Authentifizierung mittels Passwort oder Zertifikat

Die Authentifizierung kann bei SSL oder SSH über Passwörter oder Zertifikate ablaufen. Bei Passwörtern sollte man auf ausreichende Komplexität achten, sonst können sie leicht von Hackern geknackt werden. Deshalb ist es wichtig, eine ausreichende Länge des Schlüssels in den internen Sicherheitsrichtlinien vorzuschreiben – hier muss auch eine Kontrolle möglich sein.

SSH ist in der IT besonders beliebt, weil die meisten Betriebssysteme, einschließlich Unix/Linux, dieses Protokoll unterstützten. Der Einsatz von SSH für die Datenübertragung (SFTP) ermöglicht also eine Standardisierung über die Plattformgrenzen hinweg. Diese Vereinheitlichung erleichtert die Administration, aber auch die Durchsetzung der Sicherheitsrichtlinien.

SFTP ist praktikabel, weil nur ein geöffneter Port für Upload und Download erforderlich ist. Das Verfahren ist zudem sicher, weil sämtliche Transferdaten, einschließlich der Befehle und Passwörter, verschlüsselt werden. Damit ergeben sich keine Angriffspunkte für Hacker-Angriffe wie Eavesdropping oder Connection Hijacking. SSH ist außerdem noch schnell, weil alle Daten bei der Übermittlung komprimiert werden.

Moderne FTP-Server und -Clients, etwa Ipswitch WS_FTP Professional Client 12 Und WS_FTP Server 7, unterstützen bereits diese Sicherheits-Features und schließen somit so manche Sicherheitslücke.

Managed-File-Transfer: Sicher, übersichtlich, Zeit sparend

Aber nicht nur in puncto Sicherheit sehen viele etablierte Übertragungslösungen zuweilen alt aus. Gerade wenn es um intelligenten oder neudeutsch Managed File-Transfer geht, wird die Sache unübersichtlich.

Sollen beispielsweise alle geänderten Dateien mit der Endung .doc jeden zweiten Tag um 20:00 Uhr aus einem bestimmten Verzeichnis geholt, systematisch umbenannt und dann in einem neuen Verzeichnis abgelegt werden, kommen meist unkomfortable Scripts im Einsatz.

Oft erlauben die eingesetzten Programme kein gleichzeitiges Abarbeiten vieler Tasks, deshalb arbeiten mehrere Übertragungs-Server parallel. Das macht die Einhaltung von Sicherheitsstandards schwierig und die Verwaltung zeitaufwändig. Änderungen an den Scripts erfordern Einarbeitung in die jeweilige Sprache – und die Denkweise des Verfassers der Programme.

Wer also viele kombinierte Übertragungs- und Verarbeitungsprozesse am Laufen hat, sollte durchaus über einen »Change« bei seinem »Running System« nachdenken. Mit Managed-File-Transfer Programmen wie Ipswitch MoveIT Central Corporate lässt sich zentralisieren, was zuvor auf viele Scripts und Devices verteilt war.

Bis zu 20 Tasks kann das Programm gleichzeitig abarbeiten, bis zu 50 Tasks können geplant werden. Alle Filter- und Verarbeitungsfunktionen lassen sich intuitiv per Mausklick zusammenstellen. Eine Task zu ändern oder neu hinzuzufügen ist eine Sache von Minuten.

Zudem lassen sich dabei Sicherheits- und Verschlüsselungsfunktionen aktivieren. Wichtig ist: Die Kommunikation zwischen der Verwaltungskonsole des Administrators und dem MoveIT-Kommunikations-Server sind abgesichert. Und schließlich können alle Aktionen, die unter der Kontrolle von MoveIT ausgeführt werden, durch Auditing-Prozesse auch protokolliert werden.

Checkliste: Sichere und rationelle Datenübertragung

Dateienübertragung zur Chefsache machen: An erster Stelle stehen eine Inventur und eine genaue Ermittlung des Bedarfs bei der Dateiübertragung. Dabei sollte die Verantwortlichkeit auf der Geschäftsführer-Ebene angesiedelt sein. Es folgt eine umfassende Dokumentation, Standardisierung und Optimierung aller File-Transfer-Aktivitäten im Unternehmen. Moderne Software stellt hier die passenden Lösungen bereit. Voraussetzung ist allerdings die Etablierung wohl überlegter und verwalteter Geschäftsprozesse.

Gesicherte Kommunikation vorschreiben: Die Übertragung sensibler Daten über das ungesicherte FTP muss generell untersagt werden. Hier müssen SSL und SSH obligatorisch sein. Empfehlenswert sind auch der Einsatz von Strong Authentication (bevorzugt wechselseitig), eine sorgfältige Zugangskontrolle, die Protokollierung aller Aktivitäten und der Einsatz der höchsten Verschlüsselungsstufe, zum Beispiel 256-AES über SSH- und TLS-1.0-Verbindungen, wie sie in den WS_FTP-Programmen zur Verfügung stehen.

Zentralisieren mit Managed-File-Transfer: Gerade wenn aufwändigere Transfers und Verarbeitungsschritte erforderlich sind, lohnt sich die Zusammenfassung in einer Managed-File-Transfer-Software. Diese sollte alle zeitgemäßen Sicherheits-Features bieten und intuitiv und ohne Programmierkenntnisse zu bedienen sein

Die richtige Software auswählen und standardisieren: Sowohl der Server als auch alle Clients müssen die erforderlichen Sicherheitsstandards erfüllen. Jeder Angestellte, aber auch jeder Lieferant, jeder Vertragspartner und Kunde, der Daten mit dem Firmen-Server austauscht, braucht also eine Programmlizenz. Dabei muss überall dasselbe Programm in derselben Version im Einsatz sein. Nur so wird sicher gestellt, dass jeder Zugriff auf den Datenbestand auf demselben Sicherheitsniveau erfolgt und Volumenvorteile bei Lizensierung, Training und Support entstehen.

Fazit: Wer seine FTP-Server und -Clients modernisiert, der schließt eine bekannte Sicherheitslücke. Und das sollte man tun, bevor eine Datei in falsche Hände fällt und das Unternehmen in die Schlagzeilen gerät. Eine gründliche Revision in diesem Bereich macht aber auch die tägliche Arbeit im Rechenzentrum ein gutes Stück einfacher und übersichtlichter, so dass sich die vergleichsweise geringe Investition schon bald amortisiert.

Der Autor: David Stelzl ist seit mehr als 20 Jahren als IT-Sicherheitsexperte und Consultant tätig. Er berät Firmen und Behörden zu Themen wie Identitätsdiebstahl, Compliance, Security-Policies und Schwachstellenanalyse.

1. Praxis: Schritt für Schritt zum sicheren File-Transfer
2. Schutz durch SSL und SSH
3. Authentifizierung mittels Passwort oder Zertifikat