Das Übermitteln von Dateien an Kunden, Mitarbeiter, Lieferanten und andere Geschäftspartner ist eine der täglichen Aufgaben in Unternehmen – und bereitet gerade deshalb Administratoren immer wieder Kopfschmerzen. Meist bewegen sich diese sensiblen Informationen ungeschützt durch das Internet und lassen sich an vielen Stellen abfangen und mitlesen. Dasselbe trifft auch häufig zu bei der Übermittlung von Patientendaten zwischen Behörden, Ärzten und Krankenhäusern. Auch andere sensible Bereiche verfügen zu oft nicht über eine sichere Datenübertragung von Anhängen, mangels Möglichkeiten und Wissen.

Mit dieser Schieflage im Blick hat sich das Münchner Unternehmen FTAPI Software daran gemacht, mit SecuTransfer ein sicheres und gleichzeitig praktikables System für den Datentransfer zu schaffen. Der Hersteller beschreibt sein SaaS-Produkt als Plattform für den einfachen und sicheren Datenaustausch. Dazu passt, dass FTAPI mit SecuTransfer eine dedizierte Inhouse-Umgebung entwickelt hat. Sie läuft sowohl auf einem Linux- als auch Windows-Server und lässt sich an ein Active Directory anbinden. Im Test haben wir uns für die On-Demand-Variante entschieden, bei der es in den vergangenen Monaten einige Änderungen gegeben hat.

Bisher hostete der Hersteller die Umgebung pro Kundeninstanz in einer virtuellen Maschine. Durch die immer größere Nachfrage nach SecuTransfer schien das Vorgehen jedoch nicht mehr zeitgemäß. Um das System zukunftssicher und auf performantere Füße zu stellen, hat das Softwarehaus Anfang 2021 damit begonnen, die Instanzen weg von der bisherigen Virtualisierung hin zu Kubernetes zu migrieren. Da das Betreiben eines solchen Clusters eine Herausforderung darstellt, hat sich FTAPI mit IONOS einen Partner für die IT-Infrastruktur an Bord geholt.

Durch das Nutzen von Containern stellt FTAPI sicher, dass die Daten der Kunden in jeweils eigenen abgesicherten Bereichen liegen. Denn das Ziel ist es ja, mit SecuTransfer vertrauliche Dateien zu versenden und zumindest auch sicher zwischenzuspeichern. Am einfachsten geht das mit dem vom Hersteller kostenlos bereitgestellten Outlook-Plug-in oder den mobilen Applikationen für iOS und Android. Aber auch über das Webinterface lassen sich Files inklusive Ende-zu-Ende-Verschlüsselung einem oder mehreren Empfängern zusenden.

Das von uns getestete On-Demand-System richtet sich an Unternehmen ab fünf Mitarbeitern, wie zum Beispiel Steuerkanzleien, Ärzte, aber auch Behörden, Architekten und andere, bei denen das Versenden großer und vertraulicher Daten zum täglichen Geschäft gehört. Dabei setzen die Entwickler fast ausschließlich auf das Webinterface oder Outlook. Die Integration in den Microsoft-Mailclient ermöglicht eine schnelle und breite Akzeptanz unter den Mitarbeitern. Umso verwunderlicher finden wir, dass der Hersteller nicht auch entsprechende Lösungen für andere populäre Mailprogramme anbietet.

Doch zunächst schauten wir uns das Webinterface an, das nach dem Login eine moderne Oberfläche präsentiert. Über den Reiter "Administration" gelangten wir zu den Grundeinstellungen des Systems. Linksseitig sahen wir die Navigation zu den verschiedenen Einstellungen. Über die Benutzerliste bearbeiteten wir die vorhandenen Einträge oder legten neue Anwender an. Diese sind notwendig, um Daten mit SecuTransfer zu versenden. Die Empfänger der Daten benötigen keinen Account. An dieser Stelle lässt sich auch festlegen, ob beispielsweise die Zwei-Faktor-Authentifizierung aktiviert sein soll. Wie schon angesprochen, ist es bei der On-Premises-Installation auch möglich, das System mit dem Active Directory zu verbinden, um so nur an einer Stelle die Benutzerdaten pflegen zu müssen. Im Test reichte uns jedoch die manuelle Konfiguration aus.

In der Konfiguration für das System konnten wir die Benutzerkonten-Bereinigung, den Brute-Force-Schutz, die E-Mails und Benachrichtigungen sowie das Erscheinungsbild einrichten. Um den Administratoren die Arbeit zu erleichtern, gibt es auch die Option zur Einstellung der Selbstregistrierung. Damit ist es Anwendern möglich, sich selbst ein Konto anzulegen. Damit die Registrierung kontrolliert abläuft, konnten wir festlegen, mit welchen E-Mail-Adressen beziehungsweise Domains sich Anwender registrieren dürfen. Damit grenzten wir zum Beispiel ein, dass das System nur E-Mail-Adressen mit der Domain "it-administrator.de" akzeptierte. Hiervon ausnehmen konnten wir in der Blacklist allgemeine E-Mail-Adressen wie "info@". Weitere Einstellungen betrafen die Sicherheit, Rechtliches wie die Nutzungsvereinbarung und die automatische Datenbereinigung.

Über den Menüpunkt "Templates" erhielten wir Zugriff auf verschiedene Vorlagen. Unterteilt zwischen E-Mail, Disclaimer und Hinweis konnten wir unterschiedliche Texte nach unseren Bedürfnissen anpassen. Auch Texte für die Loginseite und Kennworthinweise legten wir fest. Die Texte ließen sich jeweils in Englisch, Deutsch und Französisch eintragen. Zusätzliche Sprachen stehen derzeit nicht zur Verfügung.

Aus Anwendersicht schauten wir uns den Reiter "Zustellungen" an. Dieser bietet die zentrale Funktion zum Versenden und Empfangen von Daten. Über den Button "Neue Zustellung" öffnete sich eine Dialogbox für das Schreiben der Nachricht. Neben den üblichen Angaben wie Empfänger, Betreff und Nachricht fügten wir hier unsere Dateien hinzu. Zusätzlich legten wir auch die Sicherheitsstufe fest. Diese gibt es von Stufe eins bis vier und entspricht verschiedenen Stärken des Schutzes. Mit Stufe eins ver-sendeten wir lediglich einen sicheren Link zum Herunterladen des Anhangs.

Die Empfänger erhalten eine E-Mail mit dem Nachrichtentext und den Anhängen. Diese sind jedoch nicht Bestandteil der Nachricht, sondern in Form von Links für ihren Download präsent. Ebenso gibt es unter der Nachricht einen Button "Download starten", um die Datei herunterzuladen. Klickten wir darauf, öffnete sich eine Webseite, die neben einem vordefinierten Text den Download-Button zum Herunterladen anzeigte. Hatten wir mehrere Dateien versendet, stellte Secu­Transfer diese als ZIP-Datei bereit, die nicht weiter geschützt ist. Die Versender erhalten eine Nachricht, sobald der Download abgeschlossen ist. Bis dahin zeigt FTAPI diese Nachricht im Postausgang unter "Noch nicht abgeholt" an.

Reichte uns der Schutz der Datei über einen einfachen Link nicht aus, wählten wir eine der anderen Sicherheitsstufen. Stufe zwei versendet auch einen Link, verlangt aber vor dem Zugriff einen Log-in. Diesen müssen die Empfänger einmalig erstellen und können ihn später immer wieder verwenden. Benutzer, die sich über diesen Weg registrieren, erhalten die Rolle "Gast" und sind bei Secu-Transfer kostenlos. Über die Sicherheitsstufe drei verschlüsselt das System – neben der Zustellung des Download-Links und dem nötigen Login – die Datei noch zusätzlich. Und mit der höchsten Stufe vier ist dann auch die Nachricht selbst verschlüsselt. Die Empfänger erhalten einen entsprechenden Hinweis und SecuTransfer fordert sie auf, sich einzuloggen, bevor sie die Nachricht lesen und die Datei herunterladen können.

Damit neben dem sicheren Versand von Nachrichten und Dateien auch der Empfang geschützt ist, erhält jeder Anwender eine Submit-Box. Diese entspricht einem digitalen Briefkasten auf dem Server von SecuTransfer und setzt ein Submit-Ticket voraus. Dieses erstellten wir entweder direkt über unsere Weboberfläche. Alternativ können Anwender, die den Link zur Submit-Box kennen, sich ein solches Ticket einmalig selbst erstellen.

Nach dem Aufruf des Links öffnet sich eine Webseite, über die sich dann eine Nachricht schreiben und eine oder mehrere Dateien hinzufügen lassen. Nach dem Versand bekommen die Absender eine Bestätigung über die Zulieferung und die Empfänger erhalten per E-Mail eine entsprechende Benachrichtigung über den Zugang der Nachricht. Da diese ebenso Ende-zu-Ende-verschlüsselt ist, mussten wir uns einloggen, um diese zu lesen. Die Entschlüsselung erfolgte erst, nachdem wir unseren am Anfang angelegten "SecuPass Key" eingetragen hatten. So funktioniert Sicherheit auf der ganzen Linie.

Aber nicht nur für das Versenden und Empfangen von Daten stellt SecuTransfer eine Lösung bereit. Auch die dauerhafte Dateiablage im Stil von Dropbox oder OneDrive ist mit dem Tool möglich. Dazu stellt das System Datenräume mit Ende-zu-Ende-Verschlüsselung zur Verfügung. Der Zugriff ist ausschließlich mit der Desktop-App möglich, die der Hersteller für Windows, macOS, iOS und Android bereitstellt.

Die Anwendung der Applikation ist recht simpel. Nach dem Start mussten wir uns mit unseren SecuTransfer-Zugangsdaten anmelden. Die zeitgemäße Oberfläche ist in zwei Bereiche geteilt und ähnelt einem Dateiexplorer. Links sind die Datenräume und rechts die jeweiligen Inhalte zu sehen. Wollten wir einen neuen Datenraum anlegen, wählten wir unter "Administration" den Plus-Button und trugen den Datenraumnamen ein. Danach wählten wir den Datenraum aus und konnten über den Button für das Bearbeiten der Mitglieder zusätzliche Benutzer für den Zugriff auf den Datenraum einladen. Zusätzlich hatten wir auch zur Auswahl, ob die Mitglieder Vollzugriff auf den Datenraum haben und ob diese ebenfalls neue Mitglieder einladen durften.

Weitere Optionen sind das Hoch- und Herunterladen von Dateien wie auch das Synchronisieren der Daten mit dem lokalen Verzeichnis. Diese Funktion ist erst mit dem letzten Update dazugekommen und lässt sich leider nicht ausschalten. Das fänden wir deshalb wichtig, da wir sonst keine Kontrolle mehr darüber haben, wo die sensiblen Daten gespeichert sind. Nehmen wir zum Beispiel an, dass drei Mitarbeiter aus der Buchhaltung Zugriff auf den Datenraum für die Rechnungen haben. Das Unternehmen generiert jährlich einige Tausend Rechnungen. Mit der Funktion zum Synchronisieren werden alle Rechnungen zusätzlich auf allen drei Rechnern der Mitarbeiter gespeichert. Das widerspricht nach unserem Verständnis dem Sinn des Datenraums, weshalb diese Option zumindest optional deaktivierbar sein sollte.

Eine weitere Funktion der FTAPI-App ist das Versenden von E-Mails. Wie gerade schon in Bezug auf die Weboberfläche beschrieben, lassen sich auch aus der FTAPI-App heraus sichere E-Mails verschicken. Auch hier reicht die Eingabe der Empfängeradresse, der Sicherheitsstufe, ein Betreff, die Nachricht sowie das Hinzufügen der zu versendenden Dateien per Drag-&-Drop.

Wie eingangs erwähnt, ist der komfortabelste Ansatz für den Versand von E-Mails über SecuTransfer die Arbeit mit Outlook und dem FTAPI-Add-in. Es ist lediglich für Windows für 32- und 64-Bit verfügbar. Anwender von Outlook für Mac kommen nicht in den Genuss des Werkzeugs.

Wir installierten das Add-in auf einem System mit Outlook 2019. Nach dem ersten Start meldeten wir uns mit unseren SecuTransfer-Zugangsdaten an. Die Nutzung der Applikation gestaltete sich danach sehr einfach. Je nach Konfiguration kann der User selbst festlegen, ob der Versand einer E-Mail über SecuTransfer erfolgen soll. In dem Fall schrieben wir unsere E-Mail, fügten den Anhang hinzu und anstatt auf den normalen Senden-Button zu klicken, wählten wir über das Zusatzmenü den Eintrag "mit FTAPI versenden" aus. Danach lud das Add-in die zuvor angehangene Datei auf den sicheren Server, ergänzte die E-Mail um den Download-Button und versendete diese über den Mailserver des Unternehmens.

Des Weiteren konnten wir ebenfalls über das Zusatzmenü per Mausklick den Link für die Submit-Box hinzufügen und auch die Sicherheitsstufe anpassen. Über die Konfiguration des Add-ins hatten wir zudem die Möglichkeit, diverse Voreinstellungen zu treffen. So konnten wir festlegen, ab wann Nachrichten automatisch über FTAPI zu versenden waren – entweder immer oder zum Beispiel ab einer bestimmten Größe der Anhänge oder bei Empfängern einer bestimmten Domain, aber auch bei bestimmten regulären Ausdrücken im Betreff oder bei einer Nachricht mit der Wichtigkeit "Hoch". Ebenso haben wir den Standardwert der Sicherheitsstufe vorab festgelegt und diverse Anpassungen in der Darstellung vorgenommen.

Doch in den meisten Unternehmen ist es sicher nicht gewünscht, dass die Benutzer sowohl die Einstellungen selber vornehmen als auch vergessen könnten, über FTAPI zu verschicken. Daher bietet der Hersteller ein MSI-Paket zur Installation etwa via Gruppenrichtlinien an. Dabei ist es möglich, eine Konfigurationsdatei mitzuschicken, die bereits alle Voreinstellungen der möglichen Anpassungen beinhaltet und auch das Add-in ausblendet. In dem Fall legt das Unternehmen über die Konfiguration die Anwendung von SecuTransfer in Outlook fest und verhindert, dass Benutzer Einstellungen ändern oder das Produkt falsch anwenden.

Die letzte Anwendungsmöglichkeit bei SecuTransfer ist SecuForms. Bei der Entwicklung gingen die Programmierer davon aus, dass nicht nur Bedarf besteht, Daten per E-Mail zu senden oder über die Submit-Box zu empfangen, sondern auch Informationen interaktiv zu erfassen. Mit SecuForms hat FTAPI eine Möglichkeit geschaffen, um Formulare umzusetzen, deren Daten SecuTransfer sicher überträgt und speichert.

Damit nicht der Administrator ein solches Formular umsetzen muss, haben die Entwickler einen komfortablen Editor eingebaut. Dieser ist leicht zu bedienen und lässt sich durch Mitarbeiter der Fachbereiche anpassen, ohne dass IT-Mitarbeiter gefragt sind. Wir erreichten SecuForms über die Weboberfläche von SecuTransfer. Über die Seite für die Einstellungen legten wir die Sicherheitsstufe fest, mit der wir die erfassten Daten versenden wollten. Ebenso gaben wir dem Formular einen Namen und generierten die Webadresse für den Aufruf. Optional konnten wir ein Captcha aktivieren als auch bestimmen, ob ein Log-in für das Erfassen von Daten notwendig ist. Des Weiteren hinterlegten wir den Absender als auch Empfänger für den Erhalt der Daten. Letzter konnte auch eine Gruppe sein, deren Mitglieder FTPAI dann alle benachrichtigt. Hier fiel uns auf, dass wir lediglich ein Formular konfigurieren konnten. Das Anlegen oder Konfigurieren mehrerer Formulare war nicht möglich.

Beim Layout hinterlegten wir verschiedene Texte, gaben eine URL für die Weiterleitung nach dem erfolgreichen Versand ein und konnten einige Design- und Farbanpassungen vornehmen. Über die benutzerdefinierten Felder legten wir dann die Punkte an, die wir über das Formular abfragen wollten. Hierzu klickten wir auf das Pluszeichen, wählten in dem sich öffnenden Dialog einen von 14 verschiedenen Feldtypen aus und gaben dem Feld einen Namen. Auch große Dateien konnten wir so empfangen, wobei wir die maximale Dateigröße genauso festlegten wie die für den Upload erlaubten Dateitypen.

Sehr gut gefallen hat uns, dass wir auch ein mehrseitiges Formular erstellen konnten. FTAPI nennt diese "Prozesseiten" und sie dienen dazu, größere Formulare zu unterteilen und somit die Hürde des Ausfüllens zu verringern. Das von uns erstellte Formular ließen sich entweder direkt über die URL aufrufen oder per iFrame in eine bestehende Webseite integrieren.

Mit SecuTransfer hat FTAPI ein Produkt im Angebot, das den sicheren Versand und Erhalt von sensiblen Daten ermöglicht. Die beste (und einzige) Integration erfolgt in Outlook für Windows. Andere Mailclients und Betriebssysteme finden keine Unterstützung. Alternativ bietet die Desktop-App eine Möglichkeit, E-Mails und Anhänge sicher zu versenden, auch unter macOS, iOS und Android. Ebenso ist die Nutzung des Webinterfaces zum Beispiel unter Linux möglich, aber nicht so komfortabel wie das Outlook-Add-in. Dafür lässt sich das Add-in über ein MSI-Paket zusammen mit einer Konfigurationsdatei zum Beispiel per Gruppenrichtlinien verteilen und vorkonfiguriert installieren, ohne dass die Anwender das Tool sehen beziehungsweise die Konfiguration verändern können.

Für den Empfang von Daten hat jeder Benutzer Zugriff auf eine persönliche Submit-Box. Hierrüber empfingen wir Dateien ohne Größenbeschränkung. Über die Datenräumen haben wir zudem den SecuTransfer-Server als sicheres Archiv verwendet und unsere Daten mit Ende-zu-Ende-Verschlüsselungen hochgeladen. Mit SecuForms lassen sich recht einfach Formulare für das Erfassen sensibler Daten einrichten.

Die Desktop-App ist für die Zugriffe auf die Datenräume Voraussetzung und schließt, mangels Verfügbarkeit, den Zugang unter Linux komplett aus. Die Anwendung ist sehr einfach aufgebaut und ähnelt dem üblichen Datei-Explorer. Die in der neuesten Version integrierte Funktion zur Synchronisation von lokalen Ordnern mit dem Datenraum ist gut gemeint, doch aufgrund der fehlenden Möglichkeit, diese abzuschalten, aus Gründen der Datensicherheit nicht ideal. Denn damit landen Dateien, die im Datenraum sicher gespeichert sein sollen, auch auf den Computern der Anwender.

Bis auf die genannten Verbesserungspunkte konnten wir mit FTAPI SecuTransfer die Funktionen erfolgreich umsetzen, die der Hersteller verspricht: Das sichere Speichern, Versenden und Empfangen von sensiblen Daten.