FTP: Die unterschätzte Sicherheitslücke

Lesezeit
2 Minuten
Bis jetzt gelesen

FTP: Die unterschätzte Sicherheitslücke

26.10.2011 - 13:00
Veröffentlicht in:
In vielen Unternehmen hat sich FTP als Standard für den digitalen Datenaustausch etabliert. Dabei erfüllt die Basis-Variante des Protokolls nicht einmal die fundamentalen Sicherheitskriterien beim Transfer digitaler Daten, was vor allem an der nicht existenten Verschlüsselung der Informationen liegt. In diesem Fachartikel geben wir einen Überblick über verschiedene Übertragungsmethoden sowie deren Sicherheitslevel und gehen darauf ein, warum selbst SFTP / FTPS nicht absolut sicher ist.
Sicherheitslücken als folgenschwerer Stolperstein
Geschäftliche Daten in den Händen des Wettbewerbs, manipulierte Vertragsunterlagen, nicht freigegebene Informationen im Internet. Die Liste der Schreckensszenarien ließe sich noch weiter fortführen und die möglichen Auswirkungen können gravierend sein. In einigen Fällen mussten Unternehmen nach Bekanntwerden eines solchen Vorfalls aufgrund von Schadenersatzforderungen sogar schließen. Trotzdem bleibt das Thema Informationssicherheit häufig nur ein Grundrauschen in den Unternehmen, bis neue Meldungen oder gar ein internes Datenleck für die nötige Aufmerksamkeit sorgen. Häufig ist es dann aber bereits zu spät.

Nicht dass Datenschutz kein Thema wäre. Deutsche Unternehmen investieren Milliarden in IT-Infrastrukturen, um unbefugte Zugriffe auf Firmen- und Kundendaten zu verhindern. Und Experten prognostizieren dem Markt auch in den kommenden Jahren stetes Wachstum. Doch im Dickicht der IT-Sicherheit wird in vielen Unternehmen ein wesentlicher Risikofaktor unterschätzt oder schlichtweg übersehen: die Datenübertragung.

Die Unsicherheit beginnt bei der Lösung
Wesentlich ist, was mit den Daten nach dem Versenden passiert. Eine zuverlässige und beruhigende Antwort auf diese Frage bieten jedoch nur wenige der gängigen Systeme, die für geschäftlichen Datentransfer verwendet werden. So werden selbst physische Transportmöglichkeiten für Dateien wie USB-Sticks trotz des offensichtlichen Risikos noch in vielen Unternehmen genutzt. Doch auch die klassische E-Mail sowie die, vor allem für größere Dateien gern genutzten Online-Dienstleister scheiden für eine sichere Übertragung geschäftlicher Dateien aus. In beiden Fällen werden die Daten auf einem externen Server unverschlüsselt abgelegt, ohne jegliche Kontrollmöglichkeit über deren Verbleib.

Daneben hat sich in vielen Branchen FTP als Standard für digitalen Datenaustausch etabliert. Ein Großteil der Unternehmen setzt das File Transfer Protocol regelmäßig für die Übertragung geschäftlicher Dateien ein. Aber trotz der inzwischen deutlich gestiegenen Compliance-Anforderungen von Gesetzgebern und Kunden wird die Sicherheit von FTP auch heute noch selten hinterfragt. Dabei erfüllt die Basis-Variante nicht einmal die fundamentalen Sicherheitskriterien beim Transfer digitaler Daten. Diese werden nämlich im Klartext unverschlüsselt übertragen und abgelegt und lassen sich somit einfach Ad-hoc abgreifen und verwenden. Häufig erhalten so beispielsweise verschiedene Partner eines Unternehmens gleichzeitig Zugriff auf dessen FTP-Server und damit auf die dort abgelegten fremden Dokumente. Erweiterte Varianten wie SFTP oder FTPS bieten zwar mehr Sicherheit für die Übertragung, dennoch kommt es auch hier zu einer Speicherung der Daten im Klartext.

Was heißt denn nun sicherer Dateitransfer?
Wann ist eine Übertragungslösung sicher beziehungsweise wie sicher sollte sie sein? Unternehmen, die geschäftliche Daten mit Kunden und Partnern austauschen, können sich an folgenden Faktoren orientieren:

  • Verschlüsselte Übertragung: Die Dateien sind während der Übertragung geschützt (secure in motion) und können von Unbefugten in dem Zustand nicht verwendet werden.
  • Verschlüsselte Ablage: In den meisten Fällen werden Daten zur Übertragung auf einen Server zwischengespeichert, wo sie dann für den Empfänger zum Download bereit stehen. Diese Phase der Zwischenablage beansprucht in der Regel den größten Zeitanteil des Transfers. Daher ist gerade hier eine Verschlüsselung der Daten unerlässlich (secure at rest).
  • Geeigneter Speicherort: Neben der Verschlüsselung der Daten ist auch der Ort, an dem die Dateien gespeichert werden, wichtig. So lässt sich unter anderem verhindern, dass dort zwischengelagerte Dateien von Dritten missbraucht oder gelöscht werden. Auch rechtlichen Problemen können Unternehmen durch die geeignete Wahl des Serverstandorts aus dem Weg gehen.
  • Manipulationssicherheit: Ein sicheres System stellt die Integrität der zugestellten Daten sicher, indem es Manipulationsversuche erkennt und veränderte Dateien als solche kennzeichnet.
  • Nachweisbarkeit: Ein sicheres System gewährleistet lückenlose Transparenz und Kontrolle der gesamten Transaktionen. Es muss nachvollziehbar sein, wann im Unternehmen welche Dateien von den einzelnen Mitarbeitern empfangen beziehungsweise versendet wurden. Nur lässt sich im Zweifelsfall auch ein zuverlässiger Nachweis für die erfolgte Zustellung erbringen.
Eine weitere Voraussetzung für die Sicherheit des Systems ist dessen Akzeptanz bei den Mitarbeitern. Ist die Verwendung der Lösung komplex oder zeitaufwendig, besteht eher das Risiko, dass Mitarbeiter auf Kosten der Sicherheit auf andere Versandmethoden zurückgreifen.




                                                Seite 1 von 2                     Nächste Seite>>






Tanja Gamperl, Marketing & PR, FTAPI Software/ln

Tags

Ähnliche Beiträge

So stellen sich KMU cybersicher für die Zukunft auf

Cyberangriffe sind eine ernsthafte Bedrohung für Unternehmen jeder Größe – auch kleine und mittlere Firmen sind gefährdet: Sie verfügen über wertvolle Daten, oft jedoch nicht über die umfangreichen Sicherheitsressourcen von Konzernen. Wie können sie sich dennoch effektiv schützen? Der Onlineartikel erklärt, warum Security Awareness, klare Sicherheitsrichtlinien, der Einsatz technologischer Schutzmaßnahmen und Notfallpläne zwingend notwendig sind.

Absendervalidierung mit DMARC

Angesichts fortwährender Cyberbedrohungen durch Spoofing und Phishing ist es unerlässlich, wirksame Maßnahmen zum Schutz der E-Mail-Kommunikation einzuführen. Organisationen, die Wert auf die Sicherheit ihrer Infrastruktur legen und ihre Kunden, Lieferanten, Partner schützen möchten, sollten sich deshalb intensiv mit E-Mail-Sicherheitsprotokollen wie DMARC auseinandersetzen. Der Fachartikel gibt eine Anleitung, wie Sie dabei vorgehen können.

Medizinische IT vor Hackern schützen

In Kliniken lassen sich viele Prozesse digitalisieren und automatisieren, um das Klinikpersonal zu entlasten. Jedoch birgt die Digitalisierung auch das Risiko von Cyberangriffen, zumal Systeme und Medizingeräte oft nicht ausreichend vor unbefugten Zugriffen geschützt sind. Deshalb ist eine Public-Key-Infrastruktur in Verbindung mit einem Identity- und Access-Management ein wichtiger Baustein, um die Security in medizinischen Einrichtungen zu erhöhen.