Dass es in ihrer IT-Abteilung noch Relikte aus der Frühzeit der EDV gibt, merken viele Führungskräfte oft erst, wenn es zu spät ist: Gelangen sensible Daten in falsche Hände, beginnt die Suche nach der »Byte-Leckage«. Fündig wird man nicht selten in der hintersten und dunkelsten Ecke des Rechenzentrums: Ach ja, da ist ja noch die »handgeschnitzte« FTP-Lösung.

Aber was da genau passiert, das weiß keiner mehr so genau. Der Mitarbeiter, der die Scripts damals programmiert hatte, ist längst nicht mehr in der Firma. Dokumentiert ist das Ganze höchst ungenau bis gar nicht, deswegen hat sich auch niemand aus dem IT-Team an die Sache herangetraut.

Warum auch: Die betagte FTP-Applikation tut ja seit vielen Jahren klaglos ihren Dienst. Und wie heißt es so schön: Never Change a Running System!

Bis zu 10.000 Dateien pro Tag ausgetauscht

Schätzungsweise 83 Prozent aller Unternehmen setzen das File Transfer Protocol (FTP) zum Datei-Transfer und File-Sharing ein. Manche Firmen tauschen bis zu 10.000 Dateien aus – pro Tag.

Security à la carte: Moderne Dateiübertragungsprogramme wie »Ipswitch WS_FTP Professional 12« bieten SSL- und SSH-Sicherheitsfunktionen zur Auswahl.

Dennoch werden der Dateientransfer und seine Sicherheit meist einzelnen Mitarbeitern der unteren Ebene überlassen. Das Ergebnis ist nicht selten ein Stückwerk aus mehreren Servern – aufwändig zu verwalten und schwer zu kontrollieren.

Standard-FTP: Schwachstelle im Unternehmen

Schaut man einmal genauer hin, ist» Basic FTP« in der Regel das Übertragungsprotokoll – doch das macht das Unternehmen anfällig. Die ursprünglichen Spezifikationen von FTP beinhalten nämlich nur minimale, um nicht zu sagen gar keine Sicherheitsfunktionen, zum Beispiel keine starke Authentifizierung mit verschlüsselten Passwörtern und Sicherheits-Tokens.

Die Log-in-Daten werden einfach im Klartext übertragen. Sie abzufangen und dann für den nicht autorisierten Zugang zu verwenden, dürfte selbst für technisch wenig Versierte kein Problem sein.

Ebenfalls ausgesprochen Hacker-freundlich ist eine weitere Eigenschaft von FTP: Weder die zu übermittelnden Daten noch die Verbindung sind verschlüsselt. Dadurch wird ein Ausspionieren der Daten während der Übertragung oder auf dem Server möglich, etwa durch einen Man-in-the-Middle-Angriff (siehe zu diesem Thema den Beitrag »Wie Drive-by-Angriffe funktionieren«)

Dies wissen natürlich auch Behörden und Prozesspartner. Diese schützen sich durch Verordnungen, Richtlinien und viele andere Vereinbarungen, die es einzuhalten gilt. Compliance wird in vielen Unternehmen dadurch zum Problem: Gesundheits- und Finanzdaten müssen ebenso geschützt werden wie Kunden-Accounts oder Firmengeheimnisse.

Prüfer wollen Audit Trails sehen, die ein sicheres Daten-Management und eine sichere Übertragung beweisen. Hier bietet Standard-FTP einfach zu wenig Sicherheit, zu wenige Management-Funktionen, zu wenig Monitoring und Prozesskontrolle.