SFTP vs FTPS: Welches sichere FTP Protokoll ist besser für dein Webhosting 2025

Das klassische File Transfer Protocol stammt aus den 1970er Jahren und wurde für eine Zeit entwickelt, in der Sicherheit keine Rolle spielte. Heute stellt genau diese veraltete Technik ein massives Risiko für Website-Betreiber dar.

FTP nutzt zwei separate Kanäle für die Kommunikation: einen Kommandokanal über Port 21 für Befehle wie Login oder Verzeichniswechsel und einen Datenkanal für die eigentliche Dateiübertragung. Beim Webhosting kommt FTP traditionell zum Einsatz, um HTML-Dateien, Bilder oder Scripts auf den Server zu laden.

Das Protokoll unterscheidet zwischen aktivem und passivem Modus, je nachdem welche Seite die Datenverbindung aufbaut. Diese Zwei-Kanal-Architektur macht FTP zwar flexibel, führt aber zu Komplikationen bei Firewalls und modernen Netzwerken.

FTP überträgt sämtliche Daten ohne jede Verschlüsselung. Dein Benutzername, dein Passwort und alle hochgeladenen Dateien laufen im Klartext über die Leitung. Mit kostenlosen Tools wie Wireshark kann jeder im gleichen Netzwerk diese Informationen abfangen und mitlesen.

Besonders gefährlich wird es in öffentlichen WLAN-Netzen oder bei Man-in-the-Middle-Angriffen. Ein Angreifer benötigt keine besonderen Kenntnisse, um FTP-Zugangsdaten abzugreifen. Seriöse Hosting-Anbieter wie ALL-INKL und Hetzner haben unsicheres FTP deshalb längst deaktiviert oder bieten ausschließlich verschlüsselte Alternativen an.

FTP findet sich nur noch in veralteten Legacy-Systemen oder internen Netzwerken ohne Internetzugang, wo Verschlüsselung weniger kritisch erscheint. Manche ältere Software unterstützt ausschließlich klassisches FTP und zwingt Unternehmen zum Weiterbetrieb dieser unsicheren Technik.

Für den Zugriff auf Webhosting über das öffentliche Internet gibt es jedoch keine vertretbare Begründung mehr, FTP einzusetzen. Der Umstieg auf SFTP oder FTPS sollte oberste Priorität haben, wenn du deine Website und Zugangsdaten schützen möchtest.

SFTP hat sich als Standard bei modernen Hosting-Anbietern durchgesetzt und bietet eine sehr einfache Möglichkeit für verschlüsselte Dateiübertragungen. Das Protokoll unterscheidet sich grundlegend von FTP und bringt entscheidende Sicherheitsvorteile mit.

SFTP steht für SSH File Transfer Protocol und ist kein erweitertes FTP, sondern ein komplett eigenständiges Protokoll. Es basiert auf SSH (Secure Shell) und verschlüsselt die gesamte Verbindung vom ersten Moment an – inklusive Authentifizierung und aller übertragenen Daten.

Das Protokoll nutzt standardmäßig Port 22 und benötigt nur diesen einen Port für die komplette Kommunikation. Stell dir SFTP wie einen verschlüsselten Tunnel vor, durch den alle Befehle und Dateien geschützt fließen. Diese Architektur macht die Konfiguration deutlich einfacher als bei FTP-basierten Lösungen.

SFTP bietet zwei Wege zur Anmeldung: die klassische Methode mit Benutzername und Passwort oder die deutlich sicherere Variante mit SSH-Schlüsselpaaren. Bei der Schlüssel-Authentifizierung erzeugst du ein Schlüsselpaar aus einem öffentlichen und einem privaten Teil.

Der öffentliche Schlüssel landet auf dem Server, während der private Schlüssel ausschließlich bei dir bleibt. Bei der Verbindung prüft der Server, ob dein privater Schlüssel zum hinterlegten öffentlichen Schlüssel passt. Diese Methode bietet deutlich höhere Sicherheit und ermöglicht automatisierte Zugriffe ohne Passwort-Eingabe.

Die Einrichtung erfordert nur einmaligen Aufwand: Schlüsselpaar generieren, öffentlichen Schlüssel beim Hosting-Provider hinterlegen, fertig. Anbieter wie ALL-INKL, Hetzner und IONOS unterstützen SSH-Key-Authentifizierung in ihren Control-Panels.

SFTP vereinfacht die Firewall-Konfiguration massiv, da ausschließlich Port 22 geöffnet werden muss. Die vollständige Verschlüsselung aller Daten schützt nicht nur Zugangsdaten, sondern auch sensible Dateiinhalte während der Übertragung.

Das Protokoll ist kostenlos nutzbar und benötigt keine zusätzlichen Zertifikate. Alle gängigen FTP-Clients wie FileZilla, WinSCP oder Cyberduck unterstützen SFTP ohne Zusatzsoftware. Für restriktive Unternehmensumgebungen ist SFTP ideal, weil es auch durch strenge Firewalls und VPN-Verbindungen funktioniert.

FTPS erweitert das klassische FTP-Protokoll um moderne Verschlüsselung und bleibt besonders für ältere Systeme relevant. Die Technik ähnelt HTTPS und bringt eigene Besonderheiten mit.

FTPS fügt dem ursprünglichen FTP-Protokoll eine SSL/TLS-Verschlüsselungsschicht hinzu, ähnlich wie HTTPS das normale HTTP absichert. Es existieren zwei Varianten: Explicit FTPS (FTPES) startet unverschlüsselt und wechselt dann zu einer gesicherten Verbindung, während Implicit FTPS von Anfang an verschlüsselt kommuniziert.

Das Protokoll nutzt Port 21 für Kommandos und Port 990 für verschlüsselte Datenübertragung. Im passiven Modus werden zusätzliche Port-Bereiche benötigt, was die Konfiguration komplexer macht als bei SFTP.

FTPS setzt SSL/TLS-Zertifikate voraus, genau wie HTTPS für Websites. Diese Zertifikate können von einer Certificate Authority (CA) stammen oder selbst signiert sein. Selbst signierte Zertifikate sind kostenlos, führen aber zu Warnmeldungen in FTP-Clients.

Die Zertifikatsverwaltung bedeutet zusätzlichen Aufwand: Zertifikate müssen regelmäßig erneuert werden und bei Ablauf funktioniert die Verbindung nicht mehr. Im Vergleich zu SFTP, das keine Zertifikate benötigt, entsteht hier ein administrativer Mehraufwand.

FTPS erfordert die Freigabe mehrerer Ports, was in Firewalls und NAT-Umgebungen zu Problemen führt. Neben Port 21 und 990 werden im passiven Modus oft ganze Port-Bereiche benötigt, die in der Firewall geöffnet werden müssen.

Diese Multi-Port-Architektur verkompliziert die Einrichtung erheblich und kann in restriktiven Netzwerken oder hinter mehreren Firewalls zu Verbindungsabbrüchen führen. Administratoren müssen deutlich mehr Zeit für die korrekte Konfiguration einplanen als bei SFTP mit seinem einzelnen Port 22.

Die Wahl zwischen SFTP und FTPS hängt von technischen Anforderungen und der bestehenden Infrastruktur ab. Die wichtigsten Unterschiede helfen dir bei deiner Hosting-Entscheidung.

SFTP arbeitet als eigenständiges Protokoll über SSH und benötigt ausschließlich Port 22. FTPS baut auf dem klassischen FTP auf und erweitert es um SSL/TLS-Verschlüsselung, was die ursprüngliche Multi-Port-Architektur beibehält.

Beide Protokolle bieten starke Verschlüsselung und schützen deine Daten während der Übertragung zuverlässig. SFTP verschlüsselt die komplette Verbindung von Beginn an und gilt als moderner Standard mit weniger Fehlerquellen bei der Implementierung.

FTPS kann bei falscher Konfiguration Schwachstellen aufweisen, besonders bei Explicit FTPS, wo der Kommandokanal zunächst unverschlüsselt startet. Die einfachere Architektur von SFTP reduziert das Risiko von Konfigurationsfehlern erheblich. Für maximale Sicherheit empfiehlt sich bei SFTP die SSH-Key-Authentifizierung statt Passwörtern.

Detaillierte Benchmarks zwischen SFTP und FTPS existieren kaum, weil beide Protokolle in der Praxis ähnliche Performance liefern. Die Übertragungsgeschwindigkeit hängt primär von Netzwerkbandbreite und Server-Hardware ab, nicht vom gewählten Protokoll.

SSH-Verschlüsselung bei SFTP erzeugt theoretisch minimal mehr CPU-Last als SSL/TLS, was in realen Hosting-Szenarien aber vernachlässigbar bleibt. Für normale Website-Uploads und Downloads wirst du keinen spürbaren Unterschied zwischen den Protokollen feststellen.

SFTP ist die erste Wahl für neue Projekte und moderne Hosting-Umgebungen. Die Kombination aus Sicherheit und einfacher Handhabung macht es zum bevorzugten Standard.

Für alle neuen Websites und Hosting-Projekte empfiehlt sich SFTP als Standardprotokoll. Die Einrichtung ist unkompliziert, alle gängigen FTP-Clients wie FileZilla, WinSCP und Cyberduck unterstützen SFTP ohne Zusatzkonfiguration. Es entstehen keine zusätzlichen Kosten, da keine Zertifikate benötigt werden.

Die meisten modernen Hosting-Anbieter aktivieren SFTP standardmäßig. Anbieter wie ALL-INKL, Hetzner und IONOS bieten SFTP in allen aktuellen Tarifen ohne Aufpreis an. Die breite Unterstützung und aktive Weiterentwicklung der SSH-Implementierungen machen SFTP zu einer langfristig tragfähigen Lösung.

SFTP glänzt in Unternehmensumgebungen mit strengen Sicherheitsrichtlinien. Da ausschließlich Port 22 geöffnet werden muss, vereinfacht sich die Firewall-Konfiguration erheblich. Netzwerkadministratoren müssen keine komplizierten Port-Bereiche freigeben oder NAT-Regeln anpassen.

Die Kompatibilität mit VPN-Verbindungen ist hervorragend, weil SFTP mit einem einzelnen Port auskommt. In restriktiven Netzwerken, wo nur wenige Ports erlaubt sind, funktioniert SFTP zuverlässig, während FTPS oft an Firewall-Beschränkungen scheitert.

Die Einrichtung von SSH-Keys ist einfacher als viele denken. Erzeuge mit einem Tool wie ssh-keygen ein Schlüsselpaar auf deinem Computer. Den öffentlichen Schlüssel lädst du im Control-Panel deines Hosting-Providers hoch.

Nach der einmaligen Einrichtung verbindest du dich ohne Passwort-Eingabe. SSH-Keys bieten deutlich höhere Sicherheit als Passwörter und sind Industriestandard für automatisierte Zugriffe und Deployment-Skripte. Die meisten Hosting-Provider bieten in ihren Anleitungen detaillierte Schritt-für-Schritt-Guides zur SSH-Key-Einrichtung.

FTPS bleibt trotz der Dominanz von SFTP in bestimmten Szenarien relevant. Besonders bei bestehender Infrastruktur und speziellen Anforderungen kann FTPS die praktischere Lösung sein.

Manche ältere Anwendungen und Systeme unterstützen ausschließlich FTP-basierte Protokolle und können nicht mit SSH umgehen. In solchen Fällen bietet FTPS einen Kompromiss zwischen Sicherheit und Kompatibilität, da es auf dem klassischen FTP aufbaut.

Bei der schrittweisen Modernisierung veralteter Infrastruktur ermöglicht FTPS einen sanften Übergang. Bestehende FTP-Konfigurationen lassen sich relativ einfach auf FTPS umstellen, ohne die komplette Architektur neu aufbauen zu müssen.

Bestimmte Compliance-Standards wie PCI DSS oder HIPAA fordern explizit SSL/TLS-Verschlüsselung für Datenübertragungen. In Umgebungen, wo bereits eine umfassende PKI-Infrastruktur (Public Key Infrastructure) mit Zertifikatsverwaltung existiert, integriert sich FTPS nahtlos.

Unternehmen mit etablierten Zertifikatsmanagement-Prozessen können FTPS einfacher in ihre bestehenden Sicherheitsrichtlinien einbinden. Die Verwendung von SSL/TLS-Zertifikaten entspricht dann dem gleichen Ansatz wie bei HTTPS und anderen verschlüsselten Diensten.

Wenn dein aktueller Hosting-Provider ausschließlich FTPS anbietet und es zuverlässig funktioniert, ist ein sofortiger Wechsel nicht zwingend erforderlich. FTPS bietet bei korrekter Konfiguration ausreichende Sicherheit für die meisten Webhosting-Szenarien.

Ein Upgrade zu SFTP wird sinnvoll, wenn du häufig mit restriktiven Netzwerken arbeitest, SSH-Key-Authentifizierung nutzen möchtest oder Verbindungsprobleme durch die Multi-Port-Architektur von FTPS erlebst. Anbieter wie ALL-INKL, Hetzner und IONOS unterstützen beide Protokolle und bieten dir damit maximale Flexibilität.

Die Aktivierung verschlüsselter Dateiübertragung erfordert nur wenige Schritte. Die folgenden Anleitungen helfen dir bei der Einrichtung beider Protokolle.

Bei den meisten modernen Hosting-Anbietern ist SFTP bereits standardmäßig aktiviert. Logge dich in dein Control-Panel (cPanel, Plesk oder Provider-eigene Oberfläche) ein und suche nach den SSH- oder SFTP-Einstellungen. Die Zugangsdaten entsprechen oft deinen normalen Hosting-Login-Daten.

Falls SSH deaktiviert ist, findest du meist einen Button zur Aktivierung im Bereich „SSH-Zugang“ oder „Sicherheit“. Nach der Aktivierung erhältst du die Verbindungsdaten: Hostname (meist deine Domain oder eine Server-Adresse), Port 22, Benutzername und Passwort. Bei ALL-INKL findest du die SFTP-Einstellungen unter „SSH/FTP“, bei Hetzner im Bereich „Zugang“ und bei IONOS unter „FTP-Zugänge“.

FileZilla ist der meistgenutzte kostenlose FTP-Client mit vollständiger Unterstützung für SFTP und FTPS. Die Software läuft auf Windows, Mac und Linux und bietet eine intuitive Oberfläche für Anfänger und Profis.

WinSCP eignet sich besonders für Windows-Nutzer und bietet zusätzliche Features wie integrierte Textbearbeitung und Synchronisation. Mac-Anwender greifen gern zu Cyberduck (kostenlos) oder Transmit (kostenpflichtig mit erweiterten Funktionen). Alle genannten Clients unterstützen beide Protokolle und ermöglichen einfaches Umschalten zwischen SFTP und FTPS.

Falsche Port-Einstellungen sind die häufigste Fehlerquelle. Prüfe, ob du Port 22 für SFTP oder Port 21/990 für FTPS eingetragen hast. Bei FTPS musst du zusätzlich den Verschlüsselungsmodus wählen (Explicit oder Implicit FTPS).

Firewall-Blockaden erkennst du an Timeout-Fehlern. Stelle sicher, dass deine lokale Firewall die benötigten Ports freigibt. Bei FTPS können Probleme mit dem passiven Modus auftreten. Zertifikatsfehler bei FTPS löst du durch Akzeptieren des Server-Zertifikats im FTP-Client.

Finanzielle Aspekte und praktische Faktoren spielen bei der Protokoll-Wahl eine wichtige Rolle. Wir zeigen dir, was du bei der Hosting-Auswahl beachten solltest.

SFTP verursacht keine zusätzlichen Kosten, da SSH-Zugang bei modernen Hosting-Tarifen standardmäßig enthalten ist. Du benötigst keine Zertifikate oder Lizenzen – die Verschlüsselung ist kostenlos verfügbar.

FTPS kann zusätzliche Kosten durch SSL/TLS-Zertifikate verursachen. Selbst signierte Zertifikate sind zwar kostenlos, führen aber zu Warnmeldungen. Offizielle Zertifikate von Certificate Authorities kosten zwischen 0 Euro (Let’s Encrypt) und über 100 Euro pro Jahr, je nach Anbieter und Zertifikatstyp. Viele Hosting-Provider stellen SSL-Zertifikate heute kostenlos bereit, etwa ALL-INKL, Hetzner und IONOS mit Let’s Encrypt-Integration.

Die meisten aktuellen Hosting-Anbieter bieten SFTP als Standard an. Bei Shared Hosting ist SFTP meist die einzige verschlüsselte Option, während VPS und Managed Hosting oft beide Protokolle unterstützen.

Bei der Provider-Wahl solltest du auf SFTP-Unterstützung mit SSH-Key-Authentifizierung achten. Gute Anbieter dokumentieren die Einrichtung ausführlich und bieten Support bei Verbindungsproblemen. Prüfe außerdem, ob kostenlose SSL-Zertifikate für FTPS enthalten sind, falls du dieses Protokoll benötigst.

Der Umstieg von FTP zu SFTP ist technisch simpel und erfordert keine Datenmigration. Du änderst lediglich die Verbindungseinstellungen in deinem FTP-Client: Protokoll von FTP auf SFTP umstellen, Port von 21 auf 22 ändern, fertig.

Gespeicherte Verbindungen in FileZilla oder anderen Clients musst du einmalig anpassen. Die Zugangsdaten (Benutzername und Passwort) bleiben meist identisch. Bei Problemen hilft der Support deines Hosting-Providers – die meisten Anbieter haben detaillierte Anleitungen für die SFTP-Einrichtung in ihrer Wissensdatenbank.

SFTP setzt sich als Standard für sichere Dateiübertragungen durch und bietet die beste Kombination aus Sicherheit, Einfachheit und Kosteneffizienz. Die Nutzung nur eines Ports macht SFTP besonders firewall-freundlich und vereinfacht die Konfiguration erheblich. SSH-Key-Authentifizierung bietet maximale Sicherheit ohne zusätzliche Kosten für Zertifikate.

FTPS bleibt relevant für Legacy-Systeme und spezielle Compliance-Anforderungen, erfordert aber mehr Konfigurationsaufwand durch Multi-Port-Architektur und Zertifikatsmanagement. Beide Protokolle verschlüsseln deine Daten zuverlässig – unsicheres FTP sollte niemand mehr nutzen. Bei der Wahl eines neuen Hosting-Anbieters ist SFTP-Unterstützung mit SSH-Key-Option ein Muss-Kriterium. Prüfe deinen aktuellen Hosting-Zugang und steige von unsicherem FTP um, falls du es noch nutzt.