SFTP oder FTPS: Beide sicher, aber welches Protokoll soll ich wählen?

SFTP und FTPS, ist das nicht das Gleiche?

Abkürzungen im Internet sind so eine Sache. Wer kann sich schon all diese Akronyme merken? Der Buchstabe «S» signalisiert meistens Sicherheit und Verschlüsselung. Und das ist auch bei FTPS und SFTP nicht anders.

Ausgeschrieben bedeuten die beiden Abkürzungen folgendes:

• SFTP steht für «SSH File Transfer Protocol» und beschreibt das Dateitransfer-Protokoll, welches sich im Untergrund das Verbindungsprotokoll «Secure Shell (SSH)» zu Nutze macht. Damit profitiert SFTP vom verschlüsselten Kanal, der bei einer SSH-Verbindung aufgebaut wird.
• FTPS steht für «File Transfer Protocol over SSL» und müsste heutzutage eigentlich FTPT (FTP over TLS) heissen. Wie es der Name verrät, sorgen bei FTPS SSL/TLS-Zertifikate für die Verschlüsselung. Wir unterstützen FTPS zurzeit im Modus «Explizit», bei dem die Verschlüsselung explizit vom Client (z.B. Ihrem FTP-Programm) angefordert werden muss.

Zugangsdaten verschlüsselt übertragen: immer

Sie sollten Zugangsdaten grundsätzlich immer verschlüsselt übertragen. In Sachen Sicherheit können Sie bei der Wahl zwischen SFTP und FTPS nichts falsch machen. Ihre Kommunikation ist in beiden Fällen verschlüsselt und damit vor unerwünschten Blicken sicher.

Wir empfehlen die beiden Protokolle für folgende Anwendungszwecke:

• SFTP
  Dank SSH-Keys müssen Sie sich nicht unzählige Passwörter merken. SFTP eignet sich damit vor allem für Nutzer, die viele verschiedene Webhosting-Accounts verwalten.
• FTPS
  FTPS sollte in jenen Fällen zum Einsatz kommen, in denen eine SFTP-Nutzung nicht möglich ist. Da SFTP nur mit dem Hauptbenutzer eines Webhosting-Accounts funktioniert, kommt für alle zusätzlichen FTP-Benutzer nur FTPS in Frage.

Mehr Sicherheit durch zusätzliche FTP-Benutzer?

Zusätzliche FTP-Benutzer haben ausschliesslich Zugriff auf das public_html-Verzeichnis bzw. einen definierten Unterordner. Systemdaten und E-Mails bleiben für den Benutzer unsichtbar. Damit eignen sich zusätzliche FTP-Benutzer perfekt, um einem beauftragten Designer oder Entwickler Zugang zu einem Website-Projekt zu geben. Doch Achtung: Wird mit einem zusätzlichen FTP-Benutzer Schadsoftware auf den Server geladen, ist dies genau so gefährlich, wie wenn dies über den Hauptbenutzer geschieht. Vergeben Sie darum auch für zusätzliche FTP-Benutzer unbedingt starke Passwörter.

Je unprivilegierter desto besser

Ein Grundsatz der Informationssicherheit lautet «Eingeschränkte Benutzerkonten verwenden». Wenn Sie Zugänge zu Ihrem Webhosting erstellen, sollten die entsprechenden Nutzer nur so viele Rechte erhalten, wie für deren Aufgaben nötig sind. Dieser Grundsatz lässt sich auch auf die eigenen Benutzerkonten anwenden. Erstellen Sie also selbst für den Eigengebrauch einen zusätzlichen FTP-Benutzer und verwenden Sie diesen, anstatt sich mit dem Hauptbenutzer einzuloggen. Sollte der Ernstfall eintreten und der Benutzer ist kompromittiert, sind die Ausmasse des Schadens meist geringer als wenn der Hauptbenutzer betroffen wäre.