Abo
  • Services:
Anzeige
Firefox meldet eine gehackte Webseite mit Malware.
Firefox meldet eine gehackte Webseite mit Malware. (Bild: Mozilla)

Verschlüsselung bei den fünf größten Anbietern

Anzeige

Wir haben uns zunächst die Situation bei fünf großen Webspace-Anbietern angesehen: 1&1, Strato, All-Inkl, Domainfactory und Hetzner. Die gute Nachricht: Alle diese Anbieter bieten entweder SFTP oder FTPES zur verschlüsselten Datenübertragung an.

Kein einziger der großen Anbieter macht jedoch verschlüsselte Verbindungen zum Standard oder unterbindet gar unverschlüsselte Verbindungen. Auch hatten wir bei keinem Anbieter den Eindruck, dass Nutzer angemessen über die Gefahren einer ungesicherten Verbindung informiert werden. Beim Erstellen der FTP-Accounts im Webinterface erhalten wir nie einen Hinweis auf die Möglichkeit der Verschlüsselung. Informationen darüber findet man nur versteckt in Dokumentationen oder FAQs, die sich vermutlich viele Anwender nicht durchlesen.

Wir haben alle fünf Anbieter gefragt, ob sie Zahlen darüber haben, wie viele Kunden von den verschlüsselten Verbindungen Gebrauch machen. Keiner der großen Anbieter konnte oder wollte uns dazu Angaben machen. Insofern lautet das Fazit: Verschlüsselte Verbindungen sind bei den großen Anbietern zwar möglich, aber ihre Verbreitung ist unbekannt. Vermutlich ist es eine Minderheit, die sie nutzt.

Webinterface für die Accountverwaltung

Die FTP-Zugänge können bei nahezu allen Webhostern über ein Webinterface konfiguriert werden. Wichtig ist hierbei selbstverständlich, dass auch dieses Webinterface nur verschlüsselt über HTTPS erreichbar ist, denn andernfalls könnte sich ein Angreifer hierüber Zugang zum Webspace verschaffen.

Bei den fünf großen Anbietern haben wir hier wenig auszusetzen. Alle bieten ihr Webinterface ausschließlich über HTTPS an.

Kleine Anbieter und kostenlose Angebote

Längst nicht alle Kunden entscheiden sich für einen der großen Anbieter. Es gibt Hunderte von kleinen und mittelgroßen Webhostern. Wir haben daher auch zwei Angebote von weniger bekannten Unternehmen untersucht: Webspace-Verkauf.de und Greatnet.

Bei Greatnet konnten wir uns zunächst weder über FTPES noch über SFTP verbinden. Das Webinterface wird standardmäßig per HTTP angeboten. Wir konnten es zwar per HTTPS aufrufen, allerdings nur mit einem ungültigen Zertifikat. Wir haben Greatnet um eine Stellungnahme gebeten. Die Kommunikation mit Greatnet war etwas irritierend: Für eine sichere Datenübertragung werde "die Verwendung von SFTP (Secure File Transfer Protocol)" empfohlen, sagte eine Greatnet-Sprecherin. Als wir nochmals nachhakten und Greatnet mitteilten, dass eine SFTP-Verbindung nicht möglich war, wurde offenbar die Konfiguration geändert: Der Zugriff war danach möglich. Auch das fehlerhafte Zertifikat wurde nach unserem Hinweis ausgetauscht.

Bei Webspace-Verkauf.de wird überhaupt keine verschlüsselte Verbindung angeboten. Auf Nachfrage wurde uns mitgeteilt, dass dort noch das alte System Confixx eingesetzt werde, das nicht mehr weiterentwickelt wird. Langfristig sei eine Umstellung auf Plesk geplant und dann solle auch Unterstützung für verschlüsselte Verbindungen eingeführt werden. Das Webinterface war per HTTPS erreichbar, eine automatische Weiterleitung gibt es jedoch nicht.

Kostenloser Webspace mit Lücken

Neben den kostenpflichtigen Angeboten haben wir uns auch bei drei Anbietern von kostenlosem Webspace umgesehen: Funpic, Bplaced und Cwcity.

Bei Funpic war bei einem ersten Test keinerlei verschlüsselte Datenübertragung möglich. Wenige Tage später wurde jedoch die Konfiguration bei Funpic geändert und FTPES-Verbindungen sind jetzt möglich. Auf Nachfrage teilte Funpic uns mit, dass man FTPES schon bisher angeboten habe, allerdings auf einem anderen Port. Erst vor wenigen Tagen sei die FTPES-Verbindung auch auf dem Standard-FTP-Port 21 aktiviert worden. Ein Problem bleibt allerdings: Das Webinterface von Funpic ist bislang ausschließlich über HTTP erreichbar.

"Ein unkalkulierbares Risiko sehen wir in der unverschlüsselten Übertragung der Daten nicht, da jegliche sensiblen Kundendaten von uns nicht im Usercenter oder auf dem Webspace der Kunden gespeichert werden. Dafür verwenden wir extra eine zusätzliche verschlüsselte Seite und Datenbank", teilte uns hierzu ein Sprecher von Funpic mit. "Auch die Kundenpasswörter für das Usercenter werden in der Hauptdatenbank verschlüsselt gespeichert." Warum die Kundenpasswörter verschlüsselt gespeichert werden, wenn sie bei einem Login unverschlüsselt übertragen werden, erschließt sich uns nicht.

Cwcity bot bei einem Test keinerlei verschlüsselte Datenübertragung an. Dafür war das Webinterface per HTTPS erreichbar. Offenbar motiviert durch unsere Anfrage hat Cwcity jedoch vor wenigen Tagen die Konfiguration geändert, und FTPES-Verbindungen sind jetzt möglich. Zudem wurde uns mitgeteilt, dass in wenigen Tagen das Webinterface nur noch über HTTPS erreichbar sein soll.

 Webspace: Sicherheitsrisiko FTPVeraltete Schlüssel und ungültige Zertifikate 

eye home zur Startseite
hjp 07. Mär 2014

Wenn der Block-Cipher gemeint ist (was ich natürlich nicht ausschließen kann), zeugt das...

Horsty 06. Mär 2014

Die Sicherheitsfrage beim FTP Protokoll ist absolut berechtigt und es ist gut hierüber...

redmord 05. Mär 2014

Pageant ist für mich wirklich keine Lösung. Außerdem nutze ich auch mehrere Verbindungen...

das_ist_unglaub... 05. Mär 2014

sftp weil es über SSH läuft und nicht wie bei diversen verschlüsselten FTP Variationen...

das_ist_unglaub... 05. Mär 2014

So ein Unsinn - Du glaubst doch nicht wirklich dass die Verschlüsselung im Kontext einer...



Anzeige

Stellenmarkt
  1. Bundesnachrichtendienst, Bonn
  2. BIOTRONIK SE, Berlin
  3. Haufe Gruppe, Freiburg im Breisgau
  4. Zühlke Engineering GmbH, München, Stuttgart, Hannover


Anzeige
Hardware-Angebote
  1. 59,90€
  2. 103,25€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Beta 1

    MacOS Sierra 10.12.4 mit Blaulichtfilter als Nachtmodus

  2. Spielebranche

    Goodgame Studios entlässt weitere 200 Mitarbeiter

  3. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  4. DirectX 12

    Microsoft legt Shader-Compiler offen

  5. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  6. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  7. Innogy

    Telekom will auch FTTH anmieten

  8. Tissue Engineering

    3D-Drucker produziert Haut

  9. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage

  10. Sicherheitsupdate

    Apple patcht Root-Exploits für fast alle Plattformen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. Potus Donald Trump übernimmt präsidiales Twitter-Konto
  2. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  3. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Smartphone-Hersteller Hugo Barra verlässt Xiaomi
  2. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

  1. Re: Ehrlich gesagt...

    divStar | 22:24

  2. Re: Chinesische Raumfahrt

    mnementh | 22:23

  3. Re: Ihr macht mir echt Angst. Ich bin empört.

    FreiGeistler | 22:22

  4. Re: "Ich würde es zudem begrüßen, wenn vor allem...

    DerDy | 22:21

  5. Re: Voice-over-LTE - wie soll das gehen?

    Jakelandiar | 22:20


  1. 22:16

  2. 18:21

  3. 18:16

  4. 17:44

  5. 17:29

  6. 16:57

  7. 16:53

  8. 16:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel