. Sicher freizugeben.
8443 — HTTPS alternativ. In Ordnung, wenn dort tatsächlich TLS ausgeliefert wird.

Das Prinzip: Verschlüsselung + Authentifizierung + Patches = ein offener Port ist für sich genommen kein nennenswertes Risiko. Angreifer können sich verbinden, aber den Verkehr nicht lesen und ohne Zugangsdaten nicht hineingelangen.

Ports, die man härten sollte, wenn sie offen sind

Sie haben legitime Verwendungen, sind aber ständige Angriffsziele. Halten Sie sie nur offen, wenn Sie sie brauchen, und sichern Sie sie ab:

22 — SSH. Für Server unverzichtbar, aber rund um die Uhr durch Brute-Force angegriffen. Deaktivieren Sie die Passwort-Anmeldung, nutzen Sie SSH-Schlüssel, aktivieren Sie MFA und drosseln Sie mit fail2ban. Ein anderer Port als der Standard reduziert das Rauschen, ist aber keine echte Sicherheit.
80 — HTTP. In Ordnung als Weiterleitung zu HTTPS, aber liefern Sie niemals sensible Inhalte über unverschlüsseltes HTTP aus.
53 — DNS. Für DNS-Server erforderlich, aber ein offener Resolver wird für DDoS-Amplifikation missbraucht. Beschränken Sie ihn auf Ihre eigenen Netzwerke.
8080 — HTTP alternativ. Häufig ein vergessener Entwicklungsserver oder ein Admin-Panel ohne Authentifizierung. Prüfen Sie, was tatsächlich läuft.

Ports, die niemals ins Internet zeigen sollten

Port	Dienst	Warum es gefährlich ist
23	Telnet	Sendet Anmeldedaten im Klartext — jeder auf dem Weg kann sie lesen
21	FTP	Zugangsdaten im Klartext; nutzen Sie stattdessen SFTP über Port 22
139 / 445	NetBIOS / SMB	Das Ziel von WannaCry / EternalBlue; ein wichtiger Ransomware-Vektor
3389	RDP	Das häufigste Ransomware-Einfallstor — hinter ein VPN legen
1433 / 3306 / 5432	MSSQL / MySQL / PostgreSQL	Datenbanken sollten Fremden niemals erreichbar sein
6379	Redis	In vielen Setups standardmäßig nicht authentifiziert
27017	MongoDB	Eine lange Geschichte massiver Datenlecks durch öffentliche Freigabe

Wenn einer dieser Ports bei der Prüfung aus dem Internet offen erscheint, behandeln Sie es als Notfall. Die Lösung ist fast immer dieselbe: Binden Sie den Dienst an localhost oder ein privates Netzwerk und verlangen Sie ein VPN für jeden legitimen Fernzugriff.

Eine einfache Entscheidungsregel

Wenn Sie einen offenen Port finden und unsicher sind, stellen Sie drei Fragen:

Ist der Verkehr verschlüsselt? Nein → schließen oder in TLS/VPN einpacken.
Erfordert er Authentifizierung? Nein → schließen.
Brauche ich ihn wirklich aus dem Internet erreichbar? Nein → schließen.

Wenn Sie nicht „ja, ja und ja“ antworten können, sollte der Port nicht öffentlich offen sein. Das Ziel sind niemals null offene Ports — es sind null unnötige oder ungeschützte.

So schließen Sie einen versehentlich geöffneten Port

Finden Sie den lauschenden Dienst. Linux: ss -tlnp | grep :<port>. Windows: netstat -ano | findstr :<port>, dann die PID im Task-Manager zuordnen.
Stoppen oder neu binden. Beenden Sie ihn, falls er nicht laufen sollte, oder konfigurieren Sie ihn so, dass er nur an 127.0.0.1 lauscht.
Firewall-Regel hinzufügen. ufw deny <port>/tcp unter Ubuntu oder eine eingehende Sperre in der Windows-Firewall.
Überprüfen. Führen Sie erneut einen Port-Checker aus — der Port sollte von außen nun gefiltert anzeigen.

Scannen Sie Ihre eigene Verbindung in Sekunden — ohne Software — mit dem Tool Was sind meine offenen Ports, das jetzt jeden gängigen Port nach Risikostufe kennzeichnet. Um die Zustände tiefer zu verstehen, lesen Sie Was sind meine offenen Ports? So prüfen Sie TCP-Ports Ihrer öffentlichen IP. Und wenn Sie ein VPN nutzen, um riskante Dienste aus dem öffentlichen Internet herauszuhalten, stellen Sie mit dem VPN-Leak-Test und unserem Leitfaden zum Beheben eines VPN-Lecks sicher, dass es nicht leckt.