Vollständiger Leitfaden zum Überprüfen offener Ports unter Windows 2026

Navigieren
Zurück zum Blog
Veröffentlicht
Mar 05, 2026
Lesezeit
9 Min. Lesezeit
Geschrieben von
Simon Meier
Anleitung zum Prüfen offener Ports unter Windows mit netstat-Befehl und PowerShell

Offene Ports unter Windows zu überprüfen ist eine Fähigkeit, die jeder netzwerkbewusste Nutzer beherrschen sollte. Ein offener Port bedeutet, dass dein Computer aktiv auf Verbindungen an dieser Portnummer wartet. Zu wissen, welche Ports offen sind, hilft dir dabei, Sicherheitslücken zu entdecken, Verbindungsprobleme zu beheben und zu überprüfen, ob deine Anwendungen korrekt laufen. Windows bietet dir mehrere integrierte Möglichkeiten dafür an, und es gibt auch externe Tools, mit denen du testen kannst, wie deine Ports von außen aussehen.

Inhaltsverzeichnis

Was sind offene Ports und warum sind sie wichtig

Jeder Netzwerkdienst auf deinem Computer bindet sich an eine Portnummer zwischen 1 und 65535. Wenn ein Dienst läuft und auf eingehende Verbindungen wartet, ist dieser Port "offen". Wenn nichts dort lauscht, ist der Port "geschlossen" und eingehende Verbindungsversuche werden abgelehnt oder ignoriert.

Hier ist, warum das in der Praxis wichtig ist:

  • Sicherheitsprüfung: Ein unerwarteter offener Port könnte bedeuten, dass ein verdächtiger Prozess, Malware oder ein falsch konfigurierter Dienst deine Maschine exponiert.
  • Fehlerbehebung: Wenn dein Webserver, Game-Server oder Remote Desktop unerreichbar ist, lautet die erste Frage immer, ob der Port wirklich offen ist.
  • Firewall-Überprüfung: Deine Windows Firewall könnte einen Port blockieren, obwohl der Dienst läuft, oder einen erlauben, den du für geschlossen hältst.
Tipp: "Offen" und "nicht von der Firewall blockiert" sind zwei verschiedene Dinge. Ein Port kann lokal offen sein (ein Dienst lauscht dort), aber von deiner Firewall oder deinem Router von außen trotzdem blockiert werden. Die nachfolgenden Methoden decken beide Szenarien ab.

Netstat-Befehl zum Anzeigen offener Ports verwenden

Der netstat Befehl ist die schnellste integrierte Möglichkeit, alle Ports aufzulisten, auf denen deine Windows-Maschine gerade lauscht. Öffne die Eingabeaufforderung (suche "cmd" im Startmenü, klicke mit Rechtsklick und wähle "Als Administrator ausführen") und führe aus: 

netstat -ano

Die Flags funktionieren so:

  • -a zeigt alle aktiven Verbindungen und lauschenden Ports.
  • -n zeigt Adressen und Portnummern numerisch an, statt Hostnamen aufzulösen (viel schneller).
  • -o fügt die Prozess-ID (PID) hinzu, damit du sehen kannst, welches Programm jeden Port besitzt.

Die Ausgabespalten sind: Proto , Local Address , Foreign Address , State und PID . Achte auf Zeilen, in denen die Spalte State LISTENING sagt. Das sind deine offenen Ports.

Um die Liste auf nur lauschende Ports einzugrenzen: 

netstat -ano | findstr LISTENING

Wenn du eine PID untersuchen möchtest, findest du den Prozessnamen mit: 

tasklist /fi "PID eq 1234"

Ersetze 1234 durch die tatsächliche PID aus der netstat-Ausgabe. So erfährst du genau, welche ausführbare Datei auf diesem Port lauscht.

Um zu überprüfen, ob ein bestimmter Port verwendet wird, kombiniere netstat mit findstr: 

netstat -ano | findstr :443
Hinweis: Netstat zeigt nur TCP- und UDP-Ports, die aktiv auf der lokalen Maschine gebunden sind. Es sagt dir nicht, ob diese Ports von außen erreichbar sind. Dafür brauchst du einen externen Port-Checker (siehe weiter unten).

Ports mit PowerShell überprüfen

PowerShell bietet dir eine saubere und besser skriptierbare Alternative zu netstat. Öffne PowerShell als Administrator und führe aus: 

Get-NetTCPConnection -State Listen | Select-Object LocalAddress, LocalPort, OwningProcess | Sort-Object LocalPort

Das gibt dir eine sortierte Liste aller TCP-Ports im LISTEN-Status, inklusive lokaler Adresse und PID. Um die PID im gleichen Befehl in einen Prozessnamen umzuwandeln: 

Get-NetTCPConnection -State Listen |
  Select-Object LocalPort,
    @{Name="Process";Expression={(Get-Process -Id $_.OwningProcess -ErrorAction SilentlyContinue).Name}} |
  Sort-Object LocalPort

Du kannst auch direkt aus PowerShell testen, ob ein Remote-Host einen bestimmten Port offen hat, indem du Test-NetConnection nutzt: 

Test-NetConnection -ComputerName example.com -Port 443

Wenn TcpTestSucceeded : True in der Ausgabe erscheint, ist der Port offen und akzeptiert Verbindungen von deiner Maschine. Das ist praktisch, um ausgehende Konnektivität von deinem Windows-PC zu einem Server zu überprüfen, nicht nur um lokal zu sehen, was offen ist.

Windows Firewall-Einstellungen für Port-Regeln überprüfen

Die Windows Firewall steuert, welche Ports ein- und ausgehen dürfen. Ein Dienst kann lokal auf einem Port lauschen, aber wenn die Firewall eingehenden Traffic auf diesem Port blockiert, können externe Clients ihn nicht erreichen. So überprüfst du deine Firewall-Regeln.

Windows Defender Firewall mit erweiterten Sicherheitseinstellungen verwenden

  1. Drücke Win + R , gib wf.msc ein und drücke Enter.
  2. Klicke auf Eingangsregeln im linken Panel, um Regeln zu sehen, die Traffic zu deiner Maschine steuert.
  3. Klicke auf Ausgangsregeln , um Traffic zu sehen, der deine Maschine verlässt.
  4. Sortiere nach Aktiviert , um schnell zu sehen, welche Regeln aktiv sind.
  5. Jede Regel zeigt das Protokoll (TCP/UDP), lokalen Port, Remote-Port und Aktion (Zulassen/Blockieren).

Befehlszeile verwenden

Um alle aktiven Firewall-Regeln von der Befehlszeile aus aufzulisten: 

netsh advfirewall firewall show rule name=all

Um zu überprüfen, ob ein bestimmter Port durch die Firewall erlaubt ist: 

netsh advfirewall firewall show rule name=all | findstr "LocalPort"

Microsofts offizielle Dokumentation zum Konfigurieren der Windows Firewall behandelt die Regelerstellung und Verwaltung im Detail, falls du Regeln hinzufügen oder ändern musst.

Port-Scanner unter Windows verwenden

Integrierte Tools sind großartig, um deine eigene Maschine zu überprüfen, aber manchmal musst du einen anderen Host in deinem Netzwerk scannen, oder du möchtest einen visuellen Überblick statt Rohausgabe von der Befehlszeile. Ein dedizierter Port-Scanner füllt diese Lücke.

Nmap ist der Industriestandard für Port-Scans. Es ist kostenlos, Open Source und für Windows verfügbar auf der offiziellen Nmap-Download-Seite . Das Windows-Installationsprogramm beinhaltet Zenmap, ein grafisches Frontend. Ein einfacher Scan eines Hosts sieht so aus: 

nmap -sV 192.168.1.1

Das Flag -sV versucht, die Service-Version auf jedem offenen Port zu erkennen. Das ist nützlich für Netzwerk-Sicherheitsprüfungen unter Windows, weil du nicht nur sehen kannst, welche Ports offen sind, sondern auch, welche Software dahinter steckt.

Wichtig: Scanne nur Hosts, die du besitzt, oder für die du ausdrückliche Erlaubnis hast. Port-Scanning in einem Netzwerk, das du nicht kontrollierst, kann gegen den Computer Fraud and Abuse Act (CFAA) oder gleichwertige Gesetze in deinem Land verstoßen.

Deine offenen Ports von außen testen

Hier ist die kritische Unterscheidung, die die meisten Guides überspringen: Ein Port kann lokal auf deiner Windows-Maschine lauschen, aber von außen trotzdem geschlossen aussehen. Das passiert, wenn dein Router den Port nicht weitergeleitet hat oder wenn dein ISP ihn blockiert. Um zu wissen, was das Internet wirklich sieht, musst du von außen testen.

Genau das macht ein Online-Port-Checker. Er initiiert eine TCP-Verbindung zu deiner IP-Adresse von einem Remote-Server aus und teilt dir mit, ob die Verbindung akzeptiert wurde (Offen), abgelehnt wurde (Geschlossen) oder Timeout auftrat. Keine Software-Installation nötig, und es umgeht deine lokale Firewall komplett, um die echte externe Ansicht zu zeigen.

Online-Port-Checker-Tool zum Testen offener Ports unter Windows

Sieh genau, welche Ports auf deiner Windows-Maschine offen sind

Unser kostenloser Online-Port-Checker testet TCP-Verbindungen zu jeder IP-Adresse oder Domain von einem externen Server aus, damit du die echte externe Ansicht bekommst, wenn du offene Ports unter Windows überprüfst. Überprüfe einen einzelnen Port oder batch-überprüfe bis zu 10 gleichzeitig, mit Ergebnissen in Millisekunden.

Überprüfe Deine Offenen Ports →

Häufige Ports – Schnellreferenz

Zu wissen, welche Services welche Ports nutzen, spart Zeit bei der Fehlerbehebung. Hier sind die Ports, die du am häufigsten auf einem Windows-System findest:

Port Protokoll Service Häufige Verwendung unter Windows
80 TCP HTTP Webserver (IIS, Apache), lokale Entwicklungsserver
443 TCP HTTPS Sichere Webserver, Windows Update
3389 TCP RDP Remote Desktop Protocol, Remote-Administration
445 TCP SMB Dateifreigabe, Windows-Netzwerk-Freigaben
22 TCP SSH OpenSSH (integriert in Windows 10/11)
21 TCP FTP Dateiübertragung, IIS FTP-Service
25 TCP SMTP E-Mail-Versand, Mail-Server-Relay
3306 TCP MySQL MySQL/MariaDB-Datenbankverbindungen
5432 TCP PostgreSQL PostgreSQL-Datenbankverbindungen
135 TCP RPC Windows Remote Procedure Call, DCOM
Port 3389 (RDP) ist einer der am aggressivsten angegriffenen Ports im Internet. Wenn du RDP zum öffentlichen Internet hin offen hast, erwäge, ihn auf einen nicht-Standard-Port zu verschieben oder den Zugriff nach IP-Adresse in deinen Firewall-Regeln zu beschränken.

Ports schließen, die du nicht brauchst

Gutes Windows-Port-Monitoring geht nicht nur darum, herauszufinden, was offen ist. Es geht darum, zu entscheiden, was offen sein sollte, und alles andere zu schließen. Hier ist ein praktischer Ansatz:

  1. Führe netstat -ano aus und liste alle LISTENING-Ports auf. Ordne jede PID einem Prozessnamen zu, indem du den tasklist-Befehl von oben verwendest.
  2. Identifiziere Services, die du nicht brauchst. Wenn du zum Beispiel IIS nicht verwendest, gibt es keinen Grund, dass Port 80 oder 443 lokal offen sind. Stoppe den Service mit services.msc .
  3. Überprüfe Windows Firewall-Eingangsregeln. Öffne wf.msc und deaktiviere alle Regeln, die Traffic zu Ports erlauben, die du als unnötig identifiziert hast.
  4. Überprüfe deinen Router. Port-Forwarding-Regeln auf deinem Router können Ports exponieren, selbst wenn die Windows Firewall sie auf OS-Ebene blockiert. Melde dich beim Router-Admin-Panel an und überprüfe weitergeleitet Ports.
  5. Teste erneut von außen. Nach Änderungen führe einen externen Port-Check erneut aus, um zu bestätigen, dass die Ports nicht mehr erreichbar sind.

Die CISA-Cybersecurity-Advisories veröffentlichen regelmäßig Warnungen über spezifische Ports, die in freier Wildbahn ausgenutzt werden. Diese Liste regelmäßig zu überprüfen ist eine gute Gewohnheit, wenn du Windows-Server verwaltest.

Ein lokal offener Port bedeutet, dass ein Service auf deiner Windows-Maschine aktiv auf Verbindungen an dieser Portnummer lauscht. Ein extern offener Port bedeutet, dass Computer außerhalb des Internets ihn tatsächlich erreichen können. Dein Router, ISP oder die Windows Firewall können externen Zugriff blockieren, selbst wenn der Port lokal lauscht. Teste immer mit einem externen Tool, um den echten Status zu bestätigen.

Das wird fast immer durch eines von drei Dingen verursacht: Die Windows Firewall hat eine Eingangsregel, die den Port blockiert, dein Router hat keine Port-Forwarding-Regel für diesen Port, oder dein ISP blockiert den Port auf Netzwerk-Ebene. Überprüfe jede Schicht der Reihe nach. Häufig von ISPs blockierte Ports sind 25 (SMTP), 80 und 443 auf privaten Verbindungen.

RDP direkt zum Internet hin zu exponieren ist ein erhebliches Sicherheitsrisiko. Automatisierte Bots scannen kontinuierlich nach offenem Port 3389 und versuchen Brute-Force-Anmeldungen. Wenn du Remote-Zugriff brauchst, verwende ein VPN, um zuerst dein Netzwerk zu erreichen, beschränke RDP-Zugriff auf spezifische IP-Adressen in der Windows Firewall, oder nutze einen nicht-Standard-Port kombiniert mit starken Passwörtern und Network Level Authentication (NLA).

Netstat zeigt UDP-Ports, wenn du das -a Flag verwendest. Achte auf Zeilen mit UDP in der Proto-Spalte. Allerdings hat UDP keinen Verbindungs-Handshake wie TCP, daher ist es viel schwieriger, Remote zu testen. Die meisten Online-Port-Checker, einschließlich TCP-basierter Tools, testen nur TCP-Verbindungen. Für UDP-Scans ist Nmap mit dem -sU Flag die praktische Option, obwohl es Administrator-Rechte erfordert.

Öffne wf.msc , klicke auf "Eingangsregeln", dann auf "Neue Regel" rechts. Wähle "Port", wähle TCP oder UDP, gib die Portnummer ein, wähle "Verbindung zulassen", wende sie auf die passenden Profile an (Domain, Privat, Öffentlich) und gib der Regel einen Namen. Für Kommandozeilen-Fans: netsh advfirewall firewall add rule name="MyPort" dir=in action=allow protocol=TCP localport=8080 .

Ein Timeout bedeutet, dass der Port-Checker eine TCP-Verbindungsanfrage gesendet hat, aber innerhalb der Wartezeit (typisch ein paar Sekunden) keine Antwort erhielt. Das bedeutet normalerweise, dass eine Firewall Pakete stillschweigend verwirft, statt sie aktiv abzulehnen. Ein "Geschlossen"-Ergebnis bedeutet, dass der Host einen TCP-Reset gesendet hat und die Verbindung aktiv ablehnt. Timeout ist häufiger bei strikten Firewall-Konfigurationen, die Traffic verwirfen statt ablehnen.