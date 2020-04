In der sogenannten „Schatten-IT“ kommen häufig Lösungen wie Dropbox, OneDrive oder gar WhatsApp zum Einsatz, um Geschäftsdaten auszutauschen. Doch nicht nur im Hinblick auf hohe DSGVO-Bußgelder sollten Unternehmen unbedingt auf eine sicherere Software setzen. Das deutsche Unternehmen FTAPI will in diesem Umfeld eine Alternative anbieten.

In der jüngsten Zeit berichteten Medien immer wieder über Fälle, bei denen große Mengen Daten offen im Internet standen oder bei Übertragungen „irgendwie“ verloren gingen. Umso erstaunlicher ist es, dass viele Nutzer und leider auch Firmen weiterhin auf zwar bequeme, aber unsichere Wege zurückgreifen, um wichtige geschäftsbezogene Daten zu versenden. Sicher nur die Spitze des Eisberges – aber umso erschreckender – sind da Beispiele von Ärzten, die beispielsweise Befunde via WhatsApp-Nachricht an Kollegen verschickt haben. Zumal Cloudspeicher wie OneDrive und Dropbox heute einen erprobten Weg darstellen, um weniger wichtige Daten schnell und bequem auszutauschen.

Wenn man diese Daten dann noch Ende-zu-Ende verschlüsselt, ist den meisten Sicherheitsbedürfnissen zweifellos Genüge getan. Warum übertragen Anwender also immer noch so viele Daten ungesichert und unverschlüsselt? Ein gewichtiger Grund ist sicher die komplizierte Handhabung der Verschlüsselung und die Notwendigkeit, komplexe Arbeitsabläufe einzuführen, damit die Daten sicher übers Netz wandern können. All diese Probleme verspricht das deutsche Unternehmen FTAPI mit Sitz in München mit seiner Lösung zu beseitigen.

Das Softwarehaus FTAPI hat sich mit seinen Produkten auf einen einfachen und sicheren Datenaustausch spezialisiert. Neben dem Kernprodukt SecuTransfer, das grundsätzlich den Austausch großer und vor allen Dingen auch kritischer Daten ermöglicht, stehen den Kunden unter anderem noch sogenannte Datenräume – in denen sie Daten Ende-zu-Ende verschlüsselt ablegen können – und SecuForms für konfigurierbare, sichere Formulare zur Verfügung. Die Automatisierung der entsprechenden Prozesse zum Austausch der Daten können die verschiedenen Ausprägungen der FTAPI-Lösung ebenfalls leisten. Einen weiteren Punkt, den das Unternehmen betont, ist die zentrale Administration der Software samt der verschiedenen Add-ons über eine Web-Konsole. Dabei lässt sich die Lösung sowohl On-Premises auf eigenen Servern als auch „on Demand“ in einem der deutschen Rechenzentren des Anbieters einsetzen. Der LANline-Test hat die Software und ihre Handhabung unter die Lupe genommen.

Ausprägungen und Einsatzvoraussetzungen

Uns stand für diesen Bericht die aktuelle Version 4.7.4 der Software in der On-Demand-Ausprägung zur Verfügung. Dabei setzt FTAPI für den Anwender einen eigenen Server in Form einer virtuellen Maschine auf und betreibt diese in einem deutschen Rechenzentrum. Für unseren Test hat die Münchner Softwarefirma nach eigenen Angaben die VM bei Ionos in Frankfurt gehostet.

Wer den Server selbst aufsetzen will oder muss, kann dazu laut Anbieter grundsätzlich jedes Windows-, Linux- oder Unix-System verwenden, wenn dort eine Java-VM lauffähig ist. Hier sollte es dann mindestens die Java-Version 1.8 sein. Als Server-Systeme eignet sich Microsoft Server ab der Version 2012 oder Linux-Debian. Bei der Prozessorleistung verlangt die Software minimal eine 2×2 GHz-CPU mit mindestens 6 GByte freiem Arbeitsspeicher. Im Bereich des Massenspeichers sollten mindestens 250 GByte an Speicherkapazität vorhanden sein. Der FTAPI-Server benötigt außerdem eine Datenbank, wobei es sich um eine MySQL- oder um eine „Microsoft SQL Express“-Version handeln kann. Für die Datenbank sollten 1 bis 20 GByte Speicher bereitstehen. Wird der Server für mehr als 100 aktive Nutzer eingesetzt, empfiehlt FTAPI die Bereitstellung von mindestens weiteren 6 GByte zusätzlich. Eine Anbindung an einen Active-Directory-Server ist ebenfalls möglich, aber nicht notwendig. Das FTAPI-System greift in einer solchen Konstellation ausschließlich lesend auf den Verzeichnisdienst zu.

Verwaltung und Einsatz der Software im täglichen Betrieb

Wer sich bei seinem FTAPI-Server anmeldet, kann direkt aus dem Browser heraus seine Daten übertragen. Auch die Übermittlung großer Daten ist auf diese Weise möglich, wobei der Administrator die Möglichkeit hat, die Dateigröße einzuschränken und/oder den Nutzer zu veranlassen, die FTAPI-App für die Übertragung zu nutzen. Wenn es darum geht, Dateien sicher zu übertragen, kann der Anwender für die Übermittlung seiner Daten aus vier Sicherheitsstufen auswählen:

Sicherheitsstufe 1 (Sicherer Link): Bei dieser Einstellung legt die Software die Daten unter einem sicheren Link ab. Anschließend kann jede Person über den geteilten Link die Daten herunterladen.

Sicherheitsstufe 2 (Sicherer Link plus Login): Der Empfänger muss für den Zugriff auf die Daten ein FTAPI-Konto besitzen. Hat er dies nicht, wird automatisch ein Konto erstellt, das sich nachfolgend weiterhin für die sichere Kommunikation mit diesem Empfänger einsetzen lässt.

Sicherheitsstufe 3 (Sicherer Link/Login und verschlüsselte Dateien): Bei dieser Stufe verschlüsselt die Software die übertragenen Dateien Ende-zu-Ende. Deshalb benötigt der Empfänger ein FTAPI-Konto und den SecuPass-Schlüssel, um auf die Daten zuzugreifen.

Sicherheitsstufe 4 (Sicherere Link/Login/verschlüsselte Dateien und verschlüsselte Nachricht): Bei der höchsten Stufe verschlüsselt FTAPI nicht nur die angehängten Dateien, sondern auch den gesamten Text der Nachricht Ende-zu-Ende. Zudem gelten bei dieser Stufe die gleichen Voraussetzungen auf der Empfängerseite wie bei der Stufe 3.

Um eine echte Ende-zu-Ende-Verschlüsselung zu erreichen, muss der Nutzer einmalig die SecuPass-Verschlüsselung für die Übertragung aktivieren. Anschließend kann er eine gesicherte Verbindung zwischen beliebigen Endpunkten aufbauen, und zwar ohne weiteren umständlichen Schlüsseltausch. Uns war zunächst unklar, wie das funktionieren soll – es ist aber sehr praktisch geregelt: Der Anwender schickt beispielsweise eine Nachricht mit einer angehängten Datei an einen Nutzer, der bisher noch nicht mit der FTAPI-Software gearbeitet hat. Der kann nun auf den Link in der E-Mail klicken. Ist er ein „Gast“ – hat also kein FTAPI-Konto – wird für ihn ein Konto angelegt und er muss einen Nutzernamen und ein Passwort wählen. Anschließend muss er ebenfalls einen SecuPass-Schlüssel wählen.

Hat der „Gast“ diesen aktiviert, erhält der sendende Nutzer darüber eine Information. Letzterer muss im nächsten Schritt seinen SecuPass-Schlüssel nochmals eingeben, um die gesicherte Übertragung mit dem „Gast“ zu bestätigen. Diesen Vorgang muss der Sender jedoch nur bei der ersten Authentifizierung des Empfängers gegenüber dem Server durchführen, damit der Server im Hintergrund die asymmetrische Verschlüsselung aufbauen kann. Dies mag hier in der Beschreibung zunächst aufwändig erscheinen, funktionierte bei unseren Tests aber sehr schnell und problemlos. Nach diesem „konstituierenden“ E-Mail-Austausch können die Nutzer dann sehr einfach verschlüsselte Nachrichten austauschen.

Neben der Möglichkeit, die Nachrichten über die Web-Schnittstelle im Browser auszutauschen, bietet die FTAPI-Software auch ein Add-in für Outlook-Clients, das wir mit einer Version von Office 2019 und einer Version von Office 365 getestet haben. Zur Installation bietet der Hersteller diese Software in der Version 4.4.1 an, die sowohl für die 32- als auch für die 64-Bit-Version von Outlook ab der Version 2010 gedacht ist. Die ZIP-Datei enthält zwei MSI-Dateien, wobei der sogenannte Full Installer alle notwendigen Komponenten beinhaltet, während der Small Installer voraussetzt, dass auf dem Zielsystem die „Visual Studio 2010 Tools for Office Runtime“ und das .NET Framework mindestens in der Version 4.6.1 installiert sind. Nach der Installation stehen dem Nutzer in Outlook verschiedene Menüs zur Verfügung, mit denen er beispielsweise umfangreiche Einstellungen vornehmen oder auch sein SecuPass-Kennwort einrichten und ändern kann. Auch die sogenannte „SubMit-Box“, die als grafisches Element in der Mail des Empfängers auftaucht und ihm den Download erleichtern soll, lässt sich über die Menüs entsprechend einrichten.

Dem Administrator stellt die Software im Browser eine sehr übersichtlich und logisch gestaltete Oberfläche bereit, mit der er alle Aspekte der sicheren Dateiübertragung über den FTAPI-Server konfigurieren und regeln kann. Dazu gehören neben den grundsätzlichen Einstellungen im Menü „Konfiguration“ auch die verschiedenen Möglichkeiten, das System einzustellen. So kann der IT-Verantwortliche dort beispielsweise unter „Brute Force Protection“ seinen Server vor Angriffen schützen, bei denen versucht wird, die Passwörter der Konten durch automatisierte Login-Versuche herauszufinden. Infos und Einträge der Benutzerkonten und die verschiedenen Benachrichtigungen für Zustellungen (beispielsweise, wenn diese pausiert wurden), können Administratoren ebenso wie die verschiedenen Sicherheitsrichtlinien oder auch das Gesamterscheinungsbild der FTAPI-Anwendung in dieser Oberfläche konfigurieren.

Als sehr gut haben wir es empfunden, dass die Software dem Administrator an dieser Stelle auch die Möglichkeit bietet, verschiedene Berichte zu generieren und herunterzuladen. Neben einem allgemeinen Zustellungsreport kann er hier unter anderem Reports zu den Benutzern oder den verwendeten Datenräumen erstellen lassen. Nach einer kurzen Wartezeit stellt die Software den Bericht im XLS- oder PDF-Format sowie online bereit.

Fazit

Uns hat die Arbeit mit der FTAPI-Software während der kurzen Testphase sehr gut gefallen: Die Software fügt sich gut in Outlook ein und lässt sich auch ebenso gut wieder daraus entfernen, was nicht bei allen Add-ins für Microsofts E-Mail-Programm der Fall ist. Die Bedienung gestaltet sich sowohl im E-Mail- als auch im Desktop- und Web-Client übersichtlich und einfach. Apps für Android und iOS stehen ebenfalls zum Download bereit. Wir haben zudem die sehr kompetente und gute Unterstützung durch die FTAPI-Mitarbeiter bei Einrichtung und Betrieb der Software samt einer ausführlichen Einführung, wie sie auch die Kunden des Unternehmens bekommen, erfahren dürfen.

Wir sind jedoch sicher, dass erfahrene IT-Mitarbeiter sich ohne Probleme in kurzer Zeit auch selbstständig in die Software einarbeiten können.

Dies gilt im Besonderen für die übersichtliche Administrationsoberfläche, die sich dem IT-Betreuer im Web-Browser präsentiert. Wer den FTAPI-Server selbst installieren will oder sogar muss, findet in den Online-Handbüchern ausführliche und gut dokumentierte Anleitungen in deutscher Sprache.

Dass der Administrator die Möglichkeit hat, die Erweiterungen in Outlook so zu konfigurieren, dass FTAPI ausgehende E-Mails immer sicher und verschlüsselt verschickt, ist unserer Meinung nach für den laufenden Betrieb sehr praxisgerecht. Die Nutzer bemerken davon kaum etwas, weil es möglich ist, die zusätzlichen „Knöpfe“ und Einstellungen vor ihnen zu verbergen. So brauchen sich die Endanwender im Unternehmen beispielsweise nicht mehr bei jeder E-Mail damit beschäftigen, wie sie die Nachrichten verschicken, und die IT-Mannschaft kann sicherstellen, dass immer der sichere Weg gewählt wird.

Unternehmen, die diese FTAPI-Lösung einsetzen wollen, können dabei zwischen zwei Hosting-Modellen auswählen:

On Demand: FTAPI stellt einen eigenen Server als virtuelle Maschine für Kunden in einem deutschen Rechenzentrum bereit.

On-Premises: Der Kunde hostet und betreibt den FTAPI-Server im eigenen Rechenzentrum.

Die Lizenzpreise sind dabei gestaffelt und verstehen sich jeweils pro User und Monat: Bei 25 bis 49 Anwender stellt das Unternehmen für die On-Demand-Version ein Preis von 13,45 Euro in Rechnung, während die On-Premises-Variante hier mit 8,34 Euro zu Buche schlägt. Diese Preise sinken auf 9,85 Euro für die On-Demand- und 6,02 Euro für die On-Premises-Version, wenn 50 bis 99 Nutzer die Software einsetzen. Je nach steigender Nutzerzahl sinken die Preise dann noch weiter.