Im einfachsten Fall ist das File Transfer Protocol (FTP) eine rudimentäre Methode zum Verschieben von Dateien von einem Ort in einem Netzwerk zu einem anderen.

FTP geht auf die frühesten Tage von Netzwerken (1971) zurück, die noch vor dem Aufkommen moderner IP-Netzwerke (Internet Protocol) auf Basis von TCP (Transmission Control Protocol) in den frühen 1980er Jahren entstanden sind.

FTP ist bei weitem die beliebteste Methode zum Verschieben von Dateien über das Internet. Von den geschätzten 4,3 Milliarden IP-Adressen im IPv4-Adressraum im Jahr 2016 waren fast 22 Millionen FTP-Server. FTP-Server sind sogar in schlüsselfertige Geschäftsanwendungen und Drucker eingebettet.

Wie funktioniert FTP?

FTP funktioniert auf einem Client / Server-Modell. Dateien werden von einem FTP-Client auf einen FTP-Server hochgeladen, auf den eine Anwendung oder ein Client zugreifen kann. Auf dem FTP-Server wird ein Dämon ausgeführt, der kontinuierlich auf FTP-Anforderungen von Clients wartet.

Wenn der FTP-Dämon eine Anforderung empfängt, richtet er eine Steuerungssitzung ein, die Anmeldedaten anfordert und dann die Verbindung herstellt.

Es gibt zwei Arten von Anmeldemodi, die von FTP zugelassen werden. Im authentifizierten Modus muss sich der Client mit einer Benutzer-ID und einem Kennwort authentifizieren, bevor er Zugriff auf den Server erhalten kann. Im anonymen Modus verwendet der Client das Konto "anonym" oder "ftp" und gibt eine E-Mail-Adresse als Passwort an. Sobald eine Kontrollsitzung eingerichtet ist, führt der Server einen der oben vom Client angeforderten Befehle aus.

Die Abhängigkeit von der Übertragung älterer Dateien ist ein geschäftskritischer Fehler. Lesen Sie dieses Whitepaper, um die Lösung zu erhalten

Ist das FTP-Protokoll ein sicheres Mittel zur Datenübertragung?

Einfach gesagt, nein! Die Einfachheit von FTP ist seine größte Schwäche. Es kann für den Zugriff ohne gültige Authentifizierung konfiguriert werden. Dateien werden unverschlüsselt gespeichert und übertragene Daten können von Hackern und Cyberkriminellen beim Durchqueren des offenen Internets leicht abgefangen werden.

Bis Ende 2016 waren noch rund 750.000 „anonyme“ FTP-Server mit dem Internet verbunden. Für Cyberkriminelle sind dies niedrig hängende Früchte. Mit minimalem Aufwand kann eine Kontrollsitzung eingerichtet werden. Durch die Anmeldung mit dem Konto 'FTP' und einer E-Mail-Adresse haben sie vollen Zugriff auf das Verzeichnis der hochgeladenen Dateien, die sich noch auf dem Server befinden.

Im März 2017 warnte das US-FBI Sicherheitsteams in der Gesundheitsbranche, um auf das Risiko von FTP-Servern mit geschützten Gesundheitsinformationen (Protected Health Information, PHI) aufmerksam zu machen.

Benötigen Sie eine Verschlüsselung? FTPS, SFTP und HTTPS

Im Laufe der Zeit wurden den FTP-Implementierungen drei Optionen hinzugefügt: Secure Sockets Layer (SSL), Secure Shell (SSH) und HTTPS. Alle drei werden häufig verwendet, um die Sicherheit und Zuverlässigkeit der Dateiübertragung zu erhöhen, indem Verschlüsselung zum Schutz vor unbefugtem Anzeigen und Ändern von Daten mit hohem Risiko während der Übertragung über offene Netzwerke verwendet wird.

FTPS
Die schnellste der drei und am weitesten verbreiteten Optionen ist FTPS oder FTP über SSL. FTPS sichert Dateien, die über FTP übertragen werden, mit TLS (Transport Socket Layer Security). TLS wird manchmal auch als SSL bezeichnet (Vorgänger Secure Sockets Layer). FTPS erfordert separate Steuerungs- und Übertragungskanäle.

SFTP
SFTP (SSH File Transfer Protocol) bietet Dateiübertragung und -verwaltung über einen einzigen Kanal (normalerweise das SSH-2-Protokoll {TCP-Port 22}). Es enthält einige zusätzliche Funktionen, mit denen unterbrochene Dateiübertragungen fortgesetzt und Dateien aus der Ferne entfernt werden können. SFTP erwartet, dass das zugrunde liegende Protokoll (wie SSH) Authentifizierung und Sicherheit bietet.

HTTPS
HTTPS ist eine sicherere Version von HTTP. Ähnlich wie FTPS nutzt HTTPS die TLS-Verschlüsselung zum Übertragen von Dateien verwendet. HTTPS gibt es schon seit einiger Zeit, wurde aber ursprünglich für Zahlungen über das Internet verwendet. Da der Datenschutz immer wichtiger wird, wird er auf vielen Websites in verschiedenen Branchen bereitgestellt und von Google benötigt, um ein gutes Suchranking aufrechtzuerhalten.

Machen SSH, SSL, TLS und HTTPS FTP sicher?

SSH, SSL, TLS und HTTPS ermöglichen die sichere Übertragung von Daten. In der heutigen Bedrohungslandschaft ist es jedoch wichtig zu berücksichtigen, dass Dateien immer noch im Klartext gespeichert sind und dass FTP-Server, die im anonymen Modus konfiguriert sind, eine attraktive Angriffsfläche für Cyberkriminelle darstellen.

Lösungen zu Dateiübertragung wurden häufig in die dunkelste Ecke des Serverraums mit der niedrigsten Leistung verbannt. Es ist nicht ungewöhnlich, dass IT-Teams vor langer Zeit selbst entwickelte FTP-Lösungen finden, die nicht gut verstanden, dokumentiert oder einfach zu warten sind und zur Verwaltung von Unternehmensdaten verwendet werden. Hochgeladene Dateien dürfen niemals gelöscht werden.

FTP-Server bieten auch bequeme Befehls- und Kontrollplattformen für Cyberkriminelle, die gegen die Sicherheitsvorkehrungen eines Netzwerks verstoßen haben. Bei dem berüchtigten Fall von Target wurde ein interner FTP-Server verwendet, um die gestohlenen Kreditkartendaten an die Server der Cyberkriminellen zurückzusenden.

Benötigen Sie mehr Sicherheit?

Es ist nicht nur wichtig, Daten während der Übertragung zu verschlüsseln, sondern auch, sie im Ruhezustand auf dem Dateiübertragungsserver zu schützen und zu verschlüsseln. Warum? Zwei Gründe. Erstens sind Datenaustauschdateien besonders anfällig, da sie in einem sehr einfach zu verwendenden Format vorliegen. Durch die Verschlüsselung wird eine Schutzschicht hinzugefügt, die sie für Cyberkriminelle unlesbar macht. Zweitens arbeiten Dateiübertragungsserver über einen Dämon, der dem offenen Internet einen konstanten Angriffsvektor darstellt. Sie „hören“ ständig auf jemanden, der versucht, Zugang zu erhalten.

Sichere Dateiübertragungssysteme wie MOVEit bieten Sicherheitsebenen über SFTP, FTPS oder HTTPS hinaus, einschließlich der Verschlüsselung ruhender Daten, der Integration in Ihre vorhandene Sicherheitsinfrastruktur und der Protokollierung aller Dateiübertragungsaktivitäten, um einen automatisierten Prüfpfad bereitzustellen.

Daten in Ruhe verschlüsseln

Das Verschlüsseln von Daten, die auf Ihren Übertragungsservern gespeichert sind, macht sie für Cyberkriminelle unlesbar. PGP (Pretty Good Privacy) ist ein gängiger Ansatz, der die Verschlüsselung beim Hochladen sicherstellt, ohne dass spezielle Kenntnisse im Namen des Benutzers erforderlich sind.

Integration in Ihre vorhandene Sicherheitsinfrastruktur

Durch die Integration der Dateiübertragung in vorhandene Sicherheitstools können Sie Sicherheitsrichtlinien für Benutzer, Systeme und Dateien durchsetzen und gleichzeitig die Bewegung vertraulicher Dateien steuern. Auf diese Weise können Sie Benutzerautorisierung/-authentifizierung, Antivirus, SIEM und DLP nutzen, um vertrauliche Daten weiter zu schützen.

Protokollierung aller Dateiübertragungsaktivitäten

Mit MOVEit werden alle Dateninteraktionen, einschließlich Dateien, Ereignisse, Personen, Richtlinien und Prozesse, in einer manipulationssicheren Datenbank protokolliert. Dies ermöglicht die Einhaltung von HIPAA-, PCI-, GDPR-, SOX-, FISMA-, GLBA-, FFIEC- und anderen Datenschutzbestimmungen.

Zusammenfassung

Wie bereits erwähnt, bietet FTP selbst keinen zusätzlichen Sicherheitsmechanismus, außer nach einem Kennwort zu fragen. Wenn die von Ihnen gesendeten Daten nicht als vertraulich eingestuft werden und / oder auf die Übertragung von Dateien innerhalb Ihres Netzwerks beschränkt sind, kann die Verwendung von FTP vollkommen in Ordnung sein. Verwenden Sie diese einfachste Form von FTP nicht, wenn vertrauliche Daten außerhalb Ihres Unternehmensnetzwerks übertragen werden.

Welche Dateiübertragungslösung Sie verwenden, hängt einfach von Ihrem Budget ab, was Sie übertragen und welche Art von Verschlüsselung Sie benötigen.

Erfahren Sie mehr über die sichere Dateiübertragung mit MOVEit oder erhalten Sie eine kostenlose Testversion.