Doch gerade dieser Austausch von Informationen birgt enorme Tücken. Viele öffentlichkeitswirksame Datenlecks bei großen Unternehmen haben in den vergangenen Jahren gezeigt, dass beim Speichern und beim Austausch von Daten nicht immer die erforderliche Sorgfalt herrscht. Eine offensichtliche Konsequenz daraus waren die deutliche Verschärfung datenschutzrechtlicher Bestimmungen und die Ausweitung der Bußgeldtatbestände in der Novelle des Bundesdatenschutzgesetzes (BDSG) Mitte 2009. Viele Unternehmen haben sich angesichts dieser neuen Situation erstmals wirklich Gedanken darüber gemacht, wie sie mit ihren Daten und vor allem den Daten ihrer Kunden und Mitarbeiter umgehen, wenn diese über private oder öffentliche Netze transportiert werden. Dabei hätten sie auch vorher schon genügend Gründe dafür gehabt, ob diese nun Basel II, Sarbanes-Oxley (SOX), PCI DSS, HIPAA oder FIPS heißen mögen. Regulierungsbehörden und private Unternehmen etwa in der Kreditkartenbranche (PCI DSS) oder Geschäftsbanken (Basel II) haben den Umgang mit Daten immer stärker reguliert. Doch wie die vielen Zwischenfälle zeigen, haben noch lange nicht alle Unternehmen auch die erforderlichen Konsequenzen gezogen. Zwar machen die Hersteller von IT Security Equipment nach wie vor gute Geschäfte, doch was hilft die beste Firewall, wenn Daten ungesichert über öffentliche Netze verschickt werden? Das muss ja nicht einmal in böser Absicht oder aus Unachtsamkeit erfolgen – sehr oft handelt es sich schlicht um eingespielte und akzeptierte Business-Prozesse, die nie an die stark veränderte Bedrohungslage angepasst wurden. E-Mail ist für den einzelnen Mitarbeiter ein ausgesprochen praktisches Tool, um Daten und Files zu versenden, und der alte FTP-Server im Keller tut nach wie vor zuverlässig das, was er soll. Nur eben nach wie vor ungesichert.

Je stärker die Unternehmen nun unter Druck geraten, ihre Compliance gegenüber Behörden, Partnern oder Kunden nachzuweisen, desto deutlicher wird ihnen klar, dass sie kritische Daten nicht nur im heimischen Rechenzentrum, sondern auch beim Transfer besser schützen müssen. Doch diese Sicherheit ist nur die eine Komponente der Compliance. Denn Compliance bedeutet auch eine umfassende Dokumentation der Geschäftsprozesse, die zudem revisionssicher sein muss. Allein schon deshalb scheidet der unkoordinierte Versand von Dateien per Mail, Standard-FTP oder gar Instant Messaging von vornherein aus, und wenn sie noch so stark verschlüsselt wären. Dass auf der anderen Seite Compliance auch nicht immer Sicherheit bedeutet, musste 2005 das amerikanische Unternehmen Card Systems schmerzlich erfahren. Das Unternehmen, das im Auftrag großer Kreditkarten-Unternehmen deren Transaktionen verarbeitete, stellte eines Tages fest, dass von seinem FTP Server über 200.000 Datensätze mit Detailinformationen zu Kreditkarten heruntergeladen worden waren. Wegen Verstoßes gegen die Bestimmungen des PCI DSS Standards bei der Datenspeicherung entzogen die Kreditkarten-Unternehmen Card Systems daraufhin die Genehmigung zur Verarbeitung von Kreditkarten-Daten. Soweit, so schlecht. Card Systems war der böse Bube, und die Kreditkartenunternehmen hatten schnell reagiert. Doch ganz so einfach war es dann doch nicht – Card Systems konnte einen erfolgreichen PCI DSS Audit vorweisen. Der Versuch, den Auditoren die Schuld in die Schuhe zu schieben, scheiterte jedoch, und schon zum Jahreswechsel war Card Systems Geschichte.

Wenn man eines aus dem unglücklichen Ende von Card Systems lernen kann, dann, dass Zertifikate sicher wichtig sind, noch wichtiger aber die Geschäftsprozesse. Ungesicherte FTP-Server hatten damals schlicht und ergreifend nicht auf der Liste der Top-Gefährdungen gestanden.

Beim Handling von kritischen Dateien geht es daher zunächst um die Sicherheit und nicht um das Zertifikat. Erst wenn diese Sicherheit  gewährleistet ist und auch revisionssicher dokumentiert werden kann, kann man auch von Compliance sprechen. Bei der Übertragung von Dateien über private wie über öffentliche Netze bedeutet dies, dass ein Unternehmen dem Management seiner Informationsflüsse mehr Aufmerksamkeit schenken und diese umfassend von der Quelle bis zum Ziel kontrollieren und dokumentieren muss. Ebenso wie die Speicherung muss auch der Transfer der Daten sicher und zuverlässig sein.

Das bedeutet zunächst, dass die Dateiübertragung per Standard-FTP oder E-Mail ausscheidet. FTP bietet von Haus aus keinerlei Sicherheitsvorkehrungen wie starke Authentifizierung oder verschlüsselte Passwörter. Allein die Übertragung von Anmeldedaten im Klartext ist eine Einladung an die Schattenwirtschaft, doch noch schlimmer wird es, wenn selbst die übertragenen Dateien nicht verschlüsselt sind. Schließlich bietet FTP auch wenige Möglichkeiten, wenn es um die Kontrolle, das Management und die Dokumentation von File Transfers geht. Ähnlich ist die Problematik beim Versand von E-Mail Attachments. Auch hier sind ein effizientes Management und eine lückenlose Dokumentation praktisch unmöglich, selbst wenn die Dateien verschlüsselt werden. Zudem skaliert der Dateiversand per E-Mail nicht; ganz davon abgesehen, dass er die Mailserver im Unternehmen unnötig belastet. All dies trifft in noch stärkerem Maße auf Instant Messaging zu.

Für das Problem der Sicherheit stehen heute unterschiedliche Technologien als potentielle Lösung zur Verfügung. SSL und SSH bieten Firewall-freundliche Lösungen für die Verschlüsselung von FTP-Sessions, OpenPGP kann dafür sorgen, dass abgefangene Daten für den Angreifer unbrauchbar sind. Über sichere Hash-Algorithmen lässt sich zudem zuverlässig überprüfen, ob eine Datei während des Transfers manipuliert wurde. Doch auch bei all diesen Verfahren bleiben die anderen Probleme – Management und Dokumentation – ungelöst. Zudem erfolgt eine Vielzahl von Filetransfers automatisiert und wird über in grauer Vorzeit geschriebene Skripte erledigt, deren Autor das Unternehmen längst verlassen hat, ohne eine Dokumentation zu hinterlassen.

Eine wesentliche Voraussetzung für Compliance mit gesetzlichen und privatwirtschaftlichen Vorgaben ist es, zunächst den Wildwuchs beim Filetransfer zu beschneiden und eine zentrale Instanz einzuführen, über die File Transfers kontrolliert und dokumentiert abgewickelt werden können. Eine solche Lösung muss sowohl automatisierte als auch ad-hoc-Transfers abdecken und auch ein umfassendes Berechtigungssystem umfassen (wer darf wann wem was schicken?). Sie hilft zudem dabei, komplexe Workflows bei der Dateiübertragung effizienter zu gestalten, den Automatisierungsgrad zu erhöhen und vor allem eine umfassende Dokumentation einzuführen. Voraussetzung dafür ist natürlich, dass sie alle eingesetzten Plattformen, Betriebssysteme und Protokolle unterstützt.

Ein Beispiel für eine solche Managed File Transfer Lösung ist MOVEit Central von Ipswitch. Mit Hilfe dieser Automatisierungs-Plattform können IT-Mitarbeiter schnell und einfach überalterte und undokumentierte Skripte durch übersichtliche Workflows ersetzen, die per Mausklick aus wiederverwendbaren Host-Definitionen und Aktionen zusammengestellt werden. Vorkonfigurierte Skripte und Makros erleichtern diesen Task noch weiter. Dabei kann eine Vielzahl von Übertragungs-Aktionen gleichzeitig ablaufen. Sowohl die event-basierte als auch Zeitsteuerung und ad-hoc-Übertragung werden unterstützt. Zudem werden alle Tasks zentral überwacht und dokumentiert, so dass die Compliance seiner File Transfer Infrastruktur anhand nur eines Audit Trails nachweisen kann.

MOVEit Central ist in zwei Versionen verfügbar: als MOVEit Central Enterprise für große Unternehmen mit einer Vielzahl automatisierter Transfers und in einer Corporate-Version für kleine und mittlere Unternehmen. Beide arbeiten sowohl mit dem sicheren und multiprotokoll-fähigen Übertragungsserver MOVEit DMZ als auch mit herkömmlichen FTP-, SFTP- und FTPS-Servern zusammen.

Noch ist Managed File Transfer ein relativ junger Begriff, und die Marktdurchdringung von MFT-Lösungen ist gering. Doch immer strengere Compliance-Anforderungen sowie die zunehmende Anzahl kritischer Datenlecks führen derzeit zu einem Umdenken. Welche Bedeutung etwa Analysten dem Managed File Transfer zumessen, zeigt sich etwa darin, dass die Gartner Group ihn als eigenständiges Marktsegment betrachtet und auch einen Magic Quadrant zu diesem Segment entwickelt hat.

Chris Greaves, International Channel Sales Director von Ipswitch File Transfer

Foto: Schmuckbild/Quelle-Fotolia.com