Die meisten Unternehmen nutzen zum Austausch von Dateien und anderen kritischen Unternehmensdokumenten mit ihren Handelspartnern FTP- oder SFTP-Server. Leider sind diese Server zu einer der Hauptziele für Hacker geworden, Ihre FTP- oder SFTP-Server könnten also zu teuren Datenlecks werden.
Bob Luebbe, GoAnywhere Chief Architect bei Fortra, hat in einem Webinar erklärt, wie Sie dafür sorgen können, dass Ihr FTP- oder SFTP-Server sicher und regelkonform ist. Mit dabei waren Steve Luebbe, Director of Engineering, und Dan Freeman, Senior Solutions Consultant.
Die drei Grundsätze der Informationssicherheit
Wenn wir über Serversicherheit sprechen, sollten wir definieren, was genau das bedeutet.
Informationssicherheit kann vor dem Hintergrund von CIA beleuchtet werden. Nein, nicht die CIA. In diesem Fall handelt es sich um eine Abkürzung für Confidentiality, Integrity und Availability (also Vertraulichkeit, Integrität und Verfügbarkeit). Vertraulichkeit bedeutet, dass die Informationen niemals an unberechtigte Individuen, Entitäten oder Prozesse weitergegeben werden. Integrität bedeutet, dass Sie dafür sorgen, dass Ihre Daten richtig und unverändert bleiben. Verfügbarkeit schließlich bedeutet, dass das System autorisierten Entitäten unterbrechungsfrei zur Verfügung steht.
Wichtige Compliance-Standards und -Normen
Unternehmen jeglicher Größe sehen sich dem Druck ausgesetzt, die Sicherheitsstandards ihrer Branche einzuhalten. Welche Compliance-Herausforderungen genau für Sie gelten, ist abhängig von Ihrer Branche und Ihrem Standort. In den USA sind die folgenden Vorgaben am gängigsten:
- Health Insurance Portability and Accountability Act (HIPAA): Hiernach muss dafür Sorge getragen werden, dass geschützte Patientendaten, die elektronisch über offene Netzwerke übermittelt werden, nur vom rechtmäßigen Empfänger erhalten werden, ohne abgefangen zu werden.
- Gramm-Leach-Bliley Act (GLBA): Finanzinstitute müssen die Sicherheit, Integrität und Vertraulichkeit von Kundeninformationen unabhängig von der Speicher- und Übertragungsmethode schützen.
- Lokale Datenschutzgesetze: In den meisten US-Bundesstaaten und in vielen anderen Ländern gibt es Gesetze zur Benachrichtigung bei Sicherheitsverletzungen. Andere Gesetze machen genaue Vorgaben zum Schutz personenbezogener Daten.
- Federal Information Security Management Act (FISMA): Definiert ein umfassendes Rahmenwerk zum Schutz von Regierungsinformationen, -abläufen und -assets vor natürlichen oder menschgemachten Bedrohungen.
- Payment Card Industry Data Security Standard (PCI DSS): Entwickelt für Unternehmen, die Debit- oder Kreditkarteninformationen verarbeiten, um die Daten der Kundenkonten zu schützen.
Wie bei den anderen Regelungen auf dieser Liste zieht auch die Nichteinhaltung des PCI DSS Bußgelder oder gar den Entzug der Berechtigung zur Geschäftstätigkeit nach sich. Die von Banken und Kreditkarteninstituten verhängten Strafzahlungen können sich auf bis zu 500.000 USD belaufen. PCI DSS wurde für Unternehmen entwickelt, die Daten von Karteninhabern verarbeiten. Die sehr detaillierten Sicherheitsanforderungen sind jedoch generell sehr hilfreich für alle, die sensible Daten schützen möchten. Während des Webinars erklären Bob und sein Team den Zusammenhang zwischen den einzelnen Sicherheitstipps und PCI DSS.
In der aktuellen Fassung des PCI DSS wurden einige wesentliche Änderungen vorgenommen. In diesem kostenfreien Leitfaden erfahren Sie mehr dazu und zu den Auswirkungen auf Ihr Unternehmen.
Verwandte Artikel: Die fünf schwersten Sicherheitsverletzungen gemäß PCI
Wenn Sie sich in der EU befinden oder Daten für EU-Bürger verarbeiten, ist die wichtigste Änderung der Datenschutzgesetze der letzten 20 Jahre die 2016 veröffentlichte Datenschutz-Grundverordnung (DSGVO). Sie ersetzt die aktuelle Datenschutzrichtlinie und konsolidiert Datenschutzgesetze innerhalb Europas.
Strafen für die Nichteinhaltung der DSGVO belaufen sich auf bis zu 20 Millionen Euro oder 4 Prozent des Unternehmensumsatzes aus dem vorhergehenden Geschäftsjahr.
Die 10 besten Tipps zum Absichern von FTP- und SFTP-Servern
Die laxe Umsetzung der FTP-Implementierung ist weit verbreitet, zahlreiche Unternehmen riskieren so Datenlecks oder empfindliche Strafen wegen Nichteinhaltung. Sie möchten dafür sorgen, dass Sie Ihre Server sowohl sicher als auch regelkonform sind? Hier unsere 10 Top-Tipps:
1. Standard-FTP deaktivieren
Wenn auf Ihrem Server nur Standard-FTP läuft, sollten Sie dies schnellstmöglich deaktivieren. FTP ist über 30 Jahre alt und einfach nicht für die modernen Sicherheitsbedrohungen gemacht, denen wir uns heute ausgesetzt sehen. FTP genügt weder Datenschutz- noch Integritätsanforderungen: Hacker haben während der Übertragung recht einfach Zugriff auf Daten und können diese abfangen oder ändern. Wir raten Ihnen, zu einer sichereren FTP-Alternative zu wechseln.
2. Starke Verschlüsselung und Hashing nutzen
Sowohl SFTP als auch FTPS-Protokolle schützen die Daten während der Übertragung mit Verschlüsselungsverfahren. Dabei handelt es sich um einen komplexen Algorithmus, der aus den Originaldaten sowie dem Schlüssel eine verschlüsselte Version für die Übertragung erstellt. Sie sollten zuerst ältere und veraltete Verfahren wie Blowfish und DES deaktivieren und nur mit starken Verschlüsselungen wie AES oder TDES arbeiten.
Die Integrität der Übertragung wird mit Hashfunktionen oder MAC-Algorithmen verifiziert. Auch hier sollten Sie zuerst ältere Hashfunktionen/MAC-Algorithmen wie MD5 oder SHA-1 deaktivieren und sich an die stärkeren Algorithmen aus der SHA-2-Familie halten.
3. Ein Gateway errichten
Die demilitarisierte Zone (DMZ) ist ein Netzwerksegment, in dem Unternehmen häufig ihre FTP-Server positionieren. Das Problem dabei ist, dass die DMZ an das öffentliche Internet angeschlossen ist und damit eines der angreifbarsten Segmente ist. Befindet sich der FTP-Server in der DM, sind meist auch die Datendateien und Benutzerdaten der Handelspartner dort gespeichert. Das ist selbst in verschlüsselten Dateien ein großes Risiko.
Andere Unternehmen haben diese Dateien und Anmeldedaten in ein privates Netzwerk verlegt, was sicherer ist.Hierbei ist jedoch das Problem, dass Sie Ports zu diesem privaten Netzwerk öffnen müssen: Dadurch entsteht eine Angriffsmöglichkeit, die möglicherweise gegen Compliance-Anforderungen verstößt.
Verwandte Artikel: Sicheres DMZ-Gateway: Geheimwaffe für Datensicherheit
Der Einsatz eines sicheren DMZ-Gateways oder Enhanced Reverse Proxy gewinnt zunehmend an Beliebtheit. Das Gateway ist eine Software, die auf einem Server in der DMZ installiert wird. Beim Hochfahren wird ein besonderer Kontrollkanal vom privaten Netzwerk in die DMZ geöffnet. Ihre Handelspartner verbinden sich mit dem Gateway, das die Sitzung dann über den Kontrollkanal zum FTP-Server im privaten Netzwerk schickt. Dateien und Benutzerdaten bleiben im privaten Netzwerk, eingehende Ports sind also überflüssig.
4. IP-Blacklists und -Whitelists implementieren
Mit einer IP-Blacklist verhindern Sie, dass ein bestimmter Bereich von IP-Adressen temporär oder dauerhaft auf das System zugreifen kann. Sie könnten beispielsweise den Zugriff aus bestimmten Ländern unterbinden. Ihr FTP-Server kann auch automatisch bestimmte Angriffsarten blockieren, wie beispielsweise DoS-Angriffe.
Sie könnten auch eine Whitelist mit ausgewählten IP-Adressen – also denen Ihrer Handelspartner – erstellen, die auf das System zugreifen dürfen. Das funktioniert aber nur, wenn Ihre Handelspartner feste IP-Adressen verwenden.
5. FTPS-Server stärker absichern
Wenn Sie mit FTPS-Servern arbeiten, sollten Sie folgende Sicherheitsmaßnahmen ergreifen:
- Nutzen Sie Explicit FTPS nur dann, wenn Sie für Authentifizierung und Datenkanäle eine Verschlüsselung erzwingen.
- Nutzen Sie keinesfalls SSL oder TLS 1.0.
- Nutzen Sie den Diffie-Hellman-Schlüsselaustausch.
6. Gutes Management von Benutzerkonten praktizieren
Haben Handelspartner Benutzerkonten auf Betriebssystemebene, entsteht ein risikoanfälliger Zugang zu anderen Ressourcen auf dem Server. Außerdem sollten Anmeldedaten nicht in der FTP-Anwendung gespeichert werden. Gestatten Sie weder anonyme Benutzer noch gemeinsam genutzte Konten. Legen Sie Regeln fest: beispielsweise Kontobenutzernamen mit mindestens 7 Zeichen und Konten, die nach 6 fehlgeschlagenen Anmeldungen oder 90 Tagen Inaktivität deaktiviert werden.
7. Sichere Kennwörter verwenden
Kennwörter sollten aus mindestens 7 Zeichen bestehen und sowohl numerische als auch alphanumerische Zeichen sowie wenigstens ein Sonderzeichen enthalten. Sorgen Sie dafür, dass Administrator-Kennwörter nach 90 Tagen erneuert werden. Verhindern Sie, dass die letzten 4 Kennwörter wiederverwendet werden und speichern Sie die Kennwörter der Benutzer mit Hash-Algorithmen wie SHA-2.
8. Datei- und Ordnersicherheit implementieren
Handelspartner sollten nur auf die Ordner zugreifen können, die sie unbedingt benötigen. Nur weil ein Handelspartner etwas aus einem Ordner herunterladen muss, benötigt er nicht alle Rechte für den Ordner. Und wenn er Dateien in den Ordner laden muss, benötigt er keinen Lesezugriff. Verschlüsseln Sie ruhende Daten, insbesondere wenn diese in der DMZ gespeichert werden, und belassen Sie Dateien nur so lange wie nötig auf dem FTP-Server.
9. Administration einschränken
Die Serveradministration sollte so strikt wie möglich kontrolliert werden. Beschränken Sie die administrativen Pflichten auf möglichst wenige Benutzer, die sich dafür mit Multifaktor-Authentifizierung anmelden müssen. Speichern Sie Kennwörter nicht auf dem Server, sondern in einer AD-Domäne oder auf einem LDAP-Server. Arbeiten Sie nicht mit gängigen Benutzer-IDs für Administratoren („Root“ oder „Admin“), da diese als Erstes von Hackern ausprobiert werden.
10. Best Practices befolgen
Im Webinar gaben Bob Luebbe und sein Team einige Empfehlungen:
- Sorgen Sie dafür, dass die FTPS- oder SFTP-Serversoftware immer auf dem neuesten Stand ist.
- Wenn Sie mit Daten der US-Regierung arbeiten, sollten Sie nur Verschlüsselungsalgorithmen nutzen, die gemäß FIPS 140-2 validiert sind.
- Nutzen Sie nicht die standardmäßige SFTP-Softwareversion, die bei der ersten Anmeldung angezeigt wird. So geben Sie Hackern keine Hinweise auf mögliche Schwachstellen.
- Speichern Sie Backend-Datenbanken auf einem anderen Server.
- Erzwingen Sie nach inaktiven Sitzungen die erneute Authentifizierung.
- Implementieren Sie ein gutes Schlüssel-Management.
Zwei weitere Zusatztipps, die nicht in diesem Blog-Beitrag genannt werden, finden Sie bei Minute 44:01 im Video.
Vermeiden Sie diese 10 Risiken bei der Dateiübertragung? Webinar anschauen >
Sichere Dateiübertragung mit GoAnywhere MFT
Mit GoAnywhere Managed File Transfer erfüllen Sie alle in diesem Webinar genannten Compliance- und Sicherheitsanforderungen. Außerdem bietet es leistungsstarke Workflows, sodass das Verschieben von Dateien innerhalb Ihres Netzwerks und mit Ihren Handelspartnern optimiert wird.
GoAnywhere kann auf den meisten Betriebssystemen installiert werden, darunter Windows, Linux und IBM i, und kann auch in virtuellen Umgebungen bereitgestellt werden. Es unterstützt zahlreiche Protokolle und Verschlüsselungsstandards wie SFTP und FTPS und sorgt für eine garantierte Übertragung dank erneuten Verbindungsversuchen und automatischer Wiederaufnahme. Suchen Sie speziell nach einer MFT-Lösung für Linux, Windows, IBM i, Azure oder AWS? GoAnywhere ist nicht plattformgebunden und kann problemlos überall betrieben werden.
Mit dem detaillierten Audit-Protokollen von GoAnywhere sorgen Sie dafür, dass all Ihre Dateiübertragungen regelkonform sind. Mit dem Advanced Reporting Module können Sie schnell prüfen, ob Ihre GoAnywhere-Installation die PCI DSS-Anforderungen erfüllt.
Schützen Sie Ihr Unternehmen vor Datenlecks
Laden Sie unser Whitepaper zur Entwicklung der richtigen Datenverschlüsselungsstrategie herunter:
