Risiken und Nebenwirkungen von FTP und E-Mail für die Übertragung sensibler Dateien
| | Corporate Information Security Officer (Co-CISO), SEEBURGER
Verwenden Sie E-Mail oder FTP zur Übertragung von Dateien mit sensiblen bzw. personenbezogenen Daten? Wenn ja, sollten Sie unverzüglich prüfen, ob Sie die DSGVO (Datenschutzgrundverordnung) und andere Vorschriften einhalten.
Elektronische Dateiübertragung gibt es schon sehr lange
Unternehmen digitalisieren ihre Geschäftsprozesse schon seit langer Zeit. Am Anfang ging es oft einfach nur darum, Informationen sowohl hinter der Firewall als auch darüber hinweg auszutauschen und zwar mit Hilfe von
|
Diese historisch gewachsenen Möglichkeiten sind immer noch erstaunlich weit verbreitet, aber in Zeiten der DSGVO eigentlich zu riskant.
Das Problem bei E-Mail ist, dass alle Informationen im Klartext, d.h. unverschlüsselt, versendet werden und daher sehr anfällig für Abgriff und Manipulation sind.
FTP wurde in den 1970er Jahren erfunden und hat aus heutiger Sicht Funktionalitätsdefizite auf Protokollebene. Man kann über FTPS zwar verschlüsseln, jedoch sind Konfiguration und Wartung der oft ins Uferlose gewachsenen Spaghetti-Skripte problematischer denn je.
Bis heute wurden zahlreiche „sichere“ Alternativen auf den Markt gebracht, um die Auswirkungen des oben genannten Szenarios auf den Datenschutz und die Komplexität zu bewältigen, aber lösen sie das „Spaghetti“-Problem?
Alternativen zu E-Mail
Beliebte Alternativen zu E-Mails sind Internet File Hosting-Dienste, die dafür gedacht sind, Benutzerdateien zu hosten und einen so genannten „File Sync-and-Share Service“ als Shared Storage anzubieten. Im professionellen Bereich für B2B-Szenarien (Business-to-Business) finden sich zahlreiche Angebote für sichere Datenräume und Content Collaboration Plattformen (CCP), von denen viele auch preiswerte und sogar „kostenlose“ Ableger für B2C (Business-to-Consumer) und C2C (Consumer-to-Consumer) anbieten.
Alternativen zu FTP
FTP-Server können durch WebDAV (Distributed Authoring and Versioning), SFTP (Secure FTP) oder SCP (Secure Copy via SSH) Tools ersetzt werden. Auf diesen Technologien basieren spezialisierte Streaming- und Datenlogistikangebote, die sich auf die kontrollierte Übertragung unstrukturierter Daten in großen Mengen konzentrieren.
Auf den ersten Blick scheint es genug Alternativen zu E-Mail und FTP zu geben, um das Spaghetti-Problem zu lösen.
 |  |  |
Dennoch gilt: Damit Ordnung in das „Pasta-Fiasko“ kommt, sind weit mehr als die zuvor genannten Alternativen zu E-Mail und FTP nötig. Eine vernünftige Lösung im B2B-Umfeld muss Antworten auf die folgenden Fragen geben:
- Wie integriere ich interne Systeme und Applikationen für eingehende und ausgehende Daten nahtlos?
- Wie kann ich die IT Sicherheit und Compliance für alle sensiblen Datentransfers sicherstellen?
- Wie kann ich den Aufwand für das Einbinden einer Vielzahl von externen Partnern reduzieren?
- Wie kann ich mit Selbstbedienungsfunktionen für Fachabteilungen und externe Partner Aufgaben auslagern, um die Belastung der zentralen IT-Teams reduzieren?
- Wie bekomme ich sichere Verbindungen zu Alt-Systemen, die keine modernen Schnittstellen haben?
- Wie schütze ich mein geistiges Eigentum?
Die oben genannten E-Mail-Alternativen sind nicht integrierbar und können nur für den so genannten ‚ad-hoc‘-Dateitransfer verwendet werden. Dadurch ergeben sich oft Unstimmigkeiten bei der IT-Sicherheit und Compliance. Die oben genannten FTP-Alternativen sind in ihren Integrationsmöglichkeiten begrenzt und verhindern so eine umfassende Integration der Datenlogistik in den Geschäftsprozess; man denke an fehlende Workflow- oder Payloadprüfungen und den Mangel an Konvertierungsfunktionalität. Dies führt zwangsläufig zu Schwierigkeiten bei der Anbindung an ERP- und andere Unternehmenssysteme.
Fazit
Statt Struktur, Effizienz und Sicherheit zu bieten, schaffen diese potenziellen Ersatzwerkzeuge nur noch mehr Wildwuchs!
Sinnvoll ist eine unternehmensweite Plattform, die jede beliebige Permutation von menschlichen und Maschinen-Dateiübertragungen bewältigen kann (wie in der rechten unteren Ecke von Abbildung 2 dargestellt). Eine solche Plattform muss alle Anforderungen der digitalen Transformation umfassend lösen und ganze Geschäftsprozesse automatisieren. Daher sollten Unternehmen eine echte Managed File Transfer (MFT)-Plattform wie die von SEEBURGER in Betracht ziehen, die für die komplexen Vorgänge in Unternehmen entworfen wurde.
In unserem nächsten Blog über Enterprise MFT-Lösungen erfahren Sie, wie Sie die Einhaltung von Vorschriften und die Automatisierung von Prozessen zur Übertragung sensibler Dateien sicherstellen können.
Vielen Dank für Ihre Nachricht
Wir freuen uns über Ihr Interesse an SEEBURGER
Haben Sie Fragen oder Anmerkungen?
Wir freuen uns hier über Ihre Nachricht.
Ein Beitrag von: Frank Stegmueller
Frank Stegmüller ist einer der beiden Corporate Information Security Officers bei SEEBURGER und ist seit 2008 im Unternehmen. Er verfügt über 25 Jahre Erfahrung im Service, Support und in der Informationssicherheit rund um Enterprise Application Integration, EDI, B2B, MFT, API, ITSM und digitale Transformation - sowohl auf eigenbetriebenen Systemen als auch aus der Cloud. Er arbeitet an ISO/IEC 27001, ISAE 3402 (SOC 1) Typ 2 und TISAX Zertifizierungen für SEEBURGER Cloud Services und kennt die Feinheiten des richtlinienkonformen Rechenzentrumsbetriebes in internationalen Umfeldern.
