FTP: Die unterschätzte Sicherheitslücke

Lesezeit
2 Minuten
Bis jetzt gelesen

FTP: Die unterschätzte Sicherheitslücke

26.10.2011 - 13:00
Veröffentlicht in:
In vielen Unternehmen hat sich FTP als Standard für den digitalen Datenaustausch etabliert. Dabei erfüllt die Basis-Variante des Protokolls nicht einmal die fundamentalen Sicherheitskriterien beim Transfer digitaler Daten, was vor allem an der nicht existenten Verschlüsselung der Informationen liegt. In diesem Fachartikel geben wir einen Überblick über verschiedene Übertragungsmethoden sowie deren Sicherheitslevel und gehen darauf ein, warum selbst SFTP / FTPS nicht absolut sicher ist.
Sicherheitslücken als folgenschwerer Stolperstein
Geschäftliche Daten in den Händen des Wettbewerbs, manipulierte Vertragsunterlagen, nicht freigegebene Informationen im Internet. Die Liste der Schreckensszenarien ließe sich noch weiter fortführen und die möglichen Auswirkungen können gravierend sein. In einigen Fällen mussten Unternehmen nach Bekanntwerden eines solchen Vorfalls aufgrund von Schadenersatzforderungen sogar schließen. Trotzdem bleibt das Thema Informationssicherheit häufig nur ein Grundrauschen in den Unternehmen, bis neue Meldungen oder gar ein internes Datenleck für die nötige Aufmerksamkeit sorgen. Häufig ist es dann aber bereits zu spät.

Nicht dass Datenschutz kein Thema wäre. Deutsche Unternehmen investieren Milliarden in IT-Infrastrukturen, um unbefugte Zugriffe auf Firmen- und Kundendaten zu verhindern. Und Experten prognostizieren dem Markt auch in den kommenden Jahren stetes Wachstum. Doch im Dickicht der IT-Sicherheit wird in vielen Unternehmen ein wesentlicher Risikofaktor unterschätzt oder schlichtweg übersehen: die Datenübertragung.

Die Unsicherheit beginnt bei der Lösung
Wesentlich ist, was mit den Daten nach dem Versenden passiert. Eine zuverlässige und beruhigende Antwort auf diese Frage bieten jedoch nur wenige der gängigen Systeme, die für geschäftlichen Datentransfer verwendet werden. So werden selbst physische Transportmöglichkeiten für Dateien wie USB-Sticks trotz des offensichtlichen Risikos noch in vielen Unternehmen genutzt. Doch auch die klassische E-Mail sowie die, vor allem für größere Dateien gern genutzten Online-Dienstleister scheiden für eine sichere Übertragung geschäftlicher Dateien aus. In beiden Fällen werden die Daten auf einem externen Server unverschlüsselt abgelegt, ohne jegliche Kontrollmöglichkeit über deren Verbleib.

Daneben hat sich in vielen Branchen FTP als Standard für digitalen Datenaustausch etabliert. Ein Großteil der Unternehmen setzt das File Transfer Protocol regelmäßig für die Übertragung geschäftlicher Dateien ein. Aber trotz der inzwischen deutlich gestiegenen Compliance-Anforderungen von Gesetzgebern und Kunden wird die Sicherheit von FTP auch heute noch selten hinterfragt. Dabei erfüllt die Basis-Variante nicht einmal die fundamentalen Sicherheitskriterien beim Transfer digitaler Daten. Diese werden nämlich im Klartext unverschlüsselt übertragen und abgelegt und lassen sich somit einfach Ad-hoc abgreifen und verwenden. Häufig erhalten so beispielsweise verschiedene Partner eines Unternehmens gleichzeitig Zugriff auf dessen FTP-Server und damit auf die dort abgelegten fremden Dokumente. Erweiterte Varianten wie SFTP oder FTPS bieten zwar mehr Sicherheit für die Übertragung, dennoch kommt es auch hier zu einer Speicherung der Daten im Klartext.

Was heißt denn nun sicherer Dateitransfer?
Wann ist eine Übertragungslösung sicher beziehungsweise wie sicher sollte sie sein? Unternehmen, die geschäftliche Daten mit Kunden und Partnern austauschen, können sich an folgenden Faktoren orientieren:

  • Verschlüsselte Übertragung: Die Dateien sind während der Übertragung geschützt (secure in motion) und können von Unbefugten in dem Zustand nicht verwendet werden.
  • Verschlüsselte Ablage: In den meisten Fällen werden Daten zur Übertragung auf einen Server zwischengespeichert, wo sie dann für den Empfänger zum Download bereit stehen. Diese Phase der Zwischenablage beansprucht in der Regel den größten Zeitanteil des Transfers. Daher ist gerade hier eine Verschlüsselung der Daten unerlässlich (secure at rest).
  • Geeigneter Speicherort: Neben der Verschlüsselung der Daten ist auch der Ort, an dem die Dateien gespeichert werden, wichtig. So lässt sich unter anderem verhindern, dass dort zwischengelagerte Dateien von Dritten missbraucht oder gelöscht werden. Auch rechtlichen Problemen können Unternehmen durch die geeignete Wahl des Serverstandorts aus dem Weg gehen.
  • Manipulationssicherheit: Ein sicheres System stellt die Integrität der zugestellten Daten sicher, indem es Manipulationsversuche erkennt und veränderte Dateien als solche kennzeichnet.
  • Nachweisbarkeit: Ein sicheres System gewährleistet lückenlose Transparenz und Kontrolle der gesamten Transaktionen. Es muss nachvollziehbar sein, wann im Unternehmen welche Dateien von den einzelnen Mitarbeitern empfangen beziehungsweise versendet wurden. Nur lässt sich im Zweifelsfall auch ein zuverlässiger Nachweis für die erfolgte Zustellung erbringen.
Eine weitere Voraussetzung für die Sicherheit des Systems ist dessen Akzeptanz bei den Mitarbeitern. Ist die Verwendung der Lösung komplex oder zeitaufwendig, besteht eher das Risiko, dass Mitarbeiter auf Kosten der Sicherheit auf andere Versandmethoden zurückgreifen.




                                                Seite 1 von 2                     Nächste Seite>>






Tanja Gamperl, Marketing & PR, FTAPI Software/ln

Tags

Ähnliche Beiträge

Mit Mikrosegmentierung Sicherheitsrisiken minimieren

Netzwerksegmentierung dient der Abwehr von Schadsoftware, die sich nach der Infiltration des Netzwerks seitlich darin ausbreitet. Die Mikrosegmentierung untergliedert noch granularer, sodass zwischen einzelnen Unterbereichen des Netzwerks der Zugang beschränkt ist. Werden diese beiden Methoden miteinander kombiniert, lässt sich die Cybersicherheit eines Unternehmens merklich verbessern und Sicherheitsrisiken reduzieren.

Dezentrale digitale Identitäten: Eine Bestandsaufnahme

Die eigene digitale Identität ist ein komplexes Konstrukt aus verschiedenen Arten von Nutzerkonten, Anmeldedaten, Historien und weiteren Informationen, die in Gesamtheit den Online-Fußabdruck einer Person ergeben. Oder besser: Ergeben würden, denn diese einzelnen Bestandteile sind üblicherweise hochfragmentiert bei verschiedenen Unternehmen gespeichert. Mit dem Konzept dezentraler digitaler Identitäten gibt es aber inzwischen eine Alternative.