Schutz durch SSL und SSH

Zwei Sicherheitsprotokolle wurden speziell für die Verschlüsselung bei der Datenübertragung und der zugehörigen Verwaltung entwickelt: Secure Sockets Layer (SSL) und Secure Shell (SSH). Sie manchen den Transfer nicht nur sicherer, sondern auch verlässlicher.

Sowohl SSL als auch SSH nutzen Verschlüsselung, um sicherheitskritische Daten während der Übertragung über offene Netze wie das Internet zu schützen – vor nicht autorisiertem Zugang, aber auch vor Manipulation.

SSL: Eine sichere Erweiterung zum Standard-FTP

Wer einen Internet-Browser benutzt, hat mit größter Wahrscheinlichkeit schon einmal eine Variante von SSL eingesetzt. Denn dieses Protokoll wurde ursprünglich für die sichere Verbindung zu Web-Servern etabliert.

SSL, auch bekannt als FTPS oder Secure FTP over SSL, wird auch in Verbindung mit FTP eingesetzt, und zwar für die Verschlüsselung von Standard-FTP-Connects. SSL nutzt dieselben zwei Ports wie eine Standard-FTP-Verbindung, der Datenkanal wird allerdings verschlüsselt.

Übersichtlich: Kommunikationsaufträge in den Tasks von »Ipswitch MoveIT Central Corporate«.

SSL-Verbindungen ver- und entschlüsseln FTP-Sessions über Netzwerke, um Legitimationen zu überprüfen und eine gesicherte Kommunikation zu ermöglichen. SSL gibt es in mehreren Sicherheitsstufen. Die neuesten sind SSL v3 und TLS 1.0. Sie sind jeweils sicherer als ihre Vorgänger.

SSL schützt die Daten aber nicht nur vor den Blicken Unbefugter, sondern auch vor Datenverfälschungen während des Transits. Nur so bleiben die Daten auch verlässlich.

Grundsätzlich verringern SSL-Verbindungen also deutlich die Risiken bei der Datenübertragung. Voraussetzung ist allerdings, dass an beiden Enden der Übertragungsstrecke ein geeignetes Programm installiert ist. Sowohl der Server als auch der Client muss also SSL-kompatibel sein.

SSH: Erste Wahl beim sicheren Datentransfer

SSH, auch als SFTP (Secure Shell File Transfer Protocol) bekannt, gilt bei vielen Experten als die effektivste Absicherung des Dateientransfers.

SSH ist in unterschiedlichen Betriebssystemen integriert. Dabei wird Secure Shell 2 (SSH2) eingesetzt, ein sicheres Tunnel-Protokoll, um eine FTP-Verbindung zu emulieren.

Damit steht ein Firewall-freundlicher und verschlüsselter Übertragungskanal auf der Basis des bekannten TCP Ports 22 zur Verfügung. SSH steigert nochmals das Sicherheitsniveau: Die kompletten File-Transfer-Sessions einschließlich aller Session-Control-Kommandos bleiben zu jedem Zeitpunkt verschlüsselt. Dazu ist lediglich ein geöffneter Port in der Firewall notwendig, während FTP- oder SSH-Verbindungen deren zwei benötigen.

Ein weiteres häufig eingesetztes Feature von SSH ist Secure Copy (SCP2). Es ermöglicht eine Zusammenarbeit zwischen unterschiedlichen Betriebssystemen und Plattformen: Desktops, Server und Mainframes.

Authentifizierung mittels Passwort oder Zertifikat

Die Authentifizierung kann bei SSL oder SSH über Passwörter oder Zertifikate ablaufen. Bei Passwörtern sollte man auf ausreichende Komplexität achten, sonst können sie leicht von Hackern geknackt werden. Deshalb ist es wichtig, eine ausreichende Länge des Schlüssels in den internen Sicherheitsrichtlinien vorzuschreiben – hier muss auch eine Kontrolle möglich sein.

SSH ist in der IT besonders beliebt, weil die meisten Betriebssysteme, einschließlich Unix/Linux, dieses Protokoll unterstützten. Der Einsatz von SSH für die Datenübertragung (SFTP) ermöglicht also eine Standardisierung über die Plattformgrenzen hinweg. Diese Vereinheitlichung erleichtert die Administration, aber auch die Durchsetzung der Sicherheitsrichtlinien.

SFTP ist praktikabel, weil nur ein geöffneter Port für Upload und Download erforderlich ist. Das Verfahren ist zudem sicher, weil sämtliche Transferdaten, einschließlich der Befehle und Passwörter, verschlüsselt werden. Damit ergeben sich keine Angriffspunkte für Hacker-Angriffe wie Eavesdropping oder Connection Hijacking. SSH ist außerdem noch schnell, weil alle Daten bei der Übermittlung komprimiert werden.

Moderne FTP-Server und -Clients, etwa Ipswitch [2] WS_FTP Professional Client 12 Und WS_FTP Server 7, unterstützen bereits diese Sicherheits-Features und schließen somit so manche Sicherheitslücke.

Managed-File-Transfer: Sicher, übersichtlich, Zeit sparend

Aber nicht nur in puncto Sicherheit sehen viele etablierte Übertragungslösungen zuweilen alt aus. Gerade wenn es um intelligenten oder neudeutsch Managed File-Transfer geht, wird die Sache unübersichtlich.

Sollen beispielsweise alle geänderten Dateien mit der Endung .doc jeden zweiten Tag um 20:00 Uhr aus einem bestimmten Verzeichnis geholt, systematisch umbenannt und dann in einem neuen Verzeichnis abgelegt werden, kommen meist unkomfortable Scripts im Einsatz.

Oft erlauben die eingesetzten Programme kein gleichzeitiges Abarbeiten vieler Tasks, deshalb arbeiten mehrere Übertragungs-Server parallel. Das macht die Einhaltung von Sicherheitsstandards schwierig und die Verwaltung zeitaufwändig. Änderungen an den Scripts erfordern Einarbeitung in die jeweilige Sprache – und die Denkweise des Verfassers der Programme.

Wer also viele kombinierte Übertragungs- und Verarbeitungsprozesse am Laufen hat, sollte durchaus über einen »Change« bei seinem »Running System« nachdenken. Mit Managed-File-Transfer Programmen wie Ipswitch MoveIT Central Corporate lässt sich zentralisieren, was zuvor auf viele Scripts und Devices verteilt war.

Bis zu 20 Tasks kann das Programm gleichzeitig abarbeiten, bis zu 50 Tasks können geplant werden. Alle Filter- und Verarbeitungsfunktionen lassen sich intuitiv per Mausklick zusammenstellen. Eine Task zu ändern oder neu hinzuzufügen ist eine Sache von Minuten.

Zudem lassen sich dabei Sicherheits- und Verschlüsselungsfunktionen aktivieren. Wichtig ist: Die Kommunikation zwischen der Verwaltungskonsole des Administrators und dem MoveIT-Kommunikations-Server sind abgesichert. Und schließlich können alle Aktionen, die unter der Kontrolle von MoveIT ausgeführt werden, durch Auditing-Prozesse auch protokolliert werden.

Checkliste: Sichere und rationelle Datenübertragung

Dateienübertragung zur Chefsache machen: An erster Stelle stehen eine Inventur und eine genaue Ermittlung des Bedarfs bei der Dateiübertragung. Dabei sollte die Verantwortlichkeit auf der Geschäftsführer-Ebene angesiedelt sein. Es folgt eine umfassende Dokumentation, Standardisierung und Optimierung aller File-Transfer-Aktivitäten im Unternehmen. Moderne Software stellt hier die passenden Lösungen bereit. Voraussetzung ist allerdings die Etablierung wohl überlegter und verwalteter Geschäftsprozesse.

Gesicherte Kommunikation vorschreiben: Die Übertragung sensibler Daten über das ungesicherte FTP muss generell untersagt werden. Hier müssen SSL und SSH obligatorisch sein. Empfehlenswert sind auch der Einsatz von Strong Authentication (bevorzugt wechselseitig), eine sorgfältige Zugangskontrolle, die Protokollierung aller Aktivitäten und der Einsatz der höchsten Verschlüsselungsstufe, zum Beispiel 256-AES über SSH- und TLS-1.0-Verbindungen, wie sie in den WS_FTP-Programmen zur Verfügung stehen.

Zentralisieren mit Managed-File-Transfer: Gerade wenn aufwändigere Transfers und Verarbeitungsschritte erforderlich sind, lohnt sich die Zusammenfassung in einer Managed-File-Transfer-Software. Diese sollte alle zeitgemäßen Sicherheits-Features bieten und intuitiv und ohne Programmierkenntnisse zu bedienen sein

Die richtige Software auswählen und standardisieren: Sowohl der Server als auch alle Clients müssen die erforderlichen Sicherheitsstandards erfüllen. Jeder Angestellte, aber auch jeder Lieferant, jeder Vertragspartner und Kunde, der Daten mit dem Firmen-Server austauscht, braucht also eine Programmlizenz. Dabei muss überall dasselbe Programm in derselben Version im Einsatz sein. Nur so wird sicher gestellt, dass jeder Zugriff auf den Datenbestand auf demselben Sicherheitsniveau erfolgt und Volumenvorteile bei Lizensierung, Training und Support entstehen.

Fazit: Wer seine FTP-Server und -Clients modernisiert, der schließt eine bekannte Sicherheitslücke. Und das sollte man tun, bevor eine Datei in falsche Hände fällt und das Unternehmen in die Schlagzeilen gerät. Eine gründliche Revision in diesem Bereich macht aber auch die tägliche Arbeit im Rechenzentrum ein gutes Stück einfacher und übersichtlichter, so dass sich die vergleichsweise geringe Investition schon bald amortisiert.

Der Autor: David Stelzl ist seit mehr als 20 Jahren als IT-Sicherheitsexperte und Consultant tätig. Er berät Firmen und Behörden zu Themen wie Identitätsdiebstahl, Compliance, Security-Policies und Schwachstellenanalyse.