In drei Schritten zur sicheren Datenübertragung
Vom Sicherheitsrisiko FTP zum Secure File Transfer
16.04.2009 | Autor / Redakteur: David Stelzl / Peter Schmitz
In drei Schritten zur sicheren Datenübertragung
Schritt 1: Dateienübertragung zur Chefsache machen
An erster Stelle stehen eine Inventur und eine genaue Ermittlung des Bedarfs bei der Dateiübertragung. Dabei sollte die Verantwortlichkeit auf der Geschäftsführer-Ebene angesiedelt sein. Es folgt eine umfassende Dokumentation, Standardisierung und Optimierung aller File-Transfer-Aktivitäten im Unternehmen. Moderne Software stellt hier die passenden Lösungen bereit – Voraussetzung ist allerdings zunächst die Etablierung wohl überlegter und verwalteter Geschäftsprozesse.
Schritt 2: Gesicherte Kommunikation vorschreiben
Die Übertragung sensibler Daten über das ungesicherte FTP muss generell untersagt werden. Hier müssen SSL und SSH obligatorisch sein. Empfehlenswert ist auch der Einsatz von Strong Authentication (bevorzugt wechselseitig), sorgfältige Zugangskontrolle, Protokollierung aller Aktivitäten und der Einsatz der höchsten Verschlüsselungsstufe, zum Beispiel 256-AES über SSH- und TLS-1.0-Verbindungen, wie sie in den WS_FTP Programmen zur Verfügung stehen.
Schritt 3: Die richtige Software auswählen und standardisieren
Sowohl der Server als auch alle Clients müssen die erforderlichen Sicherheitsstandards erfüllen. Jeder Angestellte, aber auch jeder Lieferant, jeder Vertragspartner und jeder Kunde, der Daten mit dem Firmen-Server austauscht, braucht also eine Programmlizenz. Dabei muss überall dasselbe Programm in derselben Version im Einsatz sein. Nur so wird sicher gestellt, dass jeder Zugriff auf den Datenbestand auf demselben Sicherheitsniveau erfolgt und Volumenvorteile bei Lizensierung, Training und Support entstehen.
Wer seine FTP-Server und -Clients modernisiert, der schließt eine bekannte Sicherheitslücke. Dabei sollte man vor einer vergleichsweise geringen Investition nicht zurückschrecken – und zwar bevor ernste Fälle von Datendiebstahl bekannt werden, bevor ein Auftrag wegen unerfüllbarer Compliance-Anforderungen verloren geht. Wer Sicherheit und Datenschutz zur Chefsache macht, der sichert schließlich nicht zuletzt auch seine eigene Position im Management.
Über den Autor
David Stelzl, CISSP, ist ein anerkannter Experte auf dem Gebiet der digitalen Sicherheit. In internationalen Vorträgen stellt Stelzl Konzepte zur Informationssicherheit, zu Systemen und Netzwerken vor und präsentiert relevante IT/Business-Lösungen. Außerdem berät er Unternehmen bei der Einführung eines Sicherheitssystems, das Hacker-Angriffe zuverlässig verhindert.
In den letzten zwanzig Jahren war David Stelzl für Unternehmen wie die Bank of America (formell: NationsBank) und McNeil Consumer Products tätig, außerdem für eine Reihe regionaler und globaler Consulting-Firmen. Erst vor Kurzem hat Stelzl für Dimension Data, North America PLC ein komplettes Sicherheitskonzept entwickelt und umgesetzt.
Als Director of Security entwickelte er Security-Assessment-Methoden und Lösungs-Marketing-Programme. Für das Gremium Global Security war er als Stratege tätig und befasste sich mit Sicherheits-Trends, globalen Bedrohungen, sowie Compliance-Fragen in den Bereichen GLBA, HIPAA und SOX. David Stelzl ist CISSP-zertifiziert (Certified Information Systems Security Professional).
Inhalt des Artikels:
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2021198)
