Sowohl SFTP als auch FTPS verschlüsseln FTP-Übertragungen. Beide haben ein „S" im Namen. Sie werden häufig miteinander verwechselt — was durchaus problematisch ist, denn es sind völlig unterschiedliche Technologien, die auf völlig unterschiedlichen Wegen funktionieren.
Das falsche Protokoll beim Einrichten einer Verbindung zu wählen führt zu einem fehlgeschlagenen Verbindungsaufbau. Das richtige zu wählen setzt voraus, dass du verstehst, was jedes Protokoll tatsächlich ist. Hier die klare Erklärung.
FTP: die Grundlage
Bevor wir zu den sicheren Varianten kommen, hilft es, das normale FTP zu verstehen. Das File Transfer Protocol wurde Anfang der 1970er Jahre entwickelt — lange bevor das Internet auch nur annähernd so aussah wie heute. Es bietet keinerlei Verschlüsselung. Zugangsdaten (Benutzername und Passwort) werden im Klartext über das Netzwerk übertragen. Genauso der Inhalt deiner Dateien.
FTP ist noch immer weit verbreitet in internen Netzwerken, wo der Datenverkehr eine vertrauenswürdige Umgebung nie verlässt, auf Legacy-Hosting oder in kontrollierten Szenarien, wo Verschlüsselung kein Thema ist. Es ist einfach, es funktioniert und wird von nahezu jedem Server unterstützt. Über das öffentliche Internet Zugangsdaten im Klartext zu schicken ist aber keine gute Idee.
Genau hier kommen die beiden sicheren Varianten ins Spiel — und wo die Verwirrung beginnt.
SFTP (SSH File Transfer Protocol)
Trotz des Namens ist SFTP kein FTP mit Sicherheit obendrauf. Es ist ein völlig eigenständiges Protokoll, das unabhängig als Teil der SSH-Protokollfamilie (Secure Shell) entwickelt wurde.
SFTP läuft über SSH auf Port 22. Alles — Authentifizierung, Befehle, Dateiinhalte — wird durch die SSH-Schicht verschlüsselt. Ein SFTP-Client und ein normaler FTP-Client sprechen auf Protokollebene grundlegend unterschiedliche Sprachen, auch wenn das Ergebnis für den Nutzer gleich aussieht.
Die wichtigsten Merkmale von SFTP:
- Läuft über SSH. Hat ein Server SSH aktiviert, ist SFTP fast immer auch verfügbar — ohne weitere Konfiguration.
- Einzelner Port (22). Die gesamte Kommunikation läuft über einen Port, was die Firewall-Konfiguration unkompliziert macht.
- Schlüsselbasierte Authentifizierung. Statt eines Passworts kannst du dich mit einem SSH-Schlüsselpaar authentifizieren. Der private Schlüssel verlässt deinen Rechner nie; der Server speichert nur den öffentlichen. Deutlich sicherer als Passwort-Authentifizierung.
- Durchgehend verschlüsselt. Zugangsdaten und Dateiinhalte sind immer verschlüsselt, egal in welchem Netzwerk du bist.
- Keine TLS-Zertifikate nötig. Die Authentifizierung erfolgt über SSH-Schlüssel oder Passwörter via SSH — keine Zertifizierungsstelle, keine Zertifikatserneuerung.
FTPS (FTP über TLS)
FTPS ist echtes FTP mit TLS-Verschlüsselung darüber. Ein anderer Ansatz: das bestehende FTP-Protokoll wird in TLS eingepackt — dieselbe Verschlüsselungsschicht, die auch HTTPS verwendet.
Es gibt zwei FTPS-Modi:
Explizites FTPS (FTPES)
Der Client verbindet sich mit dem Server auf Port 21 (dem Standard-FTP-Port) und sendet sofort den Befehl AUTH TLS, um die Verbindung auf verschlüsselt umzustellen. Der Server muss diesen Befehl unterstützen. Dieser Modus heißt „explizit", weil der Client ausdrücklich das TLS-Upgrade anfordert.
Implizites FTPS
Der Client verbindet sich mit Port 990 und der TLS-Handshake erfolgt sofort — noch bevor irgendeine FTP-Kommunikation stattfindet. Es gibt keine unverschlüsselte Phase. Dieser Modus ist weniger verbreitet, wird aber auf manchen Servern noch eingesetzt.
Die wichtigsten Merkmale von FTPS:
- Basiert auf FTP. Gleicher Befehlssatz, gleiche Überlegungen zu Passiv/Aktiv-Modus, gleiches Mehrport-Verhalten bei Datenübertragungen.
- Erfordert ein TLS-Zertifikat. Der Server benötigt ein gültiges SSL/TLS-Zertifikat, das regelmäßig erneuert werden muss.
- Firewall-Komplexität. FTP im passiven Modus öffnet einen Bereich dynamischer Datenports. Firewalls müssen FTP verstehen, um diese Verbindungen korrekt zu prüfen. Mit TLS-Verschlüsselung kann die Firewall den FTP-Verkehr nicht mehr inspizieren, was den passiven Modus erschweren kann.
- Nur passwortbasiert. FTPS unterstützt keine schlüsselbasierte Authentifizierung — du authentifizierst dich mit Benutzername und Passwort (das jedoch durch TLS verschlüsselt wird).
- Hohe Kompatibilität. Viele Unternehmens- und Hosting-Umgebungen bieten FTPS an, da es ein direkter Upgrade-Pfad von einer bestehenden FTP-Einrichtung ist.
Direkter Vergleich
| Merkmal | FTP | SFTP | FTPS |
|---|---|---|---|
| Basiert auf | FTP | SSH | FTP + TLS |
| Standardport | 21 | 22 | 21 (explizit) / 990 (implizit) |
| Verschlüsselung | Keine | Immer (SSH) | Ja (TLS) |
| Schlüsselbasierte Auth. | Nein | Ja | Nein |
| Zertifikat erforderlich | Nein | Nein | Ja |
| Firewall-freundlich | Komplex | Einfach (1 Port) | Komplex |
| Serververfügbarkeit | Universell | Jeder SSH-Server | Erfordert Setup |
Welches Protokoll solltest du wählen?
SFTP verwenden, wenn: du den Server kontrollierst (oder es ein Linux/Unix-Server mit SSH ist), Sicherheit Priorität hat und du eine einfache Firewall-Konfiguration willst. SFTP ist der moderne Standard. Wenn kein besonderer Grund für etwas anderes spricht, ist SFTP die richtige Wahl.
FTPS verwenden, wenn: dein Hosting-Anbieter oder der Server eines Kunden es verlangt, oder du einer bestehenden FTP-Einrichtung Verschlüsselung hinzufügst, ohne die Infrastruktur ändern zu können. Viele Unternehmen, die seit Jahren FTP-Server betreiben, wählen FTPS als Upgrade-Pfad, weil es weniger Änderungen am bestehenden Setup erfordert.
Reines FTP verwenden, wenn: du dich in einem vertrauenswürdigen internen Netzwerk befindest, wo Verschlüsselung nicht notwendig ist, oder mit einem Altsystem arbeitest, das keine der sicheren Varianten unterstützt. Für alles über das öffentliche Internet: besser weglassen.
FTPSuite unterstützt alle drei
FTPull (für automatische Downloads) und FTPush (für automatische Uploads) unterstützen FTP, SFTP und FTPS nativ. Das Protokoll in den Verbindungseinstellungen auswählen dauert einen Klick — die App kümmert sich automatisch um die technischen Unterschiede. Du gibst Host, Port, Zugangsdaten und Protokoll ein; den Rest erledigt die App.
Wenn du nicht sicher bist, welches Protokoll dein Server verwendet, lies unsere Anleitung: FTP, SFTP oder FTPS: Welches Protokoll nutzt dein Server?