SFTP oder FTPS: Beide sicher, aber welches Protokoll soll ich wählen?
Philipp Zeder
Kategorie:in
Entwicklung & Performance
Veröffentlicht am 9. Nov. 2015
Aktualisiert am 10. Sept. 2024
Wir unterstützen seit einigen Tagen, neben SFTP, auch FTPS als sichere Option, um Ihre Daten verschlüsselt an Ihr Webhosting oder Cloudserver zu übertragen. Nun stellt sich die Frage: Welches der beiden Protokolle soll ich nutzen?
SFTP und FTPS, ist das nicht das Gleiche?
Abkürzungen im Internet sind so eine Sache. Wer kann sich schon all diese Akronyme merken? Der Buchstabe «S» signalisiert meistens Sicherheit und Verschlüsselung. Und das ist auch bei FTPS und SFTP nicht anders.
Ausgeschrieben bedeuten die beiden Abkürzungen folgendes:
- SFTP steht für «SSH File Transfer Protocol» und beschreibt das Dateitransfer-Protokoll, welches sich im Untergrund das Verbindungsprotokoll «Secure Shell (SSH)» zu Nutze macht. Damit profitiert SFTP vom verschlüsselten Kanal, der bei einer SSH-Verbindung aufgebaut wird.
- FTPS steht für «File Transfer Protocol over SSL» und müsste heutzutage eigentlich FTPT (FTP over TLS) heissen. Wie es der Name verrät, sorgen bei FTPS SSL/TLS-Zertifikate für die Verschlüsselung. Wir unterstützen FTPS zurzeit im Modus «Explizit», bei dem die Verschlüsselung explizit vom Client (z.B. Ihrem FTP-Programm) angefordert werden muss.
Zugangsdaten verschlüsselt übertragen: immer
Sie sollten Zugangsdaten grundsätzlich immer verschlüsselt übertragen. In Sachen Sicherheit können Sie bei der Wahl zwischen SFTP und FTPS nichts falsch machen. Ihre Kommunikation ist in beiden Fällen verschlüsselt und damit vor unerwünschten Blicken sicher.
Wir empfehlen die beiden Protokolle für folgende Anwendungszwecke:
- SFTP
Dank SSH-Keys müssen Sie sich nicht unzählige Passwörter merken. SFTP eignet sich damit vor allem für Nutzer, die viele verschiedene Webhosting-Accounts verwalten. - FTPS
FTPS sollte in jenen Fällen zum Einsatz kommen, in denen eine SFTP-Nutzung nicht möglich ist. Da SFTP nur mit dem Hauptbenutzer eines Webhosting-Accounts funktioniert, kommt für alle zusätzlichen FTP-Benutzer nur FTPS in Frage.
Mehr Sicherheit durch zusätzliche FTP-Benutzer?
Zusätzliche FTP-Benutzer haben ausschliesslich Zugriff auf das public_html-Verzeichnis bzw. einen definierten Unterordner. Systemdaten und E-Mails bleiben für den Benutzer unsichtbar. Damit eignen sich zusätzliche FTP-Benutzer perfekt, um einem beauftragten Designer oder Entwickler Zugang zu einem Website-Projekt zu geben. Doch Achtung: Wird mit einem zusätzlichen FTP-Benutzer Schadsoftware auf den Server geladen, ist dies genau so gefährlich, wie wenn dies über den Hauptbenutzer geschieht. Vergeben Sie darum auch für zusätzliche FTP-Benutzer unbedingt starke Passwörter.
Je unprivilegierter desto besser
Ein Grundsatz der Informationssicherheit lautet «Eingeschränkte Benutzerkonten verwenden». Wenn Sie Zugänge zu Ihrem Webhosting erstellen, sollten die entsprechenden Nutzer nur so viele Rechte erhalten, wie für deren Aufgaben nötig sind. Dieser Grundsatz lässt sich auch auf die eigenen Benutzerkonten anwenden. Erstellen Sie also selbst für den Eigengebrauch einen zusätzlichen FTP-Benutzer und verwenden Sie diesen, anstatt sich mit dem Hauptbenutzer einzuloggen. Sollte der Ernstfall eintreten und der Benutzer ist kompromittiert, sind die Ausmasse des Schadens meist geringer als wenn der Hauptbenutzer betroffen wäre.
Beteilige dich an der Diskussion
6 Kommentare
Hi Sommer. Implizites FTPS ist im entsprechenden RFC nicht definiert und gilt deshalb als veraltet (siehe auch https://en.wikipedia.org/wiki/FTPS#Implicit). Wir beschränken uns darum auf die explizite Variante.
Wann ist die Nutzung von SFTP auch für andere Nutzer als dem Hauptnutzer geplant?
Hallo Markus, SFTP ist aus technischen Gründen nur mit dem Hauptbenutzer möglich. Hast Du einen einen speziellen Use-Case der das erfordern würde? Möglicherweise können wir Dir Alternativen aufzeigen.
Kann FTP inkl. Hauptbenutzer generell für ein Konto deaktiviert werden?
Ich mache meine Transfers ausschliesslich via SSH mit Schlüsseln und würde gerne so viele andere Zugangsmöglichkeiten wie möglich ausschliessen.
Hi Christian. Zurzeit ist das nicht möglich. Wir nehmen den Vorschlag aber gerne auf unsere Feature-Request-Liste.
Hallo Philipp, wieso bietet ihr nur FTPS Explicit an und nicht Implizit? Bei implizit ist ja die ganze Kommunikation über Port 990 verschlüsselt.
Danke für dein Feedback.
LG