Blog: Verlassen Sie sich nicht auf FTP!

03.02.2015

Übertragen Sie Daten noch auf Basis von FTP? Damit gefährden Sie womöglich vertrauliche Unternehmensdaten.

Wenn Mitarbeiter grosse Dateien übertragen müssen, ist ein oft genutzter Weg die Initialisierung eines FTP Transfers. Denn – auch wenn das File Transfer Protokoll (FTP) bereits 1971 entstanden ist und in den letzten 25 Jahren kaum erneuert wurde – so wird es in vielen Unternehmen heute immer noch stark genutzt, sowohl für Mensch-zu-Mensch- als auch für System-zu-System-Transfers.

Aber sollte das so sein? Auf keinen Fall, denn FTP unterliegt Einschränkungen, die es für den heutigen Betrieb in Unternehmen absolut ungeeignet machen. Nicht nur ist das Protokoll mühsam und unpraktisch in der Nutzung, sein Mangel an Sicherheit macht Unternehmen ausserdem für gravierende Sicherheitsrisiken anfällig.

Herausforderung Nutzerfreundlichkeit

FTP war eigentlich von Anfang an keine nutzerfreundliche Technologie. Jahre lang wurde es trotzdem verwendet, weil es quasi alternativlos war. Auch heute wird es oft weiter genutzt, obwohl es bessere Möglichkeiten gibt, denn es ist in vielen IT-Umgebungen tief verwurzelt.

Und das, obwohl es kompliziert in der Nutzung ist und die Effizienz der Mitarbeiter stark beeinträchtigen kann. Angesichts der Tatsache dass die Grösse der ausgetauschten Dateien in den letzten Jahren stetig gestiegen ist, kann dabei viel Zeit verloren gehen – mal ganz abgesehen von der Frustration, die dadurch bei den Nutzern entsteht. Dass FTP ausserdem ohne zusätzliche Add-Ons nicht in der Lage ist, Daten zu komprimieren, macht das Ganze nicht besser.

Ein Sicherheitsalbtraum

Aber viele Unternehmen sehen die grössten Probleme in den Sicherheitsmerkmalen von FTP – oder besser gesagt: darin, dass FTP eigentlich keine hat. Ein wichtiger Aspekt dabei: mit FTP kann man Informationen nicht verschlüsseln. Dies ist jedoch mit der beste Weg, um die Sicherheit von Daten zu garantieren. Da FTP nicht über diese Fähigkeit verfügt, ist jede unverschlüsselt übertragene Information gefährdet, sobald sie abgefangen wird.

FTP schützt auch weder Nutzernamen noch Passwörter und verschickt sie stattdessen im Klartext über das Netzwerk. Das macht es Angreifern extrem einfach, diese Informationen zu sammeln. Geht man davon aus, dass viele Leute Passwörter und Nutzernamen über mehrere Konten hinweg verwenden, kann die Gewinnung von Informationen aus FTP-Übertragungen Hackern eine direkte Hintertür in das Unternehmensnetzwerk öffnen.

Arbeiten im Dunklen

Weitere Probleme von FTP liegen in seiner mangelnden Transparenz – diese aber wird immer wichtiger, da mehr und mehr Unternehmen sich mit genauer Aufzeichnung und Prüfung ihrer Aktivitäten auseinandersetzen müssen.

Es gibt dann keine Möglichkeit, zu beweisen, dass Dateien übertragen wurden. Wenn keine Integritätsüberprüfung der Daten stattfindet, können weder Sender noch Empfänger sichergehen, dass die Dateien ihr Ziel unbeschädigt erreichen. Darüberhinaus fehlen Möglichkeiten für Monitoring, Automatisierung und zur Feinsteuerung, was es Auditoren – und auch dem betroffenen Unternehmen selbst – unmöglich macht, ein klares Bild davon zu bekommen, was im Unternehmen abläuft.

Einen besseren Weg finden

Zur Lösung dieser Probleme und für eine einfache und sichere Übertragung von Dateien, ist es wichtig, dass Unternehmen Legacy-FTP-Lösungen durch zuverlässigere File-Transfer-Methoden ersetzen.

Aber viele Unternehmen sind zurückhaltend, was die Einführung einer richtigen MFT-Lösung (Managed File Transfer) angeht. Sie glauben, dass Implementierung und Betrieb teuer seien, während FTP scheinbar kostenlos ist. Bei näherer Betrachtung erweist sich das als Irrglaube, denn FTP wird durch den Mangel an Benutzerfreundlichkeit und Sicherheit von vielen versteckten Kosten begleitet.

Um eine eigene Lösung auf FTP-Basis betreiben zu können, ist typischerweise viel Scripting notwendig, IT-Fachleute müssen „Workarounds“ entwickeln, um die vielen Nachteile von FTP aufzufangen. Dadurch entstehen sehr oft hochkomplexe Lösungen, die nur von einer Person im Unternehmen wirklich richtig verstanden werden. Fehlerbehebung und Wartung der selbstgestrickten Lösung werden zum Albtraum.

Eine benutzerfreundliche MFT-Lösung beseitigt solche Probleme. Unternehmen sollten nach Lösungen Ausschau halten, die komplexe Verschlüsselung bieten und den relevanten Vorschriften wie SOX, HIPAA und PCI entsprechen, damit Daten sicher sind, wenn sie zwischen Nutzern und/oder Systemen übertragen werden. Darüberhinaus ist wichtig, dass Lösungen Monitoring und Logging von Aktivitäten bieten, um Audit-Anforderungen erfüllen zu können.


von Marcel Mock, CTO

Marcel