Daten mit FTP-Alternative MFT sicher versenden

© Ulrich Mueller, 123RF

Transportgesichert

FTP, das File Transfer Protocol, feiert in der aktuell verwendeten Version dieses Jahr seinen 28. Geburtstag; die Vorgänger-Version stammte gar aus dem Jahr 1971. Trotz seines Alters leistet FTP immer noch treue Dienste, doch für die Übertragung sensibler Daten gibt es längst bessere Alternativen.
Mit den Tipps und Workshops im ADMIN-Magazin 03/2013 sichern Administratoren ihre Webserver und Netze gegen Angriffe ab: gegen Abhören sensibler Informationen, ... (mehr)

Nicht zuletzt die Sicherheitsbedenken mit Blick auf FTP brachten inzwischen eine Reihe von Weiterentwicklungen hervor, die in den Protokollen Secure FTP, Secure Copy Protocol (SCP), FTP over SSL (FTPS) und SSH File Transport Protocol (SFTP) mündeten. Neu hinzugekommen ist das 2008 fertiggestellte Verfahren Managed File Transfer (MFT). Das Besondere an ihm ist die Verschlüsselung aller zu übertragenen Dateien nicht nur während des Versands, sondern auch bei der Speicherung auf dem Server oder auf bereitgestellten Sharepoints.

Der folgende Beitrag diskutiert die Anforderungen an einen sicheren Datenversand und stellt die Technik hinter MFT vor.

Die Anforderungen

Der Schutz von sicherheitsrelevanten Daten sollte für jeden Anwender hohe Priorität haben, nicht zuletzt fordert das auch das Bundesdatenschutzgesetz in § 9 (Technische und organisatorische Maßnahmen) und § 42a (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten). Dazu kommen zusätzliche Bestimmungen wie sogenannte Non-Disclosure-Agreements (NDA) und Regularien wie PCI oder ISO. Last, but not least nötigen auch interne und externe Compliance-Vorgaben wie der Sarbanes Oxley Act (SOX), PCI-DSS, ISO 27001 und Basel II zu technischen und organisatorischen Maßnahmen. Letztlich müssen alle Unternehmen gewährleisten, dass sie ihre Daten in motion (beim Dateitransfer) verschlüsselt übertragen und at rest (bei der (Zwischen-)Speicherung) sicher ablegen.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinem Übersichtspapier Online-Speicher vom November 2012: "Werden schützenswerte Daten über ungeschützte Netze übertragen, muss über den Einsatz zuverlässiger Verschlüsselungsverfahren intensiv nachgedacht werden." Das BSI erwähnt in dem Papier explizit auch eine bestimmte Funktion, die häufig in Zusammenhang mit MFT-Systemen angeboten wird: Cloud-Speicher, die Anwender zum File Sharing oder zur Kollaboration nutzen. Privat verwendet man dafür zumeist Google Tools oder kostenlose Cloud Services wie Dropbox, Duplicati und andere. Auch Unternehmen greifen auf diese Möglichkeiten zurück, sollten aber eigentlich sichere Services und Technologien bevorzugen.

Was Managed File Transfer ist und kann

Die Kernfunktionalitäten von MFT umfassen die sichere Übertragung und Speicherung von Daten, gekoppelt mit Reporting und Audit der Datenaktivitäten. Darüber hinaus unterscheidet sich MFT von allen anderen Arten von Infrastrukturen dadurch, dass es auch die Übertragung von sehr großen Dateien ermöglicht. Mit MFT tauschen Unternehmen große Datenmengen mit Geschäftspartnern über verschiedene Standorte, Regionen und Zeitzonen hinweg sicher, nachweisbar und schnell über öffentliche Netze aus.

Dabei sind alle MFT-Lösungen ähnlich aufgebaut: Sie bestehen aus einem Server, auf dem Dateien beliebiger Größe bereitgestellt werden und einem System, das Zugriffs- und Nutzungsrechte verwaltet. Der wesentliche Unterschied zu unsicheren Technologien ist, dass Dateien auf dem Server verschlüsselt gespeichert werden und so für Unberechtigte nicht zugänglich sind. Bei MFT können nur die zugriffsberechtigten Empfänger die verschlüsselt bereitgestellten Dateien herunterladen und entschlüsseln. Die Daten werden bereits beim Versender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Dadurch sind Daten nicht nur auf dem Transportweg, sondern etwa auch in einem Zwischenspeicher sicher.

Als Verschlüsselungsstärke des MFT-Systems sollte man den sicheren 256-Bit-AES-Standard wählen. Einige Lösungen bieten als zusätzliche Sicherheitsoption eine Datensegmentierung an, was bedeutet, dass die Dateien vor dem Versand in kleine Segmente aufgeteilt, in zufälliger Reihenfolge versandt und erst beim Empfänger wieder richtig zusammengesetzt werden.

Managed heißt der File Transfer unter anderem deshalb, weil der Download von Dateien dem Versender meist entweder proaktiv über Benachrichtigungen per E-Mail mitgeteilt wird oder passiv in einer persönlichen Übersicht überprüft werden kann. Diese Funktion dient bei vielen Lösungen als Nachweis über die erfolgreiche Zustellung von Daten an den Empfänger. Eine Protokollierung sorgt für zusätzliche Sicherheit, da durch eine Logfile-Analyse eine fehlerhafte Übertragung oder ein nicht abgeholter Download erkannt und der Versender entsprechend informiert werden kann.

Häufig lässt sich auch noch die Gültigkeit von Dateien beschränken. Dann ist eine Datei nur bis zu einem gewissen Datum herunterladbar oder es ist nur eine gewisse Anzahl von Downloads möglich. Solche Management-Funktionen stellen im Vergleich zu FTP & Co. einen Mehrwert dar und erlauben einen belastbaren Zustellungsnachweis.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023