Oft wird einfach gesagt "Einer ist sicher, der andere nicht". Aber es steckt noch mehr dahinter.
Secure File Transfer Protocol (SFTP ) wird auch als SSH File Transfer Protocol bezeichnet. Es ist ein Netzwerkprotokoll und dienst dazu um Dateien auf entfernte Systeme zu übertragen. SFTP entwickelte sich nicht aus FTP, sondern aus SSH - einem sicheren Netzwerkprotokoll, mit dem die Mängel von Telnet beseitigt werden sollen, das für die Verwendung in privaten Netzwerken vorgesehen war. Daher steht das "S" für "Secure Shell".
Im Vergleich dazu war FTPS als Nachfolger von FTP lediglich eine Erweiterung / ein nachträglicher Gedanke, um die gewünschten Sicherheitsfunktionen zu integrieren. SFTP hingegen wurde von Grund auf unter Berücksichtigung der Sicherheit entwickelt, weshalb es in den meisten Dateiübertragungssituationen zur beliebtesten Option wurde. Sowohl FTP als auch SFTP ermöglichen Benutzern das Übertragen von Dateien, d. H. Sie erfüllen dieselbe Grundfunktion, sind jedoch Welten voneinander entfernt.
In der Wirtschaft werden alle Daten als wesentlich angesehen. Einige Daten sind kritischer und müssen zur Überprüfung, Zusammenarbeit und Weitergabe an die gewünschte Zielgruppe, Lieferanten, Kollegen oder Partner übertragen werden. In der Regel wird ein Datenrepository verwendet (das Dateien und Ordner auf herkömmliche Weise umfasst), und für diejenigen, die sich mit Clouds von Drittanbietern auskennen, bieten private Dateiserver ein Höchstmaß an interner Kontrolle. Die verwendete Dateiübertragungsmethode muss Daten während aller Aspekte ihrer Reise von der Erstellung bis zum endgültigen Löschen sichern. Bei Dateiübertragungen mit Remote-Serverzugriff werden zusätzliche Sicherheitsrisiken eingeführt. Dazu gehören Datenverluste aufgrund von Verstößen, Verwendungsfehlern oder böswilligen Akteuren.
Unternehmen sollten die standardmäßige FTP-Nutzung (SCP hat auch Sicherheitsprobleme) für Übertragung von sensiblem oder vertraulichen Daten vermeiden. Verwenden Sie SFTP, wenn eine MFT/pLösung (Managed File Transfer) nicht im Budget enthalten ist. Gründe sind unter anderem:
Compliance und Encryption (Verschlüsselung)
Da die Verschlüsselung Daten verschlüsselt, sind sie nur für den Absender und den Empfänger lesbar. FTP bietet keine Verschlüsselung und abgefangene Daten können von Dritten leicht gelesen werden. SFTP verwendet Secure Shell (SSH) und überprüft die Hostschlüssel des Empfängers, bevor die Datenübertragung beginnt. Unabhängig von Branche oder Standort muss Ihr Unternehmen wahrscheinlich einem oder mehreren der folgenden Standards (UND den lokalen Datenschutzgesetzen) entsprechen: HIPAA, ITAR, PCI-DSS, SOX und GLBA. All dies macht verschlüsselte Daten für die Einhaltung obligatorisch.
Kommunikation
Bei FTP werden mehrere Ports (für die ein sekundärer Datenkanal erforderlich ist) zum Übertragen von Dateien verwendet. SFTP verwendet jedoch einen Port zum Senden und Empfangen von Daten - Port 22. Dies erleichtert die Firewall-Konfiguration und erhöht die Gesamtsicherheit. Darüber hinaus bietet FTP keine Standardmethode zum Ändern von Datei- und Verzeichnisattributen.
Hacken
FTP kann leicht gehackt werden - selbst Amateure können FTP-Übertragungen mit einer Reihe grundlegender Tools (z. B. mit Kali Linux) oder mithilfe der anonymen Anmeldefunktion abfangen.
Menschliche Fehler
Es ist leicht, einen Fehler zu machen. Das Senden der falschen Datei oder das Senden der richtigen Datei an den falschen Empfänger kann schwerwiegende Probleme für Ihr Unternehmen verursachen. Während menschliches Versagen mit SFTP nicht beseitigt wird, wird es reduziert, da die Hostschlüssel des Empfängers vor Beginn der Dateiübertragung überprüft werden.
Nachteile
Die Diagnose ist ein Problem für SFTP, da alle Protokolle (und Nachrichten) binär sind. SSH-Schlüssel sind schwer zu verwalten und zu validieren, und einige Funktionen (wenn aktiviert oder deaktiviert) führen zu Kompatibilitätsproblemen mit clientseitiger Software verschiedener Hersteller. Wenn Sie sich in der Softwareentwicklung befinden, sind für die Implementierung von Dateiübertragungen möglicherweise zusätzliche Tools erforderlich. Das .NET Framework bietet beispielsweise keine native SSH- oder SFTP-Unterstützung.
Zusammenfassend lässt sich sagen, dass dies keine vollständige Liste der Vor- und Nachteile für jedes Protokoll ist. Es ist jedoch klar, dass FTP nicht empfohlen wird, wenn Sie Ihre Daten bewerten, es sei denn, Sie führen eine Verschlüsselung über TLS / SSL ein. Selbst dann ist SFTP sicherer. Letztendlich MÜSSEN SIE eine Dateiübertragungslösung wählen, die Ihrem Zweck, Ihrer Plattformnutzung und Ihren Geschäftszielen entspricht. Unabhängig davon, ob Ihre Dateiübertragung Server, Desktops oder mobile Geräte umfasst, gibt es Lösungen für alle Optionen. Zum Zeitpunkt des Schreibens gilt SFTP im Allgemeinen als das sicherste vor FTPS und SCP. Zwar gibt es in der Cybersicherheit keine 100% ige Sicherheit. Wenn Compliance, Flexibilität, Automatisierung und ein Audit-Trail Ihr Ziel sind, ist eine verwaltete Lösung mit einem SFTP-Client als Option für Dateiübertragungen am besten.
Tipp: Testen Sie den SFTP Client oder unsere MFT Lösung kostenfrei.
Michael O'Dwyer
An Irishman based in Hong Kong, Michael O’Dwyer is a business & technology journalist, independent consultant and writer who specializes in writing for enterprise, small business and IT audiences. With 20+ years of experience in everything from IT and electronic component-level failure analysis to process improvement and supply chains (and an in-depth knowledge of Klingon,) Michael is a sought-after writer whose quality sources, deep research and quirky sense of humor ensures he’s welcome in high-profile publications such as The Street and Fortune 100 IT portals.