Es war ein Dienstagmorgen, als mich der Anruf eines mittelständischen Logistikers erreichte. Das Unternehmen hatte gerade eine neue Partnerschaft mit einem internationalen Automobilzulieferer unterschrieben. Die Bedingung: Täglicher Austausch von zehntausenden XML-Dateien über eine gesicherte Verbindung. Die interne IT-Abteilung entschied sich für die vermeintlich einfachere Lösung, ohne die tieferen technischen Fallstricke zu prüfen. Drei Tage nach dem Go-live standen die Bänder still. Der Grund war kein Hackerangriff, sondern eine simple Fehlentscheidung beim Thema SFTP vs FTP Over SSL. Die Firewall des Partners blockierte die dynamischen Ports der FTP-Verbindung, die Pakete landeten im digitalen Nirgendwo und der Frust saß tief. Pro Stunde Stillstand verlor das Unternehmen knapp 12.000 Euro an Konventionalstrafen. Ich habe solche Szenarien oft erlebt; meistens fängt es damit an, dass jemand denkt, SSL sei doch überall der Standard und müsse daher auch hier die beste Wahl sein.
Der Irrglaube dass FTP Over SSL einfacher zu administrieren ist
Einer der häufigsten Fehler, den ich in Projekten sehe, ist die Annahme, dass FTP Over SSL (FTPS) leichter in eine bestehende Web-Infrastruktur passt, weil man SSL/TLS bereits von Webservern kennt. Das ist ein Trugschluss, der Admins regelmäßig schlaflose Nächte bereitet. FTPS nutzt zwei Kanäle: einen Befehlskanal und einen Datenkanal. Das klingt in der Theorie logisch, führt aber in der Praxis dazu, dass die Firewall nicht nur Port 21 öffnen muss, sondern eine ganze Range von Passiv-Ports.
Wenn Sie das nicht exakt konfigurieren, bricht die Verbindung genau in dem Moment ab, in dem die eigentliche Dateiübertragung starten soll. Ich stand schon in Rechenzentren, in denen verzweifelte Techniker versuchten, tausende Ports nach außen zu öffnen, nur um eine FTPS-Verbindung zum Laufen zu bringen. Damit reißen Sie Löcher in Ihr Sicherheitskonzept, die Sie eigentlich schließen wollten. SFTP hingegen arbeitet über einen einzigen Port, meistens Port 22. Es basiert auf SSH und braucht dieses ganze Port-Chaos nicht. Wer hier auf die falsche Technologie setzt, zahlt am Ende mit Arbeitszeit für die Fehlersuche in Firewall-Logs, die man sich komplett hätte sparen können.
SFTP vs FTP Over SSL und das Desaster mit den Zertifikaten
Ein massiver Reibungspunkt bei der Wahl zwischen SFTP vs FTP Over SSL ist die Verwaltung der Identitätsnachweis-Methoden. Bei FTPS hantieren Sie mit X.509-Zertifikaten. Das bedeutet: Sie müssen eine Zertifizierungsstelle (CA) einbinden, auf Ablaufdaten achten und sicherstellen, dass die Vertrauenskette auf beiden Seiten lückenlos ist. Ich habe erlebt, wie automatisierte Backup-Prozesse eines Finanzdienstleisters über ein ganzes Wochenende ausfielen, nur weil ein Zwischenzertifikat abgelaufen war und niemand die Warnmail des Monitoring-Systems gelesen hatte.
Das Problem der impliziten vs expliziten Verschlüsselung
Innerhalb der FTPS-Welt gibt es zudem die Unterscheidung zwischen implizitem und explizitem Modus. Das sorgt für zusätzliche Verwirrung. Wenn der Client explizites FTPS erwartet, der Server aber auf dem impliziten Port lauscht, passiert gar nichts. Solche Feinheiten kosten Stunden bei der Ersteinrichtung. Bei SFTP nutzen wir SSH-Keys. Das ist für den automatisierten Austausch von Maschine zu Maschine deutlich handhabbarer. Ein Key läuft nicht einfach nach 365 Tagen ab und legt die Produktion lahm. Er bleibt gültig, bis Sie ihn aktiv widerrufen. In der harten Realität des IT-Betriebs ist ein System, das weniger Wartung durch Zertifikatserneuerungen braucht, immer die wirtschaftlichere Wahl.
Die Performance Falle bei vielen kleinen Dateien
Ein technischer Aspekt, der oft komplett ignoriert wird, ist der Overhead beim Verbindungsaufbau. In einem illustrativen Beispiel nehmen wir an, ein Unternehmen muss 5.000 kleine Bilddateien pro Stunde übertragen. Bei FTPS muss für jede einzelne Datei, wenn der Client nicht extrem optimiert ist, theoretisch ein neuer Datenkanal ausgehandelt werden. Das beinhaltet jedes Mal einen TLS-Handshake. Das frisst Zeit und CPU-Zyklen.
Ich habe Messungen bei einem Kunden durchgeführt, der von FTPS auf SFTP umstellte. Die reine Übertragungszeit sank um fast 30 Prozent, einfach weil SSH die Verbindung effizienter hält und nicht diesen massiven Overhead bei jedem Dateistart produziert. Wenn Ihr Business darauf angewiesen ist, dass Daten in Fast-Echtzeit fließen, kann die Wahl der falschen Protokollfamilie Ihre gesamte Pipeline verstopfen. Es bringt Ihnen nichts, eine 10-Gigabit-Leitung zu haben, wenn das Protokoll durch ständige Handshakes ausgebremst wird.
Sicherheit ist kein Etikett sondern eine Architekturfrage
Oft höre ich das Argument, dass SSL doch sicher sei, weil es auch beim Online-Banking genutzt wird. Das stimmt, greift aber zu kurz. Das Problem bei FTP Over SSL ist, dass das zugrunde liegende Protokoll — also FTP — uralt ist. Es wurde nie für verschlüsselte Umgebungen gebaut; die Verschlüsselung wurde später wie ein Pflaster oben draufgeklebt. Das führt dazu, dass Befehle wie "AUTH TLS" im Klartext gesendet werden können, bevor die Verschlüsselung greift, wenn man den Server nicht absolut strikt konfiguriert.
SFTP wurde von Grund auf als sicheres Protokoll innerhalb der SSH-Spezifikation entworfen. Hier gibt es keinen Moment, in dem Daten versehentlich im Klartext über die Leitung gehen könnten, sofern der Dienst korrekt gestartet ist. Ein falscher Klick in der Konfiguration des FTPS-Servers und Sie erlauben "Fallback to Plaintext", ohne es zu merken. Ein Angreifer, der den Datenverkehr mitschneidet, sieht dann zwar kein Passwort, aber vielleicht die Dateiliste oder andere Metadaten, die bereits kritisch sein können. In meiner Praxis ist Einfachheit oft gleichbedeutend mit Sicherheit. Je weniger Schalter man falsch umlegen kann, desto besser.
Ein Vorher-Nachher-Vergleich aus der Praxis der Datenintegration
Schauen wir uns an, wie sich ein typisches Projekt entwickelt, wenn man die falsche Abzweigung nimmt. Ein Einzelhändler wollte Bestandsdaten an seine Filialen verteilen.
Der falsche Ansatz (Vorher): Das Team entschied sich für FTPS, weil der vorhandene Windows-Server das Feature "einfach so" mitbrachte. Die Einrichtung dauerte zwei Wochen. Warum? Weil die Filialen über Mobilfunk angebunden waren und die Carrier-Firewalls massive Probleme mit den dynamischen Ports des passiven FTP hatten. Ständig brachen Downloads ab. Der Support wurde mit Tickets überflutet. Die Lösung war ein hässlicher Workaround: Man öffnete eine riesige Port-Range und hoffte, dass niemand nach Fehlern suchte. Die Sicherheitsrevision schlug zwei Monate später Alarm und verlangte einen kompletten Neubau. Kostenpunkt für die Fehlplanung: rund 15.000 Euro an Personalkosten und externen Beratern.
Der richtige Ansatz (Nachher): Nach dem Desaster wurde auf SFTP umgestellt. Da SFTP nur einen einzigen Port benötigt, war die Kommunikation über die Mobilfunk-Gateways sofort stabil. Die Authentifizierung erfolgte über SSH-Keys, was die Passwörter aus den Skripten auf den lokalen Rechnern in den Filialen eliminierte. Die Einrichtung für alle 200 Standorte war innerhalb von drei Tagen durchautomatisiert. Es gab keine Probleme mit Timeouts oder blockierten Datenkanälen mehr. Die IT-Abteilung konnte sich wieder ihren eigentlichen Aufgaben widmen, anstatt Firewall-Regeln zu debuggen.
Compliance und die rechtliche Komponente in Europa
In Deutschland und der EU spielt die DSGVO eine zentrale Rolle. Wenn Sie personenbezogene Daten übertragen, reicht es nicht, dass es "irgendwie verschlüsselt" ist. Sie müssen nachweisen, dass der Stand der Technik eingehalten wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hier klare Empfehlungen. Während FTPS bei korrekter Konfiguration (starke Cipher-Suites, kein SSLv3 oder TLS 1.0/1.1) durchaus konform sein kann, ist der Aufwand für den Nachweis dieser Korrektheit bei SFTP oft geringer.
Ein Prüfer sieht SSH/SFTP und weiß sofort, dass hier ein modernes, gekapseltes System vorliegt. Bei FTPS muss er erst prüfen, ob nicht doch unsichere Altlasten erlaubt sind. Ich habe Mandanten erlebt, die bei Audits in Erklärungsnot gerieten, weil ihr FTPS-Server noch alte Verschlüsselungsmethoden für die Kompatibilität mit uralten Scannern im Lager zuliess. Das ist ein Risiko, das man nicht unterschätzen darf. Ein Bußgeld wegen mangelhafter technischer Schutzmaßnahmen ist deutlich teurer als eine saubere Migration auf ein zeitgemäßes Protokoll.
Der Realitätscheck für Ihren Erfolg
Wenn Sie jetzt vor der Wahl stehen, lassen Sie sich nicht von Marketing-Versprechen oder dem Argument "Das haben wir schon immer so gemacht" blenden. Die Entscheidung für ein Übertragungsprotokoll ist eine Entscheidung über die Stabilität Ihrer Geschäftsprozesse. In der echten Welt draußen gewinnt fast immer SFTP. Es ist robuster gegenüber schwierigen Netzwerkbedingungen, es ist einfacher zu sichern und es verursacht langfristig deutlich weniger Administrationsaufwand.
Wer heute noch auf FTPS setzt, tut dies meistens nur noch aus einem Grund: Es gibt ein steinaltes Legacy-System am anderen Ende, das schlicht nichts anderes kann. Wenn das bei Ihnen nicht der Fall ist, gibt es keinen logischen Grund, sich das Leben mit Zertifikatsketten und Port-Ranges schwer zu machen. Erfolg in der IT-Infrastruktur bedeutet nicht, die komplexeste Lösung zu bauen, sondern diejenige, die am wenigsten Aufmerksamkeit erfordert, wenn sie erst einmal läuft. Sparen Sie sich das Geld für die Fehlersuche und investieren Sie es lieber in eine ordentliche Automatisierung Ihrer Workflows. Am Ende zählt nur, dass die Datei sicher und pünktlich ankommt — ohne dass Ihr Handy nachts um drei wegen eines Firewall-Fehlers klingelt.
