Abo
  • Services:
Anzeige
Firefox meldet eine gehackte Webseite mit Malware.
Firefox meldet eine gehackte Webseite mit Malware. (Bild: Mozilla)

Verschlüsselung bei den fünf größten Anbietern

Anzeige

Wir haben uns zunächst die Situation bei fünf großen Webspace-Anbietern angesehen: 1&1, Strato, All-Inkl, Domainfactory und Hetzner. Die gute Nachricht: Alle diese Anbieter bieten entweder SFTP oder FTPES zur verschlüsselten Datenübertragung an.

Kein einziger der großen Anbieter macht jedoch verschlüsselte Verbindungen zum Standard oder unterbindet gar unverschlüsselte Verbindungen. Auch hatten wir bei keinem Anbieter den Eindruck, dass Nutzer angemessen über die Gefahren einer ungesicherten Verbindung informiert werden. Beim Erstellen der FTP-Accounts im Webinterface erhalten wir nie einen Hinweis auf die Möglichkeit der Verschlüsselung. Informationen darüber findet man nur versteckt in Dokumentationen oder FAQs, die sich vermutlich viele Anwender nicht durchlesen.

Wir haben alle fünf Anbieter gefragt, ob sie Zahlen darüber haben, wie viele Kunden von den verschlüsselten Verbindungen Gebrauch machen. Keiner der großen Anbieter konnte oder wollte uns dazu Angaben machen. Insofern lautet das Fazit: Verschlüsselte Verbindungen sind bei den großen Anbietern zwar möglich, aber ihre Verbreitung ist unbekannt. Vermutlich ist es eine Minderheit, die sie nutzt.

Webinterface für die Accountverwaltung

Die FTP-Zugänge können bei nahezu allen Webhostern über ein Webinterface konfiguriert werden. Wichtig ist hierbei selbstverständlich, dass auch dieses Webinterface nur verschlüsselt über HTTPS erreichbar ist, denn andernfalls könnte sich ein Angreifer hierüber Zugang zum Webspace verschaffen.

Bei den fünf großen Anbietern haben wir hier wenig auszusetzen. Alle bieten ihr Webinterface ausschließlich über HTTPS an.

Kleine Anbieter und kostenlose Angebote

Längst nicht alle Kunden entscheiden sich für einen der großen Anbieter. Es gibt Hunderte von kleinen und mittelgroßen Webhostern. Wir haben daher auch zwei Angebote von weniger bekannten Unternehmen untersucht: Webspace-Verkauf.de und Greatnet.

Bei Greatnet konnten wir uns zunächst weder über FTPES noch über SFTP verbinden. Das Webinterface wird standardmäßig per HTTP angeboten. Wir konnten es zwar per HTTPS aufrufen, allerdings nur mit einem ungültigen Zertifikat. Wir haben Greatnet um eine Stellungnahme gebeten. Die Kommunikation mit Greatnet war etwas irritierend: Für eine sichere Datenübertragung werde "die Verwendung von SFTP (Secure File Transfer Protocol)" empfohlen, sagte eine Greatnet-Sprecherin. Als wir nochmals nachhakten und Greatnet mitteilten, dass eine SFTP-Verbindung nicht möglich war, wurde offenbar die Konfiguration geändert: Der Zugriff war danach möglich. Auch das fehlerhafte Zertifikat wurde nach unserem Hinweis ausgetauscht.

Bei Webspace-Verkauf.de wird überhaupt keine verschlüsselte Verbindung angeboten. Auf Nachfrage wurde uns mitgeteilt, dass dort noch das alte System Confixx eingesetzt werde, das nicht mehr weiterentwickelt wird. Langfristig sei eine Umstellung auf Plesk geplant und dann solle auch Unterstützung für verschlüsselte Verbindungen eingeführt werden. Das Webinterface war per HTTPS erreichbar, eine automatische Weiterleitung gibt es jedoch nicht.

Kostenloser Webspace mit Lücken

Neben den kostenpflichtigen Angeboten haben wir uns auch bei drei Anbietern von kostenlosem Webspace umgesehen: Funpic, Bplaced und Cwcity.

Bei Funpic war bei einem ersten Test keinerlei verschlüsselte Datenübertragung möglich. Wenige Tage später wurde jedoch die Konfiguration bei Funpic geändert und FTPES-Verbindungen sind jetzt möglich. Auf Nachfrage teilte Funpic uns mit, dass man FTPES schon bisher angeboten habe, allerdings auf einem anderen Port. Erst vor wenigen Tagen sei die FTPES-Verbindung auch auf dem Standard-FTP-Port 21 aktiviert worden. Ein Problem bleibt allerdings: Das Webinterface von Funpic ist bislang ausschließlich über HTTP erreichbar.

"Ein unkalkulierbares Risiko sehen wir in der unverschlüsselten Übertragung der Daten nicht, da jegliche sensiblen Kundendaten von uns nicht im Usercenter oder auf dem Webspace der Kunden gespeichert werden. Dafür verwenden wir extra eine zusätzliche verschlüsselte Seite und Datenbank", teilte uns hierzu ein Sprecher von Funpic mit. "Auch die Kundenpasswörter für das Usercenter werden in der Hauptdatenbank verschlüsselt gespeichert." Warum die Kundenpasswörter verschlüsselt gespeichert werden, wenn sie bei einem Login unverschlüsselt übertragen werden, erschließt sich uns nicht.

Cwcity bot bei einem Test keinerlei verschlüsselte Datenübertragung an. Dafür war das Webinterface per HTTPS erreichbar. Offenbar motiviert durch unsere Anfrage hat Cwcity jedoch vor wenigen Tagen die Konfiguration geändert, und FTPES-Verbindungen sind jetzt möglich. Zudem wurde uns mitgeteilt, dass in wenigen Tagen das Webinterface nur noch über HTTPS erreichbar sein soll.

 Webspace: Sicherheitsrisiko FTPVeraltete Schlüssel und ungültige Zertifikate 

eye home zur Startseite
hjp 07. Mär 2014

Wenn der Block-Cipher gemeint ist (was ich natürlich nicht ausschließen kann), zeugt das...

Horsty 06. Mär 2014

Die Sicherheitsfrage beim FTP Protokoll ist absolut berechtigt und es ist gut hierüber...

redmord 05. Mär 2014

Pageant ist für mich wirklich keine Lösung. Außerdem nutze ich auch mehrere Verbindungen...

das_ist_unglaub... 05. Mär 2014

sftp weil es über SSH läuft und nicht wie bei diversen verschlüsselten FTP Variationen...

das_ist_unglaub... 05. Mär 2014

So ein Unsinn - Du glaubst doch nicht wirklich dass die Verschlüsselung im Kontext einer...



Anzeige

Stellenmarkt
  1. LogPay Financial Services GmbH, Eschborn
  2. T-Systems International GmbH, Leinfelden-Echterdingen, München, Frankfurt am Main
  3. operational services GmbH & Co. KG, Braunschweig
  4. CG CAR-GARANTIE VERSICHERUNGS-AG, Freiburg im Breisgau


Anzeige
Spiele-Angebote
  1. (-33%) 9,99€
  2. 69,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Hauptversammlung

    Rocket Internet will eine Bank sein

  2. Alphabet

    Google-Chef verdient 200 Millionen US-Dollar

  3. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  4. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  5. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  6. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  7. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  8. Die Woche im Video

    Mr. Robot und Ms MINT

  9. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  10. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. e.GO Life Elektroauto aus Deutschland für 15.900 Euro
  2. Elektroauto VW testet E-Trucks
  3. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Snap Spectacles im Test: Das Brillen-Spektakel für Snapchat-Fans
Snap Spectacles im Test
Das Brillen-Spektakel für Snapchat-Fans
  1. Kamera Facebook macht schicke Bilder und löscht sie dann wieder
  2. Snap Spectacles Snap verkauft Sonnenbrille mit Kamera für 130 US-Dollar
  3. Soziales Netzwerk Snapchat geht an die Börse - und Google profitiert

  1. Re: Kein Mensch ist 200 Mio. Dollar/Euro Wert

    amagogol | 05:58

  2. Übersetzt

    Sharra | 04:49

  3. Ist mit den Zahlungen dann auch Schluss?

    ecv | 04:32

  4. Re: Beispiel?

    Shutdown | 03:27

  5. Re: Schöner Bericht

    SvD | 02:50


  1. 13:08

  2. 12:21

  3. 15:07

  4. 14:32

  5. 13:35

  6. 12:56

  7. 12:15

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel