Verschlüsselung

SSL-Zertifikate bei FTAPI: sicheres Übertragen und Speichern von Daten

23. Juni 2015
  • Verschlüsselung

FTAPI bündelt Softwarelösungen, die Ihnen zu einer sicheren Übertragung sowie Speicherung Ihrer Daten verhelfen. Der Empfänger Ihrer Ende-zu-Ende-verschlüsselten E-Mails benötigt keine gesonderte Software und Sie können FTAPI einfach in Ihren bestehenden E-Mail-Client, zum Beispiel Microsoft Outlook oder Mozilla Thunderbird, einbinden. Voraussetzung dafür ist ein SSL-Zertifikat.

SecuPass™ – durchgängige Ende-zu-Ende-Verschlüsselung einfach gelöst

Verschlüsselung sei zu kompliziert: dieses Vorurteil ist für viele ein Grund, ein SSL-Zertifikat gar nicht erst einzusetzen. Hier setzt die SecuPass™-Verschlüsselung von FTAPI an. Ohne das aufwendige Erstellen und Installieren von Schlüsseln und Zertifikaten arbeitet der Prozess komplett automatisiert, sodass das Verschlüsseln genauso einfach wird wie das Versenden einer E-Mail.

Um verschlüsselt zu kommunizieren, ist es wichtig, dass Sender und Empfänger, also beide Endpunkte, über den öffentlichen und privaten Schlüssel verfügen. Mit der FTAPI-Technologie SecuPass™ findet eben dieser Schlüsselaustausch automatisiert statt; auch um das Generieren und hochsichere Speichern kümmert sich SecuPassTM. Das durchgehende Verschlüsseln der Kommunikation funktioniert auch schon dann, wenn einer der Kommunikationspartner über noch kein Schlüsselpaar funktioniert.

Ein weiterer Vorteil an SecuPassTM ist, dass die verschlüsselte Kommunikation an jedem beliebigen Endgerät stattfinden kann, ohne dass das Verteilen manueller Schlüssel auf diesem Gerät notwendig wird.

OnDemand oder OnPremise: zwei Service-Varianten von FTAPI

Der Browser-basierte Ansatz von FTAPI sorgt dafür, dass Anwender auf zusätzliche Clientsoftware verzichten können. Optional ist es jedoch möglich, Clientsoftware von FTAPI zu verwenden und installieren zu lassen. FTAPI lässt sich in zwei Service-Varianten ordern:

  • FTAPI OnDemand: Sie nutzen die Webserver des Anbieters mit; eine Infrastruktur, die von mehreren FTAPI-Kunden verwendet wird („shared Systeme“). Nutzer können über eine Internetanbindung zugreifen.
  • FTAPI OnPremise: Die Installation erfolgt auf Ihrem Server.

Weiter haben Sie in beiden Service-Varianten die Wahl zwischen einer bereits vorgegebenen Standardkonfiguration, in der Version „Professional“ zu finden, sowie einer Individualkonfiguration, die in der Version „Enterprise“ angefordert werden kann. Einen Überblick über die Features der beiden Versionen sowie der noch in Planung befindlichen kostenlosen Community Edition finden Sie auf der FTAPI-Website. FTAPI wird als pro named user Account bereitgestellt, das heißt: Sie legen fest definierte Nutzer fest, die verschiedene Endgeräte wie etwa PC, Tablet, Netbook und Smartphone sowie unterschiedliche Betriebssysteme verwenden. Mit zusätzlichen Modulen lässt sich der Service-Umfang erweitern:

  • FTAPI SecuTransfer überträgt Dateien und Textnachrichten verschlüsselt und
  • die FTAPI Datenräume fungieren als verschlüsselte Speicher.

Sicherheitsmerkmale von FTAPI

Die Leistungen der einzelnen Versionen können Sie auf der FTAPI-Website nachlesen; sowohl für die Professional Edition als auch für die Enterprise Edition. Achten Sie dabei auch auf die Beschreibung unter „Nerd Zone“ – hier werden spezifische Features aufgelistet. Zudem finden Sie übersichtliche Leistungsbeschreibungen und Vergleiche der Editionen in der Leistungsbeschreibung von FTAPI (s. Punkt 2, „Leistungen“). Neben den Leistungen lohnt es sich, die Sicherheitsmerkmale von FTAPI genauer anzuschauen:

  • Ende-zu-Ende-Verschlüsselung: Ihre Dateien werden bei Ihnen mit AES-256 verschlüsselt und bleiben solange so, bis die Daten beim Empfänger landen.
  • Qualifizierte Zustellung: Der Empfänger Ihrer Dateien wird authentifiziert, bevor er sie herunterlädt. Zur Option stehen Chipkarten zur Identifikation oder qualifizierte Signaturen.
  • Segmentiertes Übertragen und Speichern: Dateien werden nie als Ganzes versendet und gespeichert. Vor dem Versand werden sie in zahlreiche kleine Segmente unterteilt und verschlüsselt.
  • Schutz vor Manipulationen: Bereits während der Übertragung Ihrer Daten wird die Integrität dieser überprüft.
  • Einhalten von Compliance-Vorgaben: Gesetzliche sowie unternehmensinterne Compliance-Vorgaben können in ihrer Einhaltung unterstützt werden, etwa durch das Erstellen eigener Security-Regeln, durch das revisionssichere Logging sämtlicher User-Aktionen oder durch sichere Datenablage und -übertragung.
  • Empfangsbestätigung: Empfänger können erst auf empfangene Dateien zugreifen, wenn sie die Empfangsbestätigung akzeptiert haben; optional kann diese zwingende Empfangsbestätigung auch mit gerichtlicher Beweiskraft untermauert werden.
  • Speicherort: Je nachdem, ob Sie auf die OnPremise- oder OnDemand-Lösung setzen, vertrauen Sie auf einen sicheren Speicherort. Bei OnPremise wird auf Ihrem Server installiert, sodass Sie den Speicherort selbst verwalten, beim OnDemand-Paket speichert FTAPI auf Servern, die sich in Deutschland befinden.

Dank der Dokumentation erlangen Sie lückenlose Kontrolle über sämtliche Transaktionen, woraus Nachweisbarkeit entsteht. So können Sie nachvollziehen, welche Dateien von welchem Mitarbeiter empfangen oder versendet wurden, sodass Sie im Zweifelsfall auch einen zuverlässigen Nachweis zur erfolgten Zustellung in der Hand haben. FTAPI ist in seiner Anwendung so simpel konstruiert, dass die Akzeptanz bei Mitarbeitern sehr hoch ausfällt.

Wo liegt der Unterschied zu anderen Lösungen?

Ende-zu-Ende-VerschlüsselungDer Unterschied zu vielen anderen Lösungen liegt in der sogenannten harten bzw. weichen Verschlüsselung. Zahlreiche gängige Systeme nutzen die weiche Verschlüsselung: lediglich der Transportweg ist verschlüsselt, die Dateien selbst liegen jedoch unverschlüsselt im Zwischenspeicher eines Servers, der via Internet erreichbar ist. Stunden, teilweise Tage vergehen, während die Dateien dort im Klartext liegen. Einige Anbieter erklären zwar, dass Dateien auf dem Server verschlüsselt sind, allerdings entsteht hierbei keine durchgehende Sicherheitsarchitektur, die das Verschlüsseln auf Sender- und Entschlüsseln auf Empfänger-Seite belässt. Ausschließlich die sogenannte harte Verschlüsselung, also die Ende-zu-Ende-Verschlüsselung, sorgt für die durchgehende Verschlüsselung Ihrer Dateien von Ihnen als Versender bis hin zum Empfänger. FTAPI setzt durchgehend auf Ende-zu-Ende-Verschlüsselung.

Mit FTAPI können Sie vier Sicherheitsstufen wählen und zudem eine zeitliche Gültigkeit Ihrer Nachrichten individuell wählen. In der ersten Sicherheitsstufe benötigt der Empfänger lediglich einen Browser und einen Link. Empfänger können ohne Login mit diesem Link auf die Datei zugreifen und diese vom verschlüsselten Server herunterladen. Die Anzahl zulässiger Downloads lässt sich beschränken, der IP-Adressbereich der zum Download berechtigten Personen eingrenzen und die Dateien mit einer zeitlichen Verfügbarkeit ausstatten. Sicherheitsstufe 2 setzt neben einem Browser auch einen FTAPI-Account voraus, da der Download über einen Link sowie ein Login gestartet wird. Benötigte FTAPI-Accounts werden wahlweise durch den Empfänger selbst oder aber durch den Systemadministratoren manuell angelegt. Wieder lassen sich zeitliche Verfügbarkeiten sowie berechtigte IP-Adressbereiche einrichten.

Stufe Nummer 3 setzt neben Browser und FTAPI-Account auch eine Java-Runtime auf dem Empfänger-Endgerät voraus. Ist beim Empfänger keine Java-Runtime installiert, wird das automatisch nachgeholt. Echte Ende-zu-Ende-Verschlüsselung sorgt für die durchgehende Verschlüsselung der Dateien. Auch hier sind o. e. Einschränkungen möglich. Sicherheitsstufe 4 baut darauf auf, zusätzlich wird allerdings auch der Nachrichtentext verschlüsselt.

Voraussetzungen zur Nutzung von FTAPI

FTAPI OnDemand setzt lediglich eine Internetanbindung sowie dezente Anpassungen an der Firewall für Client-Anwendungen voraus. Details hierzu finden Sie in der Leistungsbeschreibung unter Punkt 4.1.2 „Anpassung Firewall für Client-Anwendungen“. Bei FTAPI OnPremise kommen ein SSL-Zertifikat sowie ein Domänenname als Voraussetzung hinzu. FTAPI wird mit Apache Tomcat ausgeliefert (unterstützte Keystore-Formate: JKS sowie PKCS11/12). Bei der Auswahl Ihres SSL-Zertifikats ziehen Sie bitte in Betracht, möglichst zuverlässig und zukunftsfähig zu agieren. Immer mehr Entwickler möchten derzeit HTTPS vorantreiben, zuletzt unternahmen Microsoft und Apple entsprechende Schritte. Möchten Sie ein SSL-Zertifikat bestellen, genügen Sie den Ansprüchen der Browser- und Software-Entwickler ab OV-Zertifikaten. Bei der geringsten Sicherheitsstufe, den domainvalidierten SSL-Zertifikaten (DV), wird lediglich Ihre Domain validiert; vertrauensbildende Maßnahmen für den Website-Besucher wie das Anzeigen Ihrer Organisation existieren nicht. Setzen Sie auf OV-Zertifikate (organisationsvalidiert), authentifizieren Sie nicht nur die Domain, sondern auch sich selbst. In Ihrem Zertifikat wird das Recht zum Verwenden der abgesicherten Domain genauso sichtbar wie Informationen über Sie – das stärkt das Vertrauen Ihrer Website-Besucher immens. Bei Extended Validation-Zertifikaten (EV) kommt überdies noch die grüne Adressleiste hinzu. Grundsätzlich gilt: je strenger Sie und Ihre Daten validiert werden, umso sicherer und zukunftsfähiger haben Sie Ihr SSL-Zertifikat ausgewählt. Möchten Sie mehr wissen, stellen Sie Ihre Fragen gerne in den Kommentaren – unsere Verschlüsselungsprofis stehen Ihnen beratend zur Seite.

SSL-Zertifikat für FTAPI: Fazit

Sie können deutlich mehr aus Ihrem SSL-Zertifikat herausholen, wenn Sie FTAPI verwenden. Der hochsichere Datenaustausch mit einer unbegrenzten Datengröße steht hier im Fokus: Sie verwenden Ihren Client, zum Beispiel Microsoft Outlook, wie gewohnt, Ihre Daten werden jedoch ohne Aufwand (Software-Installationen oder Schlüsselaustausch & -speicherung) Ende-zu-Ende-verschlüsselt übertragen. Auch der Empfänger benötigt keine gesonderte Software. Die FTAPI SubmitBox (optionales Modul) erlaubt darüber hinaus, dass Ihre Kunden ohne eigenen FTAPI-Account Dateien in beliebiger Größe zu Ihnen senden – wieder Ende-zu-Ende-verschlüsselt. Das Besondere an FTAPI ist, neben der Flexibilität, dass es zu keinerlei Verschlüsselungsabbrüchen in der Kette Sender-Empfänger kommt: verschlüsselt sind wahlweise ausschließlich die Dateien oder auch die Nachricht selbst. Weder auf den in Deutschland befindlichen FTAPI-Servern noch woanders wird die Verschlüsselungskette aufgebrochen – ausschließlich Absender und Empfänger ver- bzw. entschlüsseln. Alles in allem ein stimmiges, vor allem aber sicheres Konzept, das die Nutzungsmöglichkeiten Ihres SSL-Zertifikats auf den Datenversand in unbegrenzter Größe erweitert.



0 Kommentar(e)

Schreibe einen Kommentar