«Daten sind das neue Gold.» Unter diesem Aspekt gilt es, auch die Sicherheitsstufen des «Daten-Goldtresors» genauer unter die Lupe zu nehmen und die Möglichkeiten genau abzuwägen. FTP, SFTP, FTPS, HTTPS, AS2? Im Markt gibt es unzählige Möglichkeiten, Daten sicher zu übermitteln. Doch welche Option eignet sich am besten für Ihr Unternehmen? ProSeller hat drei Optionen beleuchtet:

Unsichere Datenübertragung via FTP

FTP (File Transfer Protocol) ist ein Standard-Internet-Protokoll, um Dateien zwischen Computern im Internet oder via Netzwerk übertragen zu können. FTP ist ein Applikations-Protokoll, welches über das TCP/IP-Protokoll (Transmission Control Protocol/Internet Protocol) im Internet läuft. Dies trifft auch auf HTTP (Hypertext Transfer Protocol) für die Webseitenanzeige und deren Dateien und SMTP (Simple Mail Transfer Protocol) für den Versand von Mails zu. Mit FTP lassen sich Dateien von einem Computer zu einem anderen übertragen, sofern die Gegenstelle wie ein FTP-Server agiert. Zudem verwendet man das Protokoll auch, um Programme oder andere Dateien von Internet-Servern auf den eigenen Computer herunterzuladen.

FTP ist ein Standardverfahren zur Dateiübertragung, das bereits länger als das World Wide Web existiert. Dieses wurde seit Einführung nicht gross weiterentwickelt und entspricht nicht mehr den heutigen Sicherheitsanforderungen. Bei FTP werden Daten über zwei getrennte Kanäle ausgetauscht – einerseits über den Befehlskanal und auf der anderen Seite über den Datenkanal. Beide Kanäle bleiben dabei unverschlüsselt. Daten, die über diese Kanäle übertragen werden, können abgefangen und gelesen werden.

FTP ist trotz steigendem Sicherheitsrisiko noch immer vielerorts im Einsatz. Grössere Unternehmen und Compliance-Richtlinien sowie Branchenanforderungen schreiben jedoch eine verschlüsselte Datenübertragung vor. Es lohnt sich also, diesem Thema mehr Aufmerksamkeit beizumessen.

Was ist FTPS?

Netscape entwickelte in den 1990er Jahren für den Schutz der Kommunikation über ein Netzwerk das Secure Sockets Layer-Protokoll (SSL, heute TLS). Aus SSL und FTP entstand dann FTPS – das heisst, FTPS fügt dem FTP-Protokoll eine Sicherheitsebene hinzu. Wie bei FTP läuft auch bei FTPS die Übertragung über zwei Verbindungen/Kanäle. Es können nun beide Verbindungen oder nur eine über den Datenkanal verschlüsselt werden.

FTPS authentifiziert die Verbindung entweder mittels Benutzer-ID und Kennwort oder einem Zertifikat oder mit beidem. Bei der Verbindungsherstellung zu einem FTPS-Server überprüft der FTPS-Client zunächst, ob das Zertifikat des Servers vertrauenswürdig ist. Ein Zertifikat ist dann vertrauenswürdig, wenn es von einer bekannten Zertifizierungsstelle oder von Ihrem Partner signiert wird und Sie in Ihrem Key Store über eine Kopie des öffentlichen Zertifikats verfügen.

Verschiedene Wege prüfen die Vertrauenswürdigkeit:

  • Bereitstellung eines Zertifikates bei der Verbindungsherstellung
  • Zulassen einer Selbstsignierung durch vorgängiges Zustellen an den Key Store

Die Authentifizierung der Benutzer-ID kann mit einer Kombination aus Zertifikat und/oder Kennwort erfolgen.

Was ist SFTP?

SFTP ist ein eigenständiges Protokoll, das auf dem Netzwerkprotokoll SSH (Secure Shell) beruht. SFTP verwendet nur eine Verbindung und verschlüsselt sowohl Authentifizierungsinformationen als auch die zu übertragenden Daten.

SFTP ermöglicht zwei Verfahren für die Authentifizierung von Verbindungen. Wie bei FTP können Benutzer-ID und Kennwort verwendet werden. Bei SFTP sind diese Anmeldeinformationen jedoch verschlüsselt. Was einen grösseren Sicherheitsvorteil gegenüber FTP darstellt. Bei SFTP-Authentifizierungsverfahren können zudem auch öffentliche SSH-Schlüssel generiert werden, welche auf dem Empfänger-Server gespeichert und mit Ihrem Konto verknüpft werden. Bei einer Verbindungsherstellung mit Ihrem SFTP-Server sendet die Client-Software Ihren öffentlichen Schlüssel zur Authentifizierung an den Server. Wenn öffentlicher und privater Schlüssel sowie Benutzer-ID und Kennwort übereinstimmen, ist die Authentifizierung erfolgreich.

Die Authentifizierung der Benutzer-ID kann mit einer beliebigen Kombination aus Schlüssel und/oder Kennwort erfolgen.

Worin liegt der Unterschied zwischen FTPS und SFTP?

Durch die ergänzenden Authentifizierungsoptionen bieten beide Varianten einen zuverlässigen Schutz, welche FTP nicht bereitstellen kann. Jedoch verwendet FTPS für die Authentifizierungs- und Übergabebefehle mehrere Portnummern. Der erste Port steht für den Befehlskanal. Bei jeder neuen Dateiübertragungs-Anfrage oder eines Verzeichniseintrags muss eine weitere Portnummer für den Datenkanal geöffnet werden. Das bedeutet, dass auf beiden Seiten zahlreiche Ports in den Firewalls für die FTPS-Verbindungen geöffnet werden – dies stellt ein Sicherheitsrisiko für Ihr Netzwerk dar. Für die SFTP-Variante benötigt es nur eine Portnummer– dies vereinfacht zusätzlich die Sicherung Ihres Netzwerks.

ProSeller stellt auf SFTP um

Um den heutigen Datensicherheitsaspekten gerecht zu werden, stellt ProSeller den Datenaustausch gemeinsam mit Kunden und Partnern sukzessive auf SFTP um.

Haben Sie Fragen dazu? Wir haben Zeit für Sie. Kontaktieren Sie uns. Gemeinsam entwickeln wir benutzerfreundliche Methoden für eine sichere und effiziente Datenübertragung.


Michael Schüler
Key Account Manager
T +41 44 915 40 93
michael.schueler@proseller.ch

 

 

 

Das könnte Sie auch interessieren