Technologieführer

Offene Netzwerkverbindungen unter Windows anzeigen

7 min read Sicherheit Aktualisiert 18 Oct 2025
Netzwerkverbindungen in Windows prüfen
Netzwerkverbindungen in Windows prüfen

Laptop mit Netzwerksymbolen, Online-Nutzung

Viele Menschen verbringen täglich immer mehr Zeit online. Die Informationen kommen über Netzwerkverbindungen, die Ihr Rechner zu externen Diensten herstellt. Die meisten Verbindungen sind harmlos, aber manche können unbemerkt private Daten übertragen oder unerwünschte Kommunikation auslösen. Wenn Sie den Verdacht haben, dass Malware oder eine Sicherheitslücke auf Ihrem Rechner aktiv ist, hilft ein Blick auf geöffnete Ports und laufende Prozesse. Eine Übersicht der aktiven Verbindungen kann unautorisierte Verbindungen oder Datenübertragungen sichtbar machen.

In diesem Artikel lernen Sie drei praktikable Methoden kennen: ein Windows-eigenes Verfahren mit PowerShell/netstat sowie zwei bewährte Tools (TCPView und CurrPorts). Am Ende finden Sie eine kurze Methodik, Checklisten für verschiedene Rollen sowie Hinweise, wann die Methoden nicht ausreichen.

Verwendung von PowerShell und netstat

PowerShell und das Kommandozeilentool netstat liefern eine schnelle, lokale Aufzeichnung aller Verbindungen. netstat zeigt offene Ports, Remote-Endpunkte und zugeordnete Prozesse.

Wichtig: Sie benötigen Administratorrechte, um Prozessnamen mitzubekommen.

  1. Drücken Sie Win + X, um das Schnellmenü zu öffnen.

PowerShell als Administrator öffnen im Windows Power User Menü

  1. Wählen Sie PowerShell (Administrator) aus.

  2. Geben Sie folgenden Befehl ein und drücken Sie Enter:

netstat -abf 5> activity.txt

Erläuterung: netstat -a zeigt alle Verbindungen, -b versucht, die ausführbare Datei (Prozess) anzuzeigen, -f gibt Fully Qualified Domain Names aus, und 5 ist hier das Intervall (Sekunden) — die Ausgabe wird in activity.txt umgeleitet.

Kommandozeile mit netstat Befehl

  1. Lassen Sie das Programm mehrere Minuten laufen, um eine repräsentative Stichprobe zu erhalten. Sie können währenddessen normal weiterarbeiten.

  2. Beenden Sie die Aufzeichnung mit Ctrl + C.

  3. Geben Sie “activity.txt” in der Konsole ein und drücken Sie Enter, oder öffnen Sie die Datei im Editor (Notepad):

Activity.txt in Notepad geöffnet

Hinweis: Die Datei wird standardmäßig im System32-Ordner abgelegt, wenn Sie die PowerShell als Administrator gestartet haben:

Dateipfad zur activity.txt in System32

Wenn Sie etwas Unbekanntes sehen, recherchieren Sie den Prozessnamen und die Remote-Adresse. Finden Sie Hinweise auf Malware oder unerwünschte Dienste, geben die nächsten Schritte im Playbook Orientierung zur Entfernung und Sicherung.

Wichtig: netstat kann TLS-verschlüsselte Verbindungen nicht im Klartext anzeigen — nur Metadaten wie IP, Port und Prozess sind sichtbar.

TCPView verwenden

TCPView ist ein kostenloses Tool von Microsoft (Teil von Sysinternals). Es zeigt Verbindungen in Echtzeit: lokale und entfernte Adressen, Status, Prozessname und ausführbare Datei. Sie können Verbindungen beenden oder Prozesse direkt aus dem Kontextmenü untersuchen.

  1. Laden Sie TCPView von der offiziellen Sysinternals-Seite herunter.

Downloadseite von TCPView mit Download-Button

  1. Entpacken Sie das ZIP und starten Sie tcpview.exe.

  2. TCPView zeigt sofort alle aktiven Verbindungen an. Per Rechtsklick auf eine Zeile wählen Sie “Whois” oder “Process Properties”, um Details zu erhalten.

TCPView: Whois und Prozessinformationen abrufen

Farbkodierung erklärt: grün markierte Zeilen sind neu geöffnete Verbindungen, rot markierte Zeilen sind geschlossene Verbindungen, gelb zeigt eine Änderung an. Das schnelle UI ist nützlich, springt jedoch bei hoher Aktivität häufig, was das gezielte Anklicken erschweren kann.

TCPView zeigt farbige Hervorhebungen für Verbindungsänderungen

Tipp: Ziehen Sie tcpview.exe auf den Desktop oder merken Sie sich den Speicherort, da TCPView keine Installation mit Startmenüeintrag erstellt.

CurrPorts verwenden

CurrPorts von NirSoft ist ein weiteres leichtes Tool zur Anzeige aktiver TCP/UDP-Verbindungen. Es ist ähnlich wie TCPView, legt aber Wert auf Filter, Export und farbliche Hervorhebung von verdächtigem Verhalten (z. B. rosa/pink markierte Zeilen für potenziell auffällige Einträge).

Downloadseite von CurrPorts auf NirSoft

Laden Sie die passende Version für Ihr System (32- oder 64-Bit) herunter, entpacken Sie das Archiv und starten Sie cports.exe. CurrPorts bietet mehr Export-Optionen und Filter, was es für forensische Kurzanalysen praktisch macht.

CurrPorts Programmoberfläche beim Start

Wie Sie Ergebnisse interpretieren

  • Lokale Adresse + Port: Zeigt an, welcher Prozess lokalen Netzwerk-Zugang verwendet.
  • Remote-Adresse + Port: Zielsystem oder Dienst, zu dem verbunden wird.
  • Status: ESTABLISHED bedeutet aktive Verbindung; LISTEN bedeutet, ein Dienst wartet auf eingehende Verbindungen.
  • Prozessname/Exe: Ermöglicht, die verantwortliche Anwendung zu identifizieren.

Wenn Sie eine Verbindung nicht zuordnen können:

  • Prüfen Sie, ob der Prozess zum Betriebssystem oder bekannten Programmen gehört.
  • Suchen Sie nach dem Dateipfad der ausführbaren Datei (Properties im Tool).
  • Verwenden Sie VirusTotal oder Reputationsdatenbanken für die ausführbare Datei.
  • Dokumentieren Sie ungewöhnliche Einträge (Zeit, Remote-IP, Prozess).

Wichtig: Manche legitime Cloud- und Update-Dienste haben häufig wechselnde Remote-IP-Adressen. Recherchieren Sie immer Prozesspfad + Signatur statt nur IP.

Wann diese Tools nicht ausreichen

  • Verschlüsselte Verbindungen (HTTPS/TLS) zeigen keine Klartextdaten. Metadaten allein können daher irreführend sein.
  • Rootkits oder sehr ausgefeilte Malware können Monitoring-Tools umgehen oder Prozesse verschleiern.
  • Temporäre Verbindungen in Sandbox- oder Container-Umgebungen können normale Nutzer verunsichern.

Wenn Sie schwerwiegenden Verdacht auf kompromittierte Geräte haben, trennen Sie das Gerät vom Netzwerk und führen Sie eine vollständige Forensik oder Wiederherstellung durch.

Alternative Ansätze

  • Netzwerk-Sniffing mit Wireshark: bietet Paketerfassung und Analyse, erfordert mehr Fachwissen.
  • Endpoint Detection & Response (EDR): kommerzielle Lösungen bieten fortlaufende Erkennung und Korrelation.
  • Router-/Gateway-Logging: zentralisiert Netzwerklogs für mehrere Geräte.

Mini-Methodik: Schritt-für-Schritt für eine Erstprüfung

  1. Isolieren: Bei starkem Verdacht Gerät vom Netzwerk trennen.
  2. Aufzeichnen: netstat-Aufzeichnung oder TCPView/CurrPorts starten (als Administrator).
  3. Dokumentieren: Zeitstempel, Prozessname, Remote-IP, Port, Status notieren.
  4. Recherchieren: Prozesspfad prüfen, Hash/Signatur nachschlagen, bekannte Reputationen prüfen.
  5. Gegenmaßnahme: Prozess beenden, Software deinstallieren, Malware entfernen, Ports schließen, System scannen.
  6. Wiederherstellung: System-Scan, Patches einspielen, Passwörter ändern.

Playbook/Incident-Runbook (Kurzversion)

  • Sofortmaßnahmen (0–30 min): Gerät isolieren, laufende Verbindungen aufzeichnen, Screenshots/Exports speichern.
  • Kurzfristig (30 min–4 h): Prozesse identifizieren, Logs sichern, bekannte Malware-Signaturen prüfen.
  • Mittelfristig (4–48 h): Forensische Kopie des Datenträgers erstellen, falls erforderlich; betroffene Konten sichern.
  • Abschluss: Systembereinigung oder Neuinstallation, Lessons Learned und Prävention (Einstellungen, Firewall-Regeln).

Rollenbasierte Checklisten

Für Privatanwender:

  • Starten Sie TCPView oder CurrPorts.
  • Exportieren Sie die Liste als CSV.
  • Prüfen Sie installierte Programme auf Unbekanntes.
  • Scannen Sie mit einem aktuellen Antivirus.

Für IT-Admins:

  • Führen Sie netstat-Aufzeichnung auf betroffenen Hosts durch.
  • Prüfen Sie Gateway- bzw. Firewall-Logs.
  • Sammeln Sie Prozesspfade und Dateihashes.
  • Isolieren Sie Hosts und planen Sie eine forensische Sicherung.

Risiko-Matrix und Gegenmaßnahmen (qualitativ)

  • Niedrig: Unbekannte Remote-IP, Prozess bekannt und signiert. Gegenmaßnahme: Überwachen, ggf. Blocklisten.
  • Mittel: Unbekannte Anwendung, wiederholte Verbindungen. Gegenmaßnahme: Prozess beenden, Datei prüfen, Systemscan.
  • Hoch: Unbekannte Anwendung mit verdächtigen Aktionen (Datenexfiltration, persistente Verbindungen). Gegenmaßnahme: Host isolieren, forensische Sicherung, Neuinstallation.

Kurze Checkliste für schnelles Troubleshooting

  • Haben Sie Administratorrechte? Ja/Nein
  • Haben Sie netstat/TCPView/CurrPorts laufen? Ja/Nein
  • Wurden verdächtige Prozesse dokumentiert? Ja/Nein
  • Wurde der Host bei hohem Risiko isoliert? Ja/Nein

Einzeilige Begriffserklärungen

  • Port: Logischer Zugangspunkt für Netzwerkdienste.
  • ESTABLISHED: Zustand einer aktiven TCP-Verbindung.
  • LISTEN: Dienst wartet auf eingehende Verbindungen.
  • Remote-IP: Zieladresse einer Verbindung.

Datenschutz und Sicherheitshinweise

Speichern Sie Exportdateien (z. B. activity.txt) sicher. Die Dateien enthalten Prozessnamen, Pfade und Zieladressen — potenziell sensible Informationen. Bei Untersuchungen in Unternehmensnetzwerken müssen Compliance- und Datenschutz-Richtlinien beachtet werden.

Zusammenfassung

Wenden Sie die in diesem Artikel beschriebenen Tools und die Mini-Methodik an, um offen geöffnete Ports und aktive Verbindungen zu identifizieren. Beginnen Sie mit netstat für schnelle Aufzeichnungen und nutzen Sie TCPView oder CurrPorts für interaktive Echtzeitanalysen. Dokumentation und gezielte Recherche sind entscheidend, um Fehlalarme von echten Sicherheitsvorfällen zu unterscheiden.

Wichtige nächste Schritte:

  • Exportieren und sichern Sie Ergebnislisten.
  • Recherchieren Sie unbekannte Prozesse vor einer Löschung.
  • Isolieren und sichern Sie das System bei starkem Verdacht.

Wichtig: Diese Verfahren liefern Indikatoren, aber keine endgültige forensische Aussage. Bei schwerwiegendem Verdacht ziehen Sie IT-Sicherheitsexperten hinzu.

Autor
Redaktion

Ähnliche Materialien

Android ausschalten ohne Power‑Taste – 6 Methoden
Android Hilfe

Android ausschalten ohne Power‑Taste – 6 Methoden

.NET-Optimierungsdienst: CPU-Probleme in Windows 10 beheben
Windows 10

.NET-Optimierungsdienst: CPU-Probleme in Windows 10 beheben

iPhone: Wetter-App mit mobilen Daten aktualisieren
iPhone

iPhone: Wetter-App mit mobilen Daten aktualisieren

Taskleisten-Anheftungen in Windows 11 steuern
Windows 11

Taskleisten-Anheftungen in Windows 11 steuern

Steps Recorder in Windows 11 öffnen
Windows

Steps Recorder in Windows 11 öffnen

Uber Fahrten planen: Anleitung & Tipps
Mobilität

Uber Fahrten planen: Anleitung & Tipps