Vorsicht beim Speichern von Zugängen im FTP Client Filezilla

Was ist FileZilla?

FileZilla ist ein beliebter FTP Client. Das Programm ist sehr verbreitet, da es kostenlos für Windows, Linux und MacOS verfügbar ist.

Es schnell und einfach zu bedienen und bietet einen guten Funktionsumfang. Falls Sie Filezilla benutzen gibt es dabei einige Dinge zu beachten, um die Sicherheit Ihrer Webseiten nicht unnötig zu gefährden.

Gespeicherte Passwörter sind nicht sicher

Wenn Sie in FileZillaeine neue FTP Verbindung anlegen können wird das Passwort oft aus Bequemlichkeit in der Verbindung gespeichert. Das erleichtert die Arbeit, da die Login-Daten nur einmalig beim Anlegen der Verbindung eingeben werden müssen. FileZilla speichert die Zugangsdaten in einer XML-Datei in Ihrem Benutzerprofil.

Die Datei ist nicht verschlüsselt und kann mit jedem Texteditor geöffnet werden. Alle gespeicherten Kennwörter stehen im Klartext in dieser Datei.

Die XML-Dateien finden Sie unter folgendem Pfad (Das Verzeichnis ist nur sichtbar, wenn Sie in Windows den Zugriff auf versteckte Dateien aktivieren):

C:\Benutzer\[Benutzername]\AppData\Roaming\FileZilla\

Warum ist das problematisch?

Wenn Ihr Computer gestohlen wird oder er beispielsweise durch einen Trojaner kompromittiert wird, können die gespeicherten Zugangsdaten in fremde Hände geraten.

Wir haben schon mehrere Fälle gesehen, in denen genau das passiert ist. Ein Computer auf dem Filezilla installiert war wurde von einem Trojaner befallen, der die Datei mit den Verbindungsdaten ausgelesen hat.

Der befallene Computer wurde schnell bereinigt – die Zugangsdaten zu den FTP Accounts wurden hingegen nicht geändert. Einige Wochen später wurden die Webseiten, deren Zugänge in Filezilla gespeichert waren von Hackern angegriffen. Dateien wurden modifiziert und teilweise auch gelöscht.

Was können Sie tun?

Passwörter nicht speichern

Auf der sichereren Seite sind Sie, wenn Sie beim Einrichten des Servers die Verbindungsart „Nach Passwort fragen“ oder „Interaktiv“ auswählen. Die beschriebenen XML Dateien können dann zwar nach wie vor in fremde Hände geraten – ohne die Kennwörter sind Sie allerdings weitgehend nutzlos. Wenn Sie oft mit Dateitransfers über FTP arbeiten ist dieser Weg zwar umständlicher aber nur so gehen Sie kein Risiko ein.

Ein Programm wie SmartFTP benutzen

Wer nicht auf das Speichern der Kennwörter verzichten will sollte zumindest ein Programm wie SmartFTP verwenden. SmartFTP ist ein kostenpflichtiger FTP-Client. Er schützt besser gegen Schadprogramme, da die Passwörter hier in verschlüsseltet Form gespeichert werden.

Wohin mit den Passwörtern?

Kennwörter sollten nicht in offenen Dateien wie Excel oder Word Dateien gespeichert werden. Sicherer ist die Benutzung eines Passwort Managers. Ein verbreitetes Tool ist beispielsweise das kostenlose Programm Keepass. Bei diesem Programm werden die Daten in einer verschlüsselten Datei abgelegt, die nur mit einem Kennwort geöffnet werden kann.