FTP-Alternative: Warum FTP unsicher ist – und was wirklich schützt

Das File Transfer Protocol (FTP) wurde 1971 entwickelt. Datensicherheit war da noch kein ernsthaftes Thema. Heute überträgt FTP Zugangsdaten und Dateiinhalte standardmäßig unverschlüsselt. Für jeden, der auf dem Übertragungsweg mitliest, ist alles im Klartext einsehbar.

Trotzdem ist FTP in vielen Unternehmen tief in der Infrastruktur verankert: als Schnittstelle zu Partnern, als Transferweg für große Dateien oder als Legacy-Prozess, den irgendwann jemand aufgebaut hat und der seitdem unberührt läuft. Je länger das so bleibt, desto mehr Workarounds türmen sich rund um ein System, das eigentlich längst abgelöst gehört.

Dieser Artikel erklärt, warum FTP keine vertretbare Grundlage mehr für Dateiübertragungen ist, welche FTP-Alternativen es gibt und warum es mehr braucht als ein getauschtes Protokoll, um FTP abzulösen.

TL;DR – das Wichtigste in Kürze

• FTP ist strukturell unsicher: Zugangsdaten und Dateiinhalte werden unverschlüsselt übertragen.

• Erweiterte Protokolle wie SFTP und FTPS schließen die größten Lücken, bringen aber eigene Komplexität und Einschränkungen mit.

• DSGVO-konformes Arbeiten ist mit klassischem FTP nicht möglich – Bußgelder und Reputationsschäden drohen.

• Moderne Plattformen ersetzen als FTP-Alternative den gesamten Prozess: sichere Übertragung, Zugriffsmanagement, Nachvollziehbarkeit und Automatisierung in einem.

Warum ist FTP unsicher?

Der Zugriff auf den FTP-Server erfolgt zwar über einen Kontrollmechanismus (Benutzername und Kennwort). Sowohl der Upload auf den Server als auch der Download vom Server verlaufen jedoch unverschlüsselt. Erweiterte Varianten wie SFTP oder FTPS bieten zwar mehr Sicherheit bei der Übertragung. Allerdings werden auch hier Daten im Klartext gespeichert.

In beiden Fällen haben Angreifer also leichtes Spiel, sensible Daten abzugreifen: durch einen Man-in-the-Middle-Angriff, kompromittierte Netzwerksegmente oder schlicht öffentliches WLAN. Mit fatalen Folgen für die betroffenen Unternehmen.

Dazu kommen strukturelle Schwächen, die sich auch durch Konfiguration nicht beheben lassen:

• Keine Transportverschlüsselung im Standard-FTP: Benutzernamen, Passwörter und Dateiinhalte wandern als Klartext durchs Netz.

• Keine Verschlüsselung gespeicherter Daten: Zugriff auf den FTP-Server bedeutet auch direkten Zugriff auf alle Dateien, die dort abliegen.

• Kein granulares Zugriffsmanagement: Wer Zugang zum Server hat, sieht mehr als er sollte.

• Keine revisionssichere Nachvollziehbarkeit: Wer wann welche Datei heruntergeladen oder verändert hat, lässt sich kaum belastbar protokollieren.

• Firewall-Komplexität: FTP nutzt zwei Ports für Steuer- und Datenkanal, was Firewall-Konfigurationen fehleranfällig und wartungsintensiv macht.

Für die DSGVO ist das ein direktes Problem: Artikel 32 fordert technische und organisatorische Maßnahmen, die dem Stand der Technik entsprechen. Wer personenbezogene Daten per FTP-Protokoll überträgt, erfüllt diesen Anspruch nicht, nimmt Sicherheitslücken in Kauf und riskiert neben einem Datenverlust auch empfindliche Bußgelder.

Warum FTP trotzdem so hartnäckig bleibt

Wer die Risiken kennt, fragt sich unweigerlich: Warum läuft FTP in so vielen Unternehmen überhaupt noch? Die Antwort liegt selten in technischer Überzeugung, sondern in gewachsener Komplexität.

FTP ist seit Jahren in bestehende Infrastrukturen eingebettet – als Schnittstelle zum Steuerberater, als automatisierter Batch-Transfer zwischen Systemen, als Anbindung an einen Lieferanten, die vor zehn Jahren jemand eingerichtet hat, der längst nicht mehr im Unternehmen ist. Mit der Zeit entstehen Workarounds, die weitere Workarounds nach sich ziehen, bis das ursprüngliche System so tief im Betrieb verwurzelt ist, dass eine Ablösung als aufwändiges Projekt wahrgenommen wird.

Dazu kommt eine verbreitete Fehleinschätzung bei den Kosten: Viele IT-Verantwortliche gehen davon aus, dass FTP als bestehende Infrastruktur „kostenlos" sei, während eine moderne Lösung zusätzliches Budget erfordere. Der FTAPI Secure Data Report 2025 zeigt, dass 56 Prozent der Unternehmen technische Implementierungshürden als zentrale Herausforderung bei der Einführung sicherer Datenaustauschlösungen nennen – ebenso viele die damit verbundenen Kosten.

Was dabei oft untergeht: Ungepflegte FTP-Server, fehlendes Schlüsselmanagement, manuell gewartete Zugriffsrechte und das latente Risiko eines Sicherheitsvorfalls erzeugen laufende Kosten, die sich nur schwerer beziffern lassen als eine Lizenzgebühr.

Die häufigsten FTP-Alternativen im Überblick

Wer FTP ablösen will, hat mehrere Optionen – jede mit eigener Berechtigung und eigenen Grenzen. Welche die richtige ist, hängt davon ab, welche Anforderungen Ihr Betrieb konkret stellt: Wer überträgt Daten an wen? Wie oft und in welcher Menge? Müssen externe Partner eingebunden werden? Und welche Compliance-Anforderungen gelten?

SFTP – SSH File Transfer Protocol

SFTP ist die am häufigsten empfohlene FTP-Alternative. Anders als der Name vermuten lässt, hat SFTP technisch nichts mit FTP zu tun. Es nutzt das SSH-Protokoll als Basis und ist ein eigenständiges Protokoll, das für sichere Datenübertragung konzipiert wurde.

Übertragungen laufen vollständig verschlüsselt, die Authentifizierung erfolgt per Passwort oder SSH-Schlüsselpaar. Da nur ein einziger Port benötigt wird (in der Regel Port 22), ist SFTP auch firewall-freundlicher als klassisches FTP.

Typisches Einsatzszenario: automatisierte, wiederkehrende Übertragungen zwischen zwei IT-Systemen; etwa den nächtlichen Batch-Transfer zwischen ERP und Steuerberatersystem oder den regelmäßigen Datenaustausch mit einem festen Technologiepartner. Beide Seiten haben IT-Know-how, die Verbindung ist einmal eingerichtet und läuft dann stabil.

Einschränkungen, die Sie kennen sollten:

• Dateien liegen auf dem Server weiterhin unverschlüsselt, wenn kein zusätzlicher Schutz konfiguriert wird

• Externe Empfänger brauchen einen SSH-Client – das schafft Barrieren im Alltag, besonders bei nicht-technischen Partnern

• Schlüsselmanagement und Administration erfordern IT-Ressourcen

• Compliance-Workflows, Zugriffshistorien oder Berechtigungskonzepte bietet das Protokoll selbst nicht

Kurz gesagt: SFTP ist technisch solide für interne oder partnerschaftlich abgestimmte Übertragungen, aber keine vollständige Lösung für DSGVO-konformen Datenaustausch mit wechselnden externen Empfängern.

FTPS – FTP over SSL/TLS

FTPS erweitert das klassische FTP um eine SSL/TLS-Schicht und verschlüsselt damit den Übertragungskanal. Es gibt zwei Modi: explizites FTPS, bei dem der Client aktiv eine verschlüsselte Verbindung anfordert, und implizites FTPS, bei dem Verschlüsselung von Anfang an vorausgesetzt wird.

Typisches Einsatzszenario: FTPS ist besonders für Unternehmen interessant, die bereits FTP-basierte Prozesse und eine TLS-Infrastruktur betreiben und einen schrittweisen Migrationspfad suchen. Wer bestehende FTP-Clients weiterverwenden möchte und lediglich die Übertragungssicherheit erhöhen will, kann FTPS als Zwischenlösung einsetzen – etwa beim Austausch von Buchhaltungsdaten mit einem Softwareanbieter, der FTPS bereits unterstützt.

Einschränkungen, die Sie kennen sollten:

• Zwei Ports für Kontroll- und Datenkanal – die Firewall-Konfiguration bleibt komplex

• Datenspeicherung auf dem Server bleibt unverschlüsselt

• Keine integrierte Benutzerverwaltung oder Zugriffshistorie

• Zertifikatsverwaltung erzeugt laufenden Administrationsaufwand

Kurz gesagt: FTPS löst das Übertragungsproblem, nicht das Speicher- und Compliance-Problem. Für Unternehmen, die bereits TLS-Infrastruktur betreiben und eine schrittweise Migration anstreben, kann es ein Zwischenschritt sein, aber kein Endzustand.

AS2 – Applicability Statement 2

AS2 ist ein Übertragungsstandard, der vor allem im EDI-Umfeld (Electronic Data Interchange) zwischen Handelspartnern verbreitet ist. Daten werden verschlüsselt und digital signiert über HTTPS übertragen, der Empfang wird durch sogenannte Message Disposition Notifications (MDN) bestätigt.

Typisches Einsatzszenario: AS2 ist Standard für strukturierte, wiederkehrende B2B-Datenströme in Handel, Logistik und Industrie – etwa für den automatisierten Austausch von Bestellungen, Lieferscheinen oder Rechnungen zwischen Großhändler und Zulieferern.

Einschränkungen, die Sie kennen sollten:

• Hohe Einstiegshürde: AS2-Verbindungen erfordern beidseitige Konfiguration und Zertifikataustausch

• Wenig geeignet für den Austausch mit wechselnden oder nicht-technischen Empfängern

• Außerhalb des EDI-Kontexts kein allgemeiner Standard

Kurz gesagt: AS2 ist die richtige Wahl für strukturierte, wiederkehrende B2B-Datenströme und nicht für den täglichen Datenaustausch mit internen Teams oder wechselnden externen Partnern.

HTTPS – Dateiübertragung über das Web

Viele moderne Dateitransfer-Dienste nutzen HTTPS als Übertragungsprotokoll: Dateien werden über eine TLS-gesicherte Verbindung im Browser hoch- oder heruntergeladen, ohne dass auf Empfängerseite ein Client installiert werden muss.

Typisches Einsatzszenario: HTTPS-basierter Dateitransfer eignet sich gut für die spontane Zusammenarbeit mit externen Partnern, die keine eigene IT-Infrastruktur mitbringen – etwa wenn ein Rechtsanwalt Unterlagen einreicht, ein Kunde Dokumente hochlädt oder ein Freelancer Dateien übergibt. Der Empfänger braucht nichts weiter als einen Browser.

Einschränkungen, die Sie kennen sollten:

• TLS verschlüsselt nur den Transport, nicht die gespeicherte Datei

• Ohne übergeordnete Lösung keine Zugriffssteuerung, kein Audit-Trail, kein Berechtigungsmanagement

• Als Protokoll allein kein Ersatz für ein strukturiertes Dateitransfer-System

Kurz gesagt: HTTPS ist die Basis vieler guter Lösungen – aber eben nur die Basis. Was darauf aufgebaut ist, entscheidet über den tatsächlichen Sicherheits- und Compliance-Wert.

MFT – Managed File Transfer

Managed File Transfer ist kein einzelnes Protokoll, sondern eine Lösungskategorie, die sichere Dateiübertragungen mit Automatisierung, Monitoring, Zugriffsmanagement und Compliance-Reporting verbindet. MFT-Systeme unterstützen in der Regel mehrere Protokolle (SFTP, FTPS, AS2, HTTPS) und fügen eine zentrale Verwaltungsschicht hinzu.

Typisches Einsatzszenario: MFT ist der richtige Ansatz, wenn ein Unternehmen viele verschiedene Datentransfer-Prozesse zentral steuern und revisionssicher dokumentieren muss – etwa in regulierten Branchen wie Finanzdienstleistungen oder Gesundheitswesen. Statt für jeden Anwendungsfall ein eigenes Protokoll zu konfigurieren, laufen alle Transfers über eine einheitliche Oberfläche.

Einschränkungen, die Sie kennen sollten:

• Klassische Lösungen sind oft server-zentriert und erfordern IT-Administration

• Externe Empfänger brauchen häufig einen eigenen Account oder Client

• Lizenz- und Betriebskosten variieren je nach Anbieter

Kurz gesagt: MFT ist der richtige Ansatz für Unternehmen, die Dateitransfers skalieren, automatisieren und revisionssicher dokumentieren wollen – vorausgesetzt, die gewählte Lösung bindet externe Empfänger einfach ein, ohne IT-Aufwand auf beiden Seiten.

Was eine FTP-Alternative wirklich leisten muss

Viele Unternehmen ersetzen FTP durch SFTP – und haben danach ein sichereres Protokoll, aber denselben Prozess. Zugriffshistorie, externes Onboarding, DSGVO-konforme Speicherung sind aber alles keine Protokollfragen.

Eine vollständige FTP-Ablösung braucht eine Plattform, die Sicherheit, Benutzerfreundlichkeit und Compliance-Anforderungen strukturell verbindet:

• Ende-zu-Ende-Verschlüsselung während Übertragung und Speicherung

• DSGVO-konforme Datenverarbeitung mit klaren Speicherorten, Löschfristen und Verarbeitungsnachweisen

• Granulares Berechtigungsmanagement, steuerbar nach Person, Datenraum und Aktion

• Revisionssichere Aktivitätshistorie mit lückenloser Dokumentation, wer wann auf welche Datei zugegriffen hat

• Einfacher Zugang für externe Empfänger ohne Client-Installation auf Empfängerseite

• Integration in bestehende Systeme über API, Outlook, ERP oder HRMS

FTAPI als sichere FTP-Alternative

Die Kriterien aus dem vorigen Kapitel beschreiben, was eine FTP-Ablösung strukturell leisten muss, damit Sicherheit nicht wieder durch Workarounds erkauft wird. FTAPI vereint als sichere Alternative zu FTP alle diese Anforderungen auf einer Plattform.

Daten werden mit AES-256 verschlüsselt, sowohl während der Übertragung als auch bei der Speicherung. Zugriffsrechte lassen sich differenziert steuern, jede Aktivität protokolliert das System revisionssicher. Die Plattform ist BSI C5 Typ 2 geprüft, DSGVO-konform und wird ausschließlich in zertifizierten deutschen Rechenzentren betrieben.

Dateien sicher teilen und speichern

Wer heute Dateien per FTP teilt, hat in der Regel kein belastbares Zugriffskonzept: Wer auf den Server zugreift, sieht mehr als er sollte – und wer was heruntergeladen hat, lässt sich im Nachhinein kaum rekonstruieren. Eine moderne Plattform löst das über browserbasierte virtuelle Datenräume, in denen Zugriffsrechte differenziert nach Person und Kontext vergeben werden und jede Aktivität revisionssicher protokolliert ist. Die Daten sind hier zu keinem Zeitpunkt unverschlüsselt. Externe Empfänger brauchen für sicheres Filesharing keinen Client, nur einen Browser. Optionale Ende-zu-Ende-Verschlüsselung ist für besonders sensible Inhalte zuschaltbar.

Große Dateien sicher versenden

Auch wer FTP nutzt, weil E-Mail-Anhänge an Größenlimits scheitern, findet in FTAPI eine direkte Alternative. Große Dateien lassen sich bis in den mehrstelligen Gigabyte-Bereich per Browser oder direkt aus Outlook versenden – mit vier wählbaren Sicherheitsstufen vom gesicherten Download-Link bis zur Ende-zu-Ende-Verschlüsselung. Nutzer bleiben in ihrer gewohnten Umgebung, die Sicherheit läuft im Hintergrund. Download-Bestätigungen protokollieren lückenlos, wer die Datei wann erhalten hat.

Automatisierte Datenprozesse

Viele FTP-Prozesse laufen vollautomatisch – als nächtliche Batches oder Schnittstelle zwischen Systemen. Diese brauchen ein Äquivalent, das verschlüsselt und ebenso automatisiert arbeitet. FTAPI bildet automatisierte Workflows und wiederkehrende Transfers regelbasiert und verschlüsselt ab, integriert in bestehende Infrastruktur über API und Standardschnittstellen.

Jeder Prozessschritt ist nachvollziehbar protokolliert, Ausnahmen werden gemeldet – ohne dass die IT jede Übertragung einzeln betreuen muss.

Kurz gesagt: Unternehmen, die von FTP auf FTAPI wechseln, erfüllen DSGVO-Anforderungen strukturell statt mit Workarounds, entlasten IT-Teams von Wartung und Zertifikatschaos, binden externe Partner einfach ein und erhalten eine zentrale, revisionssichere Dokumentation aller Übertragungen und Zugriffe.

Fazit: FTP ablösen, aber richtig

Für Unternehmen, die heute personenbezogene Daten, vertrauliche Geschäftsunterlagen oder Compliance-relevante Informationen übertragen, ist FTP keine belastbare Grundlage mehr. Die Frage ist nicht ob FTP abgelöst werden sollte, sondern womit und in welchem Umfang.

Wer nur das Protokoll tauscht, löst das Sicherheitsproblem nur halb. Wer den gesamten Prozess modernisiert – mit verschlüsselter Übertragung und Speicherung, durchdachtem Zugriffsmanagement und DSGVO-konformem Betrieb – macht aus einer Schwachstelle eine belastbare Infrastruktur.