FTP gehört zu den ältesten Protokollen im Internet – und ist sicherheitstechnisch längst überholt. Dennoch zeigt eine aktuelle Analyse des Security-Unternehmens Censys, dass weiterhin rund 6 Millionen Systeme mit aus dem Internet erreichbarem FTP-Dienst betrieben werden. Besonders kritisch: Ein erheblicher Teil dieser Server weist keinerlei Anzeichen von Verschlüsselung auf und überträgt damit potenziell Zugangsdaten und Dateien im Klartext.
Ausmass des Problems: Verbreitung von unverschluesseltem FTP im Internet
Nach Angaben von Censys stellen FTP-Dienste derzeit etwa 2,72 % aller öffentlich sichtbaren Systeme im Internet. Die absolute Zahl ist zwar rückläufig – seit 2024 sank sie von 10,1 Millionen auf 5,94 Millionen Hosts, also um rund 40 % – doch selbst diese reduzierte Menge bildet immer noch eine hochrelevante Angriffsfläche für Cyberkriminelle.
Besonders alarmierend ist, dass bei etwa 2,45 Millionen FTP-Services während der Messungen kein TLS-Handshake beobachtet wurde. Technisch ist das kein endgültiger Beweis, dass niemals Verschlüsselung eingesetzt wird, praktisch deutet dieses Verhalten jedoch nahezu immer auf unverschlüsselten Klartextverkehr hin – inklusive Benutzername und Passwort.
Technische Schwachstellen: Warum klassisches FTP unsicher ist
Fehlendes TLS, Klartext-Passwoerter und veraltete Konfigurationen
Die Censys-Daten zeigen, dass sich die Risiken vor allem auf drei Fehlkonfigurationen konzentrieren, die in der Praxis häufig gemeinsam auftreten:
– Rund 994 000 FTP-Dienste unterstützen die Kommandoerweiterung AUTH TLS auf dem gescannten Port nicht. Ohne diese Funktion lässt sich kein FTPS-Tunnel aufbauen, der den Datenstrom schützt.
– Etwa 813 000 Server fordern das Passwort vor dem Aufbau eines verschlüsselten Kanals an. In solchen Setups werden Zugangsdaten im Klartext übertragen und können an jedem Punkt der Verbindung – etwa in kompromittierten WLANs oder durch bösartige Provider – per Man-in-the-Middle-Angriff abgefangen werden.
– Ueber 170 000 Hosts bieten keinerlei Unterstützung für Explicit TLS. Selbst wenn der Client Verschlüsselung erzwingen möchte, ist ein sicherer Modus technisch nicht möglich. Nutzer sind dann faktisch zu unsicherem FTP gezwungen.
Aus Sicht der Informationssicherheit bedeutet dies, dass Angreifer vergleichsweise einfach Credentials in grossem Massstab sammeln, Dateien mitlesen oder manipulieren und so weitere Systeme kompromittieren können. Für Unternehmen resultieren daraus nicht nur unmittelbare Risiken von Datenabflüssen, sondern auch potenzielle Verstösse gegen Compliance-Vorgaben wie PCI DSS, GDPR/DSGVO oder branchenspezifische Sicherheitsstandards, die unverschlüsselten Datenverkehr in der Regel explizit untersagen.
Geografische Verteilung: Wo die meisten offenen FTP-Server stehen
Die grösste Konzentration öffentlich erreichbarer FTP-Hosts findet sich laut Studie in den USA mit rund 1,2 Millionen Systemen. Dahinter folgen:
– China mit etwa 866 000 Hosts;
– Deutschland mit rund 467 000 Systemen;
– Hongkong mit 415 000 Hosts;
– Japan mit 366 000 FTP-Servern;
– Frankreich mit etwa 343 000 Systemen.
Auf Ebene der autonomen Systeme führt China Unicom (CHINA169) mit ungefähr 405 000 FTP-Hosts das Ranking an. Es folgen Alibaba (227 000), OVH (177 000), Hetzner (138 000), KDDI Web Communications (127 000) und GoDaddy (126 000). Diese Verteilung zeigt, dass unsichere FTP-Konfigurationen vor allem in Mass-Hosting-Umgebungen und Breitbandnetzen auftreten – also dort, wo Standard-Setups häufig unbesehen übernommen werden.
FTP-Server-Software: Standardeinstellungen als Sicherheitsfalle
Bei der eingesetzten Software dominiert laut Censys weiterhin Pure-FTPd mit rund 1,99 Millionen Instanzen. Dahinter folgen ProFTPD (ca. 812 000) und vsftpd (ca. 379 000), die in vielen Linux-Distributionen als Standard-FTP-Daemon mitgeliefert werden.
Besondere Aufmerksamkeit verdient Microsoft IIS FTP. Etwa 259 000 FTP-Services laufen auf Basis von IIS, und bei mehr als 150 000 davon ist laut Studie keine Verschlüsselung konfiguriert. In Windows-Umgebungen wird die FTP-Rolle häufig „per Klick“ aktiviert, ohne dass Administratoren die TLS-Konfiguration, Authentifizierungsmechanismen oder Zugriffsbeschränkungen konsequent nachhärten. Das Ergebnis sind produktive Systeme mit Mindestschutz, die für Angreifer besonders attraktiv sind.
Die Auswertung der verwendeten Software, Provider und Regionen legt nahe, dass viele FTP-Server nicht das Ergebnis bewusster Architekturentscheidungen sind, sondern hauptsächlich auf übernommenen Standardeinstellungen, Altlasten und vergessenen Testumgebungen beruhen. Internationale Empfehlungen von Institutionen wie NIST, ENISA und nationalen Behörden wie dem BSI betonen seit Jahren, dass Klartext-Protokolle wie klassisches FTP im Internet nicht mehr zeitgemäss sind.
Empfehlungen: Sichere Alternativen zu FTP und konkrete Sofortmassnahmen
Aus sicherheitstechnischer Sicht ist klar: Unverschlüsseltes FTP sollte heute weder im Unternehmensnetz noch in öffentlichen Diensten eingesetzt werden. Stattdessen empfehlen sich die folgenden Schritte:
1. Umstieg auf moderne Protokolle: Wo immer möglich, sollte klassisches FTP durch SFTP (Dateiübertragung über SSH) oder FTPS (FTP über TLS) ersetzt werden. Beide Varianten verschlüsseln den kompletten Datenverkehr und werden von allen gängigen Clients und Bibliotheken unterstützt.
2. Sichere Konfiguration, wenn FTP vorerst bleiben muss: Ist ein vollständiger Wechsel aus technischen oder organisatorischen Gründen kurzfristig nicht machbar, sollte mindestens Explicit TLS erzwungen und Klartext-Logins vollständig deaktiviert werden. Moderne FTP-Server wie Pure-FTPd oder vsftpd bieten hierfür native Optionen, die jedoch aktiv konfiguriert werden müssen.
3. Regelmässiger Infrastruktur-Scan: Unternehmen sollten offene Ports und Dienste regelmässig auditieren – sowohl intern als auch von aussen. Externe Suchmaschinen und Scanner wie Censys oder Shodan helfen dabei, vergessene oder vererbte FTP-Instanzen mit Internetzugang zu identifizieren.
4. Prinzip des geringsten Privilegs: Zugriffe auf Dateiübertragungsdienste sollten konsequent auf das notwendige Minimum begrenzt werden – etwa durch IP-Filter, VPN-Nutzung, Multi-Faktor-Authentifizierung und ausführliches Logging mit anschliessender Auswertung. So lassen sich sowohl Angriffe als auch Fehlkonfigurationen schneller erkennen.
Angesichts von Millionen noch erreichbarer und oft unverschlüsselter FTP-Server ist es für Organisationen ratsam, ihre Infrastruktur proaktiv zu überprüfen, veraltete Dienste abzuschalten und auf SFTP oder FTPS zu migrieren. Wer diese Altlasten konsequent beseitigt, reduziert nicht nur das Risiko von Datenlecks und Kontoübernahmen, sondern positioniert sich zugleich besser im Hinblick auf Compliance-Anforderungen und eine insgesamt robuste Cybersecurity-Strategie.
