Abo
  • Services:
Anzeige
Firefox meldet eine gehackte Webseite mit Malware.
Firefox meldet eine gehackte Webseite mit Malware. (Bild: Mozilla)

Verschlüsselung bei den fünf größten Anbietern

Anzeige

Wir haben uns zunächst die Situation bei fünf großen Webspace-Anbietern angesehen: 1&1, Strato, All-Inkl, Domainfactory und Hetzner. Die gute Nachricht: Alle diese Anbieter bieten entweder SFTP oder FTPES zur verschlüsselten Datenübertragung an.

Kein einziger der großen Anbieter macht jedoch verschlüsselte Verbindungen zum Standard oder unterbindet gar unverschlüsselte Verbindungen. Auch hatten wir bei keinem Anbieter den Eindruck, dass Nutzer angemessen über die Gefahren einer ungesicherten Verbindung informiert werden. Beim Erstellen der FTP-Accounts im Webinterface erhalten wir nie einen Hinweis auf die Möglichkeit der Verschlüsselung. Informationen darüber findet man nur versteckt in Dokumentationen oder FAQs, die sich vermutlich viele Anwender nicht durchlesen.

Wir haben alle fünf Anbieter gefragt, ob sie Zahlen darüber haben, wie viele Kunden von den verschlüsselten Verbindungen Gebrauch machen. Keiner der großen Anbieter konnte oder wollte uns dazu Angaben machen. Insofern lautet das Fazit: Verschlüsselte Verbindungen sind bei den großen Anbietern zwar möglich, aber ihre Verbreitung ist unbekannt. Vermutlich ist es eine Minderheit, die sie nutzt.

Webinterface für die Accountverwaltung

Die FTP-Zugänge können bei nahezu allen Webhostern über ein Webinterface konfiguriert werden. Wichtig ist hierbei selbstverständlich, dass auch dieses Webinterface nur verschlüsselt über HTTPS erreichbar ist, denn andernfalls könnte sich ein Angreifer hierüber Zugang zum Webspace verschaffen.

Bei den fünf großen Anbietern haben wir hier wenig auszusetzen. Alle bieten ihr Webinterface ausschließlich über HTTPS an.

Kleine Anbieter und kostenlose Angebote

Längst nicht alle Kunden entscheiden sich für einen der großen Anbieter. Es gibt Hunderte von kleinen und mittelgroßen Webhostern. Wir haben daher auch zwei Angebote von weniger bekannten Unternehmen untersucht: Webspace-Verkauf.de und Greatnet.

Bei Greatnet konnten wir uns zunächst weder über FTPES noch über SFTP verbinden. Das Webinterface wird standardmäßig per HTTP angeboten. Wir konnten es zwar per HTTPS aufrufen, allerdings nur mit einem ungültigen Zertifikat. Wir haben Greatnet um eine Stellungnahme gebeten. Die Kommunikation mit Greatnet war etwas irritierend: Für eine sichere Datenübertragung werde "die Verwendung von SFTP (Secure File Transfer Protocol)" empfohlen, sagte eine Greatnet-Sprecherin. Als wir nochmals nachhakten und Greatnet mitteilten, dass eine SFTP-Verbindung nicht möglich war, wurde offenbar die Konfiguration geändert: Der Zugriff war danach möglich. Auch das fehlerhafte Zertifikat wurde nach unserem Hinweis ausgetauscht.

Bei Webspace-Verkauf.de wird überhaupt keine verschlüsselte Verbindung angeboten. Auf Nachfrage wurde uns mitgeteilt, dass dort noch das alte System Confixx eingesetzt werde, das nicht mehr weiterentwickelt wird. Langfristig sei eine Umstellung auf Plesk geplant und dann solle auch Unterstützung für verschlüsselte Verbindungen eingeführt werden. Das Webinterface war per HTTPS erreichbar, eine automatische Weiterleitung gibt es jedoch nicht.

Kostenloser Webspace mit Lücken

Neben den kostenpflichtigen Angeboten haben wir uns auch bei drei Anbietern von kostenlosem Webspace umgesehen: Funpic, Bplaced und Cwcity.

Bei Funpic war bei einem ersten Test keinerlei verschlüsselte Datenübertragung möglich. Wenige Tage später wurde jedoch die Konfiguration bei Funpic geändert und FTPES-Verbindungen sind jetzt möglich. Auf Nachfrage teilte Funpic uns mit, dass man FTPES schon bisher angeboten habe, allerdings auf einem anderen Port. Erst vor wenigen Tagen sei die FTPES-Verbindung auch auf dem Standard-FTP-Port 21 aktiviert worden. Ein Problem bleibt allerdings: Das Webinterface von Funpic ist bislang ausschließlich über HTTP erreichbar.

"Ein unkalkulierbares Risiko sehen wir in der unverschlüsselten Übertragung der Daten nicht, da jegliche sensiblen Kundendaten von uns nicht im Usercenter oder auf dem Webspace der Kunden gespeichert werden. Dafür verwenden wir extra eine zusätzliche verschlüsselte Seite und Datenbank", teilte uns hierzu ein Sprecher von Funpic mit. "Auch die Kundenpasswörter für das Usercenter werden in der Hauptdatenbank verschlüsselt gespeichert." Warum die Kundenpasswörter verschlüsselt gespeichert werden, wenn sie bei einem Login unverschlüsselt übertragen werden, erschließt sich uns nicht.

Cwcity bot bei einem Test keinerlei verschlüsselte Datenübertragung an. Dafür war das Webinterface per HTTPS erreichbar. Offenbar motiviert durch unsere Anfrage hat Cwcity jedoch vor wenigen Tagen die Konfiguration geändert, und FTPES-Verbindungen sind jetzt möglich. Zudem wurde uns mitgeteilt, dass in wenigen Tagen das Webinterface nur noch über HTTPS erreichbar sein soll.

 Webspace: Sicherheitsrisiko FTPVeraltete Schlüssel und ungültige Zertifikate 

eye home zur Startseite
hjp 07. Mär 2014

Wenn der Block-Cipher gemeint ist (was ich natürlich nicht ausschließen kann), zeugt das...

Horsty 06. Mär 2014

Die Sicherheitsfrage beim FTP Protokoll ist absolut berechtigt und es ist gut hierüber...

redmord 05. Mär 2014

Pageant ist für mich wirklich keine Lösung. Außerdem nutze ich auch mehrere Verbindungen...

das_ist_unglaub... 05. Mär 2014

sftp weil es über SSH läuft und nicht wie bei diversen verschlüsselten FTP Variationen...

das_ist_unglaub... 05. Mär 2014

So ein Unsinn - Du glaubst doch nicht wirklich dass die Verschlüsselung im Kontext einer...



Anzeige

Stellenmarkt
  1. Online Verlag GmbH Freiburg, Freiburg
  2. Bizerba SE & Co. KG, Bochum
  3. über Performance + Talent Management Ltd., Köln
  4. Zurich Gruppe Deutschland, Bonn


Anzeige
Hardware-Angebote
  1. 1169,00€
  2. beim Kauf einer GeForce GTX 1070 und GTX 108

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Erotik-Abo-Falle

    Verdienen Mobilfunkbetreiber an WAP-Billing-Betrug mit?

  2. Final Fantasy 15

    Square Enix will die Story patchen

  3. TU Dresden

    5G-Forschung der Telekom geht in Entertain und Hybrid ein

  4. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  5. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  6. Weltraumroboter

    Ein R2D2 für Satelliten

  7. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  8. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  9. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen

  10. VG Wort Rahmenvertrag

    Unis starten in die Post-Urheberrecht-Ära



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  2. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  3. Pornoseite Xhamster spricht von Fake-Leak

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

  1. Re: Ich kann den Frust nicht nachvollziehen

    RipClaw | 19:16

  2. Re: Es werden "bis zu 300 MBit/s innerhalb eines...

    Ovaron | 19:12

  3. OT, Playstation Streaming

    Crass Spektakel | 19:10

  4. Re: Dann halt wieder wie früher

    Eve666 | 19:09

  5. Re: Schuster, bleib bei deinen Leisten

    chris_v1 | 19:07


  1. 18:47

  2. 17:47

  3. 17:34

  4. 17:04

  5. 16:33

  6. 16:10

  7. 15:54

  8. 15:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel