Einleitung: Die unsichtbare Tür zu deinem Raspberry Pi

Spätestens wenn dein Raspberry Pi dauerhaft als Server eingesetzt wird – etwa als Samba-Netzlaufwerk mit SSD oder als Pi-hole, Docker-Host oder Backup-Ziel –, läuft er in der Regel headless, also ohne Monitor und Tastatur.

Wie du einen Raspberry Pi genau für diesen Betrieb vorbereitest, habe ich bereits im Beitrag “Raspberry Pi für den Headless-Betrieb ohne Monitor, Tastatur und Maus installieren“ beschrieben.

In all diesen Szenarien ist SSH (Secure Shell) der zentrale Zugriffspunkt auf dein System – und damit auch die wichtigste „Eingangstür“.
Die klassische Anmeldung per Benutzername und Passwort ist zwar bequem, stellt aber aus sicherheitstechnischer Sicht einen unnötigen Schwachpunkt dar.

In diesem Beitrag zeige ich dir eine bewährte Best Practice:
SSH-Zugriff ausschließlich über Schlüsselpaare – ganz ohne Passwort-Login.
Die Umstellung ist rein softwareseitig, schnell erledigt und erhöht die Sicherheit deines Raspberry Pi deutlich.

1. Das Problem mit Passwörtern

(und warum „pi / raspberry“ heute nur noch historisch relevant ist)
Passwortbasierte SSH-Anmeldungen bringen mehrere grundlegende Probleme mit sich:

• Brute-Force-Angriffe: Automatisierte Bots scannen permanent IP-Adressen und probieren gängige Benutzer-/Passwort-Kombinationen aus.
• Wörterbuchangriffe:  Auch scheinbar „starke“ Passwörter sind oft vorhersehbar oder werden mehrfach wiederverwendet.
• Bekannte Benutzernamen: Der frühere Standardbenutzer pi mit dem Passwort raspberry ist weltweit bekannt.

Wichtig zur Einordnung:
In aktuellen Raspberry-Pi-OS-Versionen wird bei der Erstinstallation kein Standardbenutzer mehr angelegt. Stattdessen legst du Benutzername und Passwort selbst fest.
Auf älteren Installationen oder bestehenden Systemen kann pi jedoch weiterhin existieren – und sollte dann unbedingt abgesichert oder entfernt werden.

Unabhängig vom konkreten Benutzernamen bleibt das Kernproblem gleich:
Passwort-Logins sind ein aktiver Angriffsvektor.

2. Die Lösung: SSH-Schlüsselpaare

Das digitale Türschloss für deinen Server

SSH-Schlüssel ersetzen das klassische Passwort durch ein asymmetrisches kryptografisches Verfahren.

Ein Schlüsselpaar besteht aus zwei Teilen:

• Privater Schlüssel (Private Key): Bleibt ausschließlich auf deinem lokalen Rechner (PC oder Mac).
• Er ist zusätzlich mit einer Passphrase geschützt.

• Öffentlicher Schlüssel (Public Key): Wird einmalig auf dem Raspberry Pi hinterlegt.

Wie das Ganze funktioniert (vereinfacht)

• Dein Raspberry Pi kennt deinen Public Key.
• Beim Verbindungsaufbau fordert er eine kryptografische Signatur an.
• Nur der passende Private Key kann diese Signatur erzeugen.
• Passt sie, wird die Anmeldung erlaubt – ohne Passwortübertragung.

Ein Angreifer müsste also:

• deinen privaten Schlüssel besitzen und
• die dazugehörige Passphrase kennen.

Das ist in der Praxis um Größenordnungen sicherer als jede Passwort-Anmeldung.

3. Schritt für Schritt: SSH auf dem Raspberry Pi absichern

Die folgenden Schritte führst du einmalig aus:

• Client: dein lokaler Rechner
• Server: dein Raspberry Pi

Schritt 1: SSH-Schlüsselpaar auf deinem Rechner erzeugen

Öffne ein Terminal (unter Windows: PowerShell oder Windows Terminal) und führe aus:

Wichtig:
Drücke bei der Abfrage nach dem Speicherort einfach Enter, damit der Schlüssel im Standardverzeichnis ~/ .ssh/ abgelegt wird.
Andernfalls findet ssh-copy-id den Schlüssel nicht automatisch.

Erläuterung:

• -t rsa legt den Algorithmus fest
• -b 4096 sorgt für eine hohe Schlüssellänge
• Vergib unbedingt eine starke Passphrase

Die Schlüssel werden standardmäßig im Ordner ~/.ssh/ gespeichert:

• id_rsa → privater Schlüssel
• id_rsa.pub → öffentlicher Schlüssel

Schritt 2: Öffentlichen Schlüssel auf den Raspberry Pi übertragen

Solange die Passwort-Anmeldung noch aktiv ist, ist dies der einfachste Weg:

Beispiel: ssh-copy-id pi@192.168.1.50

Du gibst ein letztes Mal das Benutzerpasswort des Raspberry Pi ein.
Der öffentliche Schlüssel wird automatisch in folgender Datei gespeichert:

~/.ssh/authorized_keys

Test:
Melde dich anschließend erneut per SSH an.
Es sollte nun nur noch die Passphrase deines Schlüssels abgefragt werden.

Praxis-Tipp:
Ein SSH-Schlüssel wird auf dem Client erzeugt und kann auf mehrere Raspberry Pis verteilt werden.
Entscheidend ist nicht der Server, sondern das Gerät, von dem aus du dich verbindest.

Schritt 3: Passwort-Authentifizierung deaktivieren

(der entscheidende Sicherheitsschritt)

Erst wenn der Login per Schlüssel zuverlässig funktioniert, solltest du die Passwort-Anmeldung abschalten.

Öffne auf dem Raspberry Pi die SSH-Konfigurationsdatei:

In der Standardkonfiguration ist PasswordAuthentication meist auskommentiert und damit aktiv.

Um Passwort-Logins zuverlässig zu deaktivieren, füge am Ende der Datei folgende Zeilen explizit hinzu:

Speichere die Datei und starte den SSH-Dienst neu:

Ab diesem Zeitpunkt sind Passwort-Logins über SSH vollständig deaktiviert.
Eine Anmeldung ist nur noch mit gültigem SSH-Schlüssel möglich.

Hinweis:
Versucht man nun, sich von einem Rechner ohne passenden SSH-Schlüssel anzumelden, wird der Zugriff abgelehnt.
Im Terminal erscheint dann z. B. folgende Meldung:

pi@192.168.1.50: Permission denied (publickey).

Diese Meldung ist kein Fehler, sondern bestätigt, dass Passwort-Logins deaktiviert sind und nur noch gültige SSH-Schlüssel akzeptiert werden.

Fazit

Gerade im Headless-Betrieb ist SSH der wichtigste Zugang zu deinem Raspberry Pi.
Mit SSH-Schlüsseln und deaktivierter Passwort-Authentifizierung entfernst du einen der größten Sicherheitsrisiken – ohne zusätzliche Software oder Performance-Einbußen.

Diese Konfiguration gehört aus meiner Sicht zur Grundabsicherung jedes Raspberry-Pi-Servers, egal ob im Heimnetz oder im produktiven Einsatz.