Nur weil sich ein Tool "Secure File Transfer" nennt, ist es noch lange nicht sicher. Viele so genannte sichere Lösungen sind in Wirklichkeit nur teilweise sicher - und manchmal kaum sicher. Welches sind also die besten Methoden zur sicheren Übertragung von Dateien?
Es gibt viele Lösungen für die Dateiübertragung, die nicht unbedingt sicher sein müssen - wenn Sie besonders vorsichtig sind und keine Dateien mit vertraulichen oder persönlichen Informationen senden oder empfangen, ist etwas wie DropBox wahrscheinlich in Ordnung. Aber wenn man darüber nachdenkt, schränkt das die Möglichkeiten zum Versenden stark ein. Außerdem weiß man nicht immer, was Hacker für nützlich halten. Denken Sie nur an all die Informationen, die sie über unsere Konten in den sozialen Medien sammeln können. Wer weiß schon, was sie in Ihren Dateien - oder denen Ihres Unternehmens - finden?
Wenn Sie eine Dateiübertragungslösung haben, die Sie für sicher halten, und diese sicher sein muss, sollten Sie sich wahrscheinlich ein paar aufschlussreiche Fragen stellen. In diesem Blog werden Sie durch die wichtigsten Ansätze zur Dateiübertragung führen und Sicherheitsprobleme diskutieren, die mit jedem verbunden sind. Am Ende werden wir eine absolut sichere und einfach zu bedienende Secure File Transfer-Software vorstellen. Und tatsächlich, anstatt Sie warten zu lassen, werden wir Ihnen jetzt sagen, dass dieser Ansatz Als Managed File Transfer (MFT) bezeichnet wird und ein ausgesprochen sicherer und disziplinierter Ansatz für Ad-hoc- und Enterprise-Scale-Dateiübertragungsanforderungenist.
EDI ist zwar sicher, aber nicht die Antwort
Wir beginnen mit einer Lösung, die zwar sicher ist, deren Einrichtung aber sehr schwierig und teuer ist und die nur einen kleinen Teil der Daten und Dateien übertragen kann, die Ihr Unternehmen und Sie als Endbenutzer möglicherweise versenden müssen.
Secure File Transfer (Sichere Dateiübertragung) ist sicherlich nicht neu und große Unternehmen, insbesondere solche, die unter Compliance-Vorschriften fallen, haben seit vielen Jahren ihre unterschiedlichen Ansätze. Für die größten Unternehmen mit vielen Partnern war Electronic Data Interchange (EDI) die Antwort. Diese langjährige Technologie ist der Schlüssel zum Teilen von Artikeln wie Rechnungen mit Handelspartnern. EDI kann große Volumina mit vielen Partnern abwickeln und ist weitgehend transaktionsorientiert.
EDI löst eine andere Reihe von Problemen als Secure File Transfer-Lösungen. Aber was EDI-Austausche sind, sind nicht wirklich Dateien per se. Dateien sind unterschiedlich. Dateien sind keine Transaktionen, sondern größere Inhalte, die in einer Vielzahl von Formaten wie Word-Dokumenten, Tabellenkalkulationen, PDFs, Datenbankdatensätzen und allen Arten von unstrukturierten Daten einschließlich Bilddateien vorliegen können. Es sind diese unstrukturierten Daten, mit der EDI zu kämpfen hat und bei der Sicherung versagt. Tatsächlich glauben Experten, dass EDI, das sich auf den Transport nur strukturierter Daten beschränkt, nur 20% der Daten verarbeitet, die Unternehmen gemeinsam nutzen müssen, während die anderen 80% in den Händen von Secure File Transfer-Lösungen und anderen Tools bleiben.
EDI erfordert auch, dass sich die Handelspartner auf ein Datenformat einigen. In vielen Fällen unterstützt der Handelspartner ein bestimmtes Format nicht und erfordert daher eine Übersetzung. Hier kommt eine MFT-Lösung (Managed File Transfer) wie MOVEit von Progress ins Feld. MOVEit kann diese Übersetzungen verarbeiten und die Dateiübertragungen in die MOVEit Managed File Transfer-Lösung und -Workflows integrieren.
Jetzt hast du mich. Aber ich habe noch nicht definiert, was Managed File Transfer ist. Wie der Name schon sagt, ist Managed File Transfer eine Methode zum Transportieren und Übertragen von Dateien und Dokumenten vieler Arten. Im Gegensatz zu Low-Level-Lösungen wie Dropbox können Managed File Transfer-Lösungen Automatisierung umfassen, um die Übertragung einer großen Menge von Dateien zu erleichtern, Audits, um zu verfolgen, ob Dateien erfolgreich gesendet wurden, und Sicherheit, damit Dateien nicht manipuliert oder kompromittiert werden. Weitere Informationen zu Managed File Transfer finden Sie später. Viel mehr.
Andere falsche (und unsichere) Möglichkeit zum Übertragen von Dateien
E-Mail: Beginnen wir mit der vielleicht immer noch gebräuchlichsten Art, Dateien zu übertragen - gute alte E-Mails. E-Mail-Anhänge haben das Leben für Bilder Ihres Neugeborenen einfach gemacht, und für andere nicht sensible Informationen funktioniert es immer noch gut. Cyberkriminelle sind nicht gerade Jonesin für Fotos des kleinen Johnny. Aber wenn der Anhang unangekündigte Unternehmensfinanzen enthält, schneidet E-Mail einfach nicht ab.
Gleichzeitig sind E-Mails nicht immer zuverlässig. Wie oft wurde Ihre Nachricht zurückgesendet oder im Junk-Mail-Ordner gespeichert? Was ist, wenn Sie die falsche Adresse angeben? Jetzt hat jemand, den Sie nicht einmal kennen, diese unangekündigten Unternehmensfinanzen und kann sie zur Konkurrenz schicken. Eine E-Mail für Dateiübertragungen ist überhaupt nicht skalierbar, und heutzutage haben immer mehr E-Mail-Clients Dateigrößenbeschränkungen, so dass Sie sowieso keine größeren Dateien senden können. Und wie stellen Sie sicher, dass Ihre E-Mail und der Anhang an den Empfänger gehen? Sind Sie wirklich auf Rücksendebelege angewiesen? Wann hat das das letzte Mal funktioniert?
USB-Sticks und Festplatten: Wir werden weit in der Zeit zurückgehen und über die Verwendung von USB-Sticks und sogar Festplatten zum Transport von Dateien sprechen. Sie fragen sich, in welchem Jahrhundert ich mich befübe, aber die Wahrheit ist, dass einige Leute immer noch diese physische Transportmethode verwenden, um Dateien zu übertragen - und es ist sehr beängstigend und unsicher. Fast keine USB-Sticks sind geschützt und verschlüsselt, und jeder, der in den Schoß fällt, kann alles sehen. Schlimmer noch, USB-Sticks sind immer noch ein häufiger Virenträger. Möchten Sie etwas Ransomware mit dieser Datei? Meine Vermutung ist, dass niemand in Ihrem Unternehmen diesen Ansatz verwendet, aber wenn sie sie sofort stoppen!
Dateisynchronisierung und -freigabe: Es gibt zwei Arten von Dateisynchronisierung und -freigabe: Enterprise-Klasse und Consumer-Klasse. Oft sind dies die gleiche Lösung, mit einer kostenlosen und mit Speicherlimits, und die andere bezahlt mit mehr Speicher und ein bisschen (nur ein bisschen) mehr Sicherheit.
Hier gibt es viele Probleme und Bedenken. Erstens ist die Authentifizierung oft rudimentär und leicht zu hacken, wobei die Multi-Faktor-Authentifizierung eher die Ausnahme als die Regel ist. Die Vorstellung, dass diese Systeme zwischen Endbenutzergeräten synchronisiert werden, ist eine weitere Sicherheitslücke. Wenn ein iPhone mit Dropbox oder Google Drive synchronisiert wird, kann jeder, der sich dieses Telefon schnappt, die Dateien sehen.
Verstehen Sie mich nicht falsch, dies sind großartige Lösungen für gängige Arten der Dateifreigabe und unkritische Daten können auf diese Weise ohne große Sorgen ausgetauscht werden. Kritische Daten, vertrauliche Daten und Daten, die unter Compliance-Regeln fallen, sollten jedoch niemals auf diese Weise gesendet werden.
File Transfer Protocol (FTP): Wenn wir uns mit Begriffen wie EDI und FTP beschnöpfen, stellen Sie schnell fest, dass es Dateiübertragungslösungen und -technologien schon seit einiger Zeit, in der Tat Jahrzehnte gibt. FTP entspricht dieser Definition. Es ist seit langem eine Möglichkeit, dass IT, Power-User und Geschäftspartner große Dateien auf eine Weise verschieben, die sie für sicher halten. Es war eine großartige Technologie und macht immer noch Sinn für eine Menge Anwendungsfälle. Aber Secure File Transfer gehört nicht dazu.
FTP misst sich nicht in Bezug auf die Sicherheit und ist nicht ratsam für vertrauliche Daten und alles, was unter Compliance-Regeln fällt. Es gibt andere schwerwiegende FTP-Mängel. Wenn Sie viele Dateien verschieben müssen, ist die IT häufig auf Skripte angewiesen, um den Prozess zu automatisieren. Skripte haben ihre eigenen Komplikationen. Zuerst muss jemand die Skripte schreiben, was Zeit braucht, und jemand sollte das Skript testen, um sicherzustellen, dass es wie beabsichtigt funktioniert. Aber Skripte sind kompliziert zu verwalten und werden oft nur von der Person verstanden, die sie geschrieben hat, und was passiert, wenn sie Ihr Unternehmen verlassen?
Und obwohl Skripts einen geringen Automatisierungsgrad bieten, ist es wirklich nicht abhängig von der Menge an Dateien, die Ihr Unternehmen senden muss, oder den verschiedenen Arten von Übertragungen, die Sie wahrscheinlich benötigen. Kurz gesagt, FTP ist schwer zu sichern, schwierig zu automatisieren und kann Ihre Dateiübertragungen nicht ordnungsgemäß verfolgen und überprüfen.
Die schlimmste Situation ist, eine breite Palette von Methoden zum Übertragen von Dateien zu haben. Hier werden Kopien von Dateien überall ohne zentrale Aufsicht oder Sicherheit aufbewahrt. Es ist eine Katastrophe, die darauf wartet, zu geschehen.
Was ist Secure File Transfer wirklich? Die MFT-Antwort (Managed File Transfer)
Um sicher zu sein, muss eine Dateiübertragung vollständig geschützt sein, was bedeutet, dass sie im Ruhezustand verschlüsselt ist und dass die Übertragung selbst verfolgt wird, um sicherzustellen, dass sie ordnungsgemäß stattgefunden hat. Darüber hinaus sollte jeder, der auf das Dateiübertragungssystem zugreift, authentifiziert werden, vorzugsweise durch Multi-Faktor-Authentifizierung. Wir haben das Tracking erwähnt, und dies sollte auf eine höhere Ebene gebracht werden, wo alle Ihre Dateiübertragungen überprüft und protokolliert werden, so dass es eine vollständige Aufzeichnung aller Bewegungen und aller Probleme im Zusammenhang mit diesen Übertragungen gibt.
Diese Probleme sind genau der Grund, warum die MFT-Technologie (Managed File Transfer) überhaupt erfunden wurde. Tatsächlich haben wir nur weitgehend definiert, was eine MFT-Lösung ist - es ist alles oben genannte.
Mit all diesen Attributen kann MFT alle oder die meisten Methoden ersetzen, die Sie heute zum Übertragen von Dateien verwenden. Die einzige, sichere und verwaltbare automatisierte Lösung mit einer einzigen Glasscheibe, um alle Aktivitäten zu sehen, reduziert das Risiko von Fehlübertragungen erheblich. Gleichzeitig sind Ihre Endbenutzer und IHRE IT durch Automatisierung und diese einzige Glasscheibe produktiver und schaffen einen positiven Return on Investment (ROI) im Vergleich zur Verwendung einer Reihe verschiedener und in der Regel unsicherer und problematischer Transferlösungen.
Die Notwendigkeit zu verschlüsseln nicht immer erfüllt
Viele der "sicheren" Dateiübertragungstools beanspruchen Sicherheit, da sie nicht vollständig weit geöffnet sind und ein Konto und ein Passwort für den Zugriff auf sie erfordern. Das ist, als würde man sagen, dass Ihr Schmuck sicher ist, weil es ein einziges Schloss an der Tür gibt, aber das Fenster ist offen. Ohne MFA kann das meiste gehackt werden, und so ist es auch mit diesen angeblich sicheren Angeboten.
Ihre Daten sollten auch dann geschützt werden, wenn ein Cyberkriminelle in das Dateiübertragungssystem eindringt, und die einzige Möglichkeit, dies zu tun, besteht darin, die Daten selbst durch Verschlüsselung zu sichern.
Selbst ansonsten geschützte IT-Lösungen wie Datenbanken hinter einer Firewall mit eingeschränktem Endbenutzerzugriff können verletzt werden, wenn diese Datenbankdateien das DBMS verlassen und exportiert oder übertragen werden. Dies kann während der Übertragung passieren oder wenn die Datei verschoben wird, z. B. auf einen Server, und dort im Ruhezustand ist.
Gute MFT-Software wie MOVEit Transfer kann Daten immer stark verschlüsseln.
FTP auf Steroiden - Eintauchen in die MOVEit-Automatisierung
Stellen Sie sich den MOVEit Transfer-Server wie einen FTP-Server auf Steroiden vor. Wie bei FTP werden Dateien an das Managed File Transfer-System geliefert, und Benutzer verbinden, laden oder laden ihre Dateien hoch. Im Gegensatz zu FTP werden MOVEit-Dateien im Ruhezustand verschlüsselt, um die Integrität dieser Daten sicherzustellen und sicherzustellen, dass nichts geändert wurde.
Darüber hinaus müssen sich Benutzer über den MOVEit-Dienst oder über einen externen Identitätsanbieter authentifizieren, bevor sie auf Daten zugreifen können. Auf diese Weise kann MOVEit ein manipulationssicheres Überwachungsprotokoll erstellen, sodass Sie alles wissen, was mit Ihren Dateiübertragungen passiert ist und dass wichtige Protokolle nicht durcheinander gebracht wurden.
Managed File Transfer kann eine beliebige Kombination von Hosts als Quellen oder Ziele verwenden. Es gibt unzählige Hosttypen, mit denen MOVEit eine Verbindung herstellt, aber die großen sind interne Netzwerkfreigaben, FTP- und SFTP-Systeme extern. SharePoint Online wird immer häufiger, daher ist dies eine Option, ebenso wie Blob- oder S3-Speicher - diese Arten von Quellen.
Doug Barney
Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.