FTAPI

Die FTAPI (ɛfʈɐpi) Software GmbH (File Transfer Application Platform for Integration) ist ein Münchner Unternehmen, das Lösungen zum geschäftlichen Datentransfer sowie zur Datenspeicherung entwickelt und vertreibt. Mit Hilfe des SecuPass-Verfahrens können Daten beliebiger Größe ad hoc Ende-zu-Ende-verschlüsselt übertragen werden.^[2] Der sichere Datenaustausch ist nicht auf User derselben Software beschränkt, sondern funktioniert mit allen Personen oder Unternehmen, unabhängig davon, ob diese ihre Daten verschlüsseln. Der Kunde entscheidet selbst, ob er die Produkte auf seinem eigenen Server betreiben will (On-Premises), oder die Cloud-Server von FTAPI nutzen möchte (On-Demand).^[3]

Unternehmensgeschichte[Bearbeiten | Quelltext bearbeiten]

Während seiner Studienzeit arbeitete Stephan Niedermeier, der heutige CTO von FTAPI, als freiberuflicher Consultant. Dabei stieß er häufig auf Probleme beim Transfer großer Daten. Mit dem Ziel, Dateien beliebiger Größe so einfach und sicher wie möglich zu versenden, entwickelte Niedermeier 2009 den Prototyp der Software. Das Konzept wurde beim Münchner Businessplan Wettbewerb aufgrund seines innovativen Ansatzes ausgezeichnet und in der Folge von mehreren Förderprogrammen unterstützt.^[4] Die Firmengründung erfolgte Ende 2010, im selben Jahr erlangte das erste Produkt Marktreife.^[5] 2013 holte die Firma Daniel Niesler, den aktuellen CEO von FTAPI, ins Boot, um von dessen Expertise im Zusammenhang mit Internet-Unternehmen zu profitieren.^[6]

Im Februar 2014 übernahm die QSC AG 51 Prozent der Anteile von FTAPI. Gründer Stephan Niedermeier und CEO Daniel Niesler bleiben am Unternehmen beteiligt.^[7][8]

Verwendung[Bearbeiten | Quelltext bearbeiten]

Interne Nutzung[Bearbeiten | Quelltext bearbeiten]

Die unterschiedlichen FTAPI-Produkte zum „Managed File Transfer“, lassen sich in bestehende E-Mail-Systeme wie Outlook integrieren, und für Kunden individuell konfigurieren. Ähnlich wie beim normalen E-Mail-Versand können Daten einfach per Anhang hinzugefügt und verschlüsselt verschickt werden. Dabei kann der Nutzer bei jedem Transfer zwischen vier verschiedenen Sicherheitsstufen wählen. Zudem besteht die Möglichkeit, Dateien in sicheren Datenräumen verschlüsselt abzulegen, um sie dann gemeinsam bearbeiten zu können.^[9] Dabei kann jeder User mehrere Datenräume erstellen, zu denen er jeweils beliebig vielen Nutzern den Zutritt ermöglichen kann.

Externe Nutzung[Bearbeiten | Quelltext bearbeiten]

Auch der sichere Austausch mit Firmen oder Privatpersonen, die keine spezielle Verschlüsselungssoftware besitzen, ist möglich: Sollen sensible Daten an solche Partner übermittelt werden, erhalten diese per E-Mail einen sicheren Downloadlink in ihr Postfach. Zum risikofreien Empfang dient die FTAPI SubmitBox, eine individuelle Internetadresse, die jeder FTAPI-User erhält. Dort können externe Partner Daten sicher hochladen, und so für FTAPI-User hinterlegen.

Android-Nutzer können seit Mai 2014 mithilfe der FTAPI-App auch von unterwegs per Tablet oder Smartphone auf ihre sicheren Datenräume zugreifen.

Sicherheit[Bearbeiten | Quelltext bearbeiten]

Die von FTAPI entwickelte SecuPass-Verschlüsselungstechnologie ermöglicht einen einfachen Schlüsselaustausch, welcher für die Ende-zu-Ende-verschlüsselte Übertragung beliebiger Dateien notwendig ist. Dieses Verfahren garantiert einerseits eine hochsichere Datenverschlüsselung.^[10] Zudem liegt die Besonderheit darin, dass die Übertragung zwischen beliebigen Personen (bzw. Endpunkten) stattfinden kann, ohne dass diese aufwändig Schlüssel oder Zertifikate erstellen und installieren müssen, wie es beispielsweise bei PGP-basierten Varianten der Fall ist. Über FTAPI transferierte Dateien werden niemals „in einem Stück“ versendet, sondern immer in viele Teile segmentiert, die wiederum, je nach der gewählten Sicherheitsstufe, mit unterschiedlichen Kryptoverfahren verschlüsselt werden:^[11]

• Sicherheitsstufe 1: Bei diesen Datentransfers erhält der Empfänger einen sicheren Downloadlink. Jeder Empfänger kann diese Dateien Empfangen, unabhängig davon, ob er einen FTAPI-Account besitzt.
• Sicherheitsstufe 2: Der Empfänger erhält einen sicheren Downloadlink und kann nur als FTAPI-Nutzer darauf zugreifen, da er sich zusätzlich per Passwort authentifizieren muss.
• Sicherheitsstufe 3: Die erste der vier Sicherheitsstufen, die eine echte Ende-zu-Ende-Verschlüsselung garantiert. Alle Dateien bleiben durchgehend verschlüsselt. Neben dem Login wird der SecuPass-Key abgefragt.
• Sicherheitsstufe 4: Zusätzlich zu den Dateien wird auch die übermittelte Nachricht durchgehend verschlüsselt. Der Empfänger benötigt einen SecuPass-Key, um die Datei herunterladen zu können.

Kooperation mit Vodafone[Bearbeiten | Quelltext bearbeiten]

Mitte März 2015 präsentierte Vodafone auf einer Pressekonferenz im Rahmen der CeBIT in Hannover eine Lösung zur E-Mail Verschlüsselung, die in enger Zusammenarbeit mit FTAPI entstanden ist und auf Technologie des Münchner Unternehmens basiert. „Secure E-Mail“ ist auf den geschäftlichen Alltag zugeschnitten und soll den rund 1,1 Millionen Business-Kunden von Vodafone künftig den einfachen, Ende-zu-Ende verschlüsselten Austausch von E-Mails und Dateianhängen über alle gängigen Endgeräte hinweg ermöglichen. Die Verfügbarkeit der App wurde für September 2015 in Aussicht gestellt und sollte mit allen Kommunikationspartnern kompatibel sein, unabhängig davon, ob diese Secure E-Mail auch verwenden. Eine hybride Verschlüsselung aus AES 256 und RSA 4096 sorgt für hohe Sicherheit. Der Schlüsselaustausch erfolgt, wie bei der gängigen FTAPI App, vollautomatisch und erfordert daher keinerlei Kenntnisse beim Anwender.^[12] Zum Ende des Jahres 2016 kündigte Vodafone die Einstellung des Dienstes zum 31. März 2017 und die Löschung aller Datenbestände an^[13].

Heartbleed[Bearbeiten | Quelltext bearbeiten]

FTAPI war vom Heartbleed-Bug nicht betroffen, weil die firmeneigenen Server OpenSSL nicht verwenden.^[14]

Poodle[Bearbeiten | Quelltext bearbeiten]

FTAPI war kurzzeitig von der HTTPS-Sicherheitslücke Poodle betroffen. Um FTAPI-Server gegen die Angriffsmethode abzusichern, wurde wenige Tage nach Bekanntwerden das Software-Update 3.0.13 sowie ein Leitfaden zur Verfügung gestellt^[15], welche serverseitig die Verwendung von SSLv3 unterbinden.^[16]

Zero Knowledge[Bearbeiten | Quelltext bearbeiten]

Alle von FTAPI seit der Firmengründung angebotenen Produkte basieren, nach eigener Aussage, auf dem von Edward Snowden geprägten Zero-Knowledge-Prinzip.^[17] Damit ist sichergestellt, dass nicht einmal Mitarbeiter des Unternehmens Einblick in Daten haben, die auf den Firmenservern gespeichert sind.^[18]

Besonderheiten[Bearbeiten | Quelltext bearbeiten]

Dedizierte Server[Bearbeiten | Quelltext bearbeiten]

FTAPI nutzt dedizierte Server. Dadurch können Unternehmen sicherstellen, dass ihre Daten auf einem eigenen Server gespeichert werden, und nicht – wie es normalerweise der Fall ist – zusammen mit vielen Daten anderer Nutzer auf einem Server lagern. Dadurch sind sie für potentielle Hackversuche weniger interessant, da sich Hacker in der Regel auf Server konzentrieren, die ihnen möglichst viele Daten auf einmal einbringen. Zudem verspricht das Unternehmen, dass sich alle Cloud-Server in Deutschland befinden.^[19]

Verschlüsselte Ablage[Bearbeiten | Quelltext bearbeiten]

Bei der Übertragung von Daten ist in der Regel die Zwischenspeicherung auf einem Server notwendig, von dem sie der Empfänger dann herunterladen kann. Mithilfe der Ende-zu-Ende-Verschlüsselung sind alle übermittelten Daten auch während dieser Phase, welche normalerweise die meiste Zeit beim Datentransfer in Anspruch nimmt und deshalb das größte Gefahrenpotential birgt, geschützt.^[20][21]

Einfache Bedienbarkeit[Bearbeiten | Quelltext bearbeiten]

Der Ansatz des Unternehmens, sichere Verschlüsselung mit einfacher Bedienbarkeit zu kombinieren, macht sich im alltäglichen Gebrauch deutlich bemerkbar. Im Gegensatz zu den teilweise komplexen Lösungen anderer Anbieter, lassen sich FTAPI-Produkte intuitiv bedienen, wodurch der verschlüsselte Datenaustausch kaum auffällt.^[22] So ermöglicht der Ad-hoc-Datei-Transfer das schnelle Versenden von Daten ohne aufwendige Konfigurationen vorzunehmen.^[23]

Literatur[Bearbeiten | Quelltext bearbeiten]

• on position, 01/2013, Rückenwind für Münchner Start-ups, S. 6.
• John Pardey: Im Vergleichstest - Secure Data Rooms. In: it-Administrator, 09/2013, S. 16–18. ISSN 1614-2888

Weblinks[Bearbeiten | Quelltext bearbeiten]

• ftapi.com

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Vorschauseite für iOS. In: App Store (iOS). Abgerufen am 28. März 2024. 
2. ↑ Bayerischer IT-Sicherheitscluster e.V.: Secure File Transfer auf der it-sa 2012. In: Website Title. (it-sicherheit-bayern.de [abgerufen am 19. März 2018]). 
3. ↑ https://www.ftapi.com/Produkte
4. ↑ Archivlink (Memento des Originals vom 14. Juli 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.stifterverband.de
5. ↑ http://www.crunchbase.com/organization/ftapi-software
6. ↑ http://de.linkedin.com/pub/daniel-niesler/13/7b8/23@1@2Vorlage:Toter Link/de.linkedin.com (Seite nicht mehr abrufbar, festgestellt im April 2018. Suche in Webarchiven)  Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.
7. ↑ Archivierte Kopie (Memento des Originals vom 15. Juli 2016 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.ftapi.com
8. ↑ @1@2Vorlage:Toter Link/www.handelsblatt.com (Seite nicht mehr abrufbar, festgestellt im Januar 2024. Suche in Webarchiven)  Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. In: handelsblatt.com
9. ↑ on position, Rückenwind für Münchner Start-ups, S. 4
10. ↑ http://www.sce.de/en/news-details.html?tx_ttnews%5Btt_news%5D=96&cHash=65b300e4ebf2f7ac84550281962163ba@1@2Vorlage:Toter Link/www.sce.de (Seite nicht mehr abrufbar, festgestellt im April 2018. Suche in Webarchiven)  Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.
11. ↑ Archivierte Kopie (Memento des Originals vom 15. Juli 2016 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.ftapi.com
12. ↑ Andreas Donath: Secure E-Mail: Vodafone-Mail bietet Ende-zu-Ende-Verschlüsselung für Firmen. In: golem.de. 15. März 2015, abgerufen am 3. Februar 2024. 
13. ↑ Verschlüsselte Kommunikation: Vodafone stellt Secure E-Mail ein - Golem.de. (golem.de [abgerufen am 5. April 2017]). 
14. ↑ ftapi.com (Memento vom 14. Juli 2014 im Internet Archive)Vorlage:Webarchiv/Wartung/Linktext_fehlt Linktext fehlt.
15. ↑ Aktuelle Sicherheitshinweise. ftapi.com, archiviert vom Original am 8. August 2016; abgerufen am 4. April 2019. 
16. ↑ Archivierte Kopie (Memento des Originals vom 24. Oktober 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.tinfoilsecurity.com
17. ↑ Jemima Kiss: Snowden: Dropbox is hostile to privacy, unlike 'zero knowledge' Spideroak | Dropbox. In: theguardian.com. 17. Juli 2014, abgerufen am 5. Februar 2024 (englisch). 
18. ↑ http://www.it-finanzmagazin.de/zero-knowledge-wird-zum-datentransfer-guetesiegel-1888/
19. ↑ https://www.ftapi.com/Produkte
20. ↑ Archivierte Kopie (Memento des Originals vom 15. Juli 2016 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.ftapi.com
21. ↑ Archivierte Kopie (Memento des Originals vom 14. Juli 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.muenchen.ihk.de
22. ↑ John Pardey: Im Vergleichstest - Secure Data Rooms. S. 16–19
23. ↑ Archivierte Kopie (Memento des Originals vom 14. Juli 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.cs.hm.edu