Datenübertragungsprotokolle für Unternehmen: TLS, SFTP und HTTPS sicher einsetzen

Inhalt in Kürze

• Art. 32 DSGVO verlangt Verschlüsselung bei der Datenübertragung nach Stand der Technik – das BSI empfiehlt mindestens TLS 1.2, idealerweise TLS 1.3.
• TLS, HTTPS und SFTP sind die drei wichtigsten Protokolle für KMU: TLS sichert Verbindungen, HTTPS schützt Webseiten, SFTP ersetzt das unsichere FTP.
• Veraltete Protokolle wie FTP, SSL 3.0 oder TLS 1.0 sind ein Sicherheitsrisiko und verstoßen gegen gängige Compliance-Anforderungen.
• Ein Protokoll-Check Ihrer Systeme deckt Schwachstellen auf, bevor es die Aufsichtsbehörde tut.

Ihr Webshop überträgt Kundendaten per HTTPS. Ihr Steuerberater bekommt die Lohnabrechnung per E-Mail. Ihr Dienstleister lädt Dateien per FTP hoch. Klingt nach Alltag? Ist es auch. Aber genau hier entscheidet sich, ob Ihre Daten sicher ankommen – oder auf dem Weg abgefangen werden.

Datenübertragungsprotokolle regeln, wie Informationen zwischen Systemen transportiert werden. Das richtige Protokoll verschlüsselt, authentifiziert und schützt. Das falsche Protokoll legt Ihre Geschäftsdaten offen wie eine Postkarte.

Datenübertragungsprotokolle: Was Unternehmen wissen müssen

Ein Datenübertragungsprotokoll ist ein Regelwerk für den Transport von Daten zwischen zwei Systemen. Es legt fest, wie eine Verbindung aufgebaut wird, wie Daten verschlüsselt werden und wie beide Seiten sich gegenseitig identifizieren.

Für Unternehmen sind drei Protokollkategorien relevant:

Der entscheidende Punkt: Protokolle ohne Verschlüsselung haben in Unternehmensnetzwerken nichts mehr zu suchen. Das gilt für FTP genauso wie für unverschlüsselte E-Mail-Übertragung per SMTP ohne STARTTLS.

DSGVO und Verschlüsselung: Was Art. 32 von Ihnen verlangt

Art. 32 DSGVO nennt die Verschlüsselung ausdrücklich als technische Maßnahme zur Sicherheit der Verarbeitung. Dabei gibt das Gesetz kein bestimmtes Protokoll vor. Es fordert Maßnahmen, die dem Stand der Technik entsprechen und dem Risiko angemessen sind.

Was heißt das konkret? Das BSI hat mit der Technischen Richtlinie TR-02102-2 (Version 2026-01) klare Empfehlungen veröffentlicht:

• TLS 1.2 ist weiterhin akzeptabel, aber nur mit Perfect Forward Secrecy (PFS)
• TLS 1.3 wird bevorzugt empfohlen
• TLS 1.0 und 1.1 dürfen nicht mehr verwendet werden
• Ab 2031 sollen klassische Verschlüsselungsverfahren nur noch in Kombination mit Post-Quanten-Kryptographie eingesetzt werden

Aus der Praxis: Wenn Protokolle zum Problem werden

Wir erleben es regelmäßig: Ein Unternehmen mit 30 Mitarbeitern betreibt einen FTP-Server für den Austausch mit Lieferanten. Die Zugangsdaten werden per E-Mail verschickt. Niemand hat je geprüft, ob die Verbindung verschlüsselt ist. Spoiler: Ist sie nicht.

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz.

Nils OehmichenDatenschutzberater bei frag.hugo

Genau da liegt der Knackpunkt. Die Unternehmensgröße spielt keine Rolle. Sobald personenbezogene Daten über ein Netzwerk wandern, greifen die DSGVO-Anforderungen. Und das betrifft jedes Unternehmen – vom Handwerksbetrieb bis zum Mittelständler.

TLS, HTTPS und SFTP im Vergleich

TLS – das Fundament

TLS (Transport Layer Security) verschlüsselt die Verbindung zwischen zwei Systemen. Jedes Mal, wenn Sie eine Website mit dem Schloss-Symbol aufrufen, arbeitet TLS im Hintergrund. TLS 1.3 ist schneller und sicherer als sein Vorgänger, weil überflüssige Verschlüsselungsoptionen gestrichen wurden.

HTTPS – Standard für Webseiten

HTTPS ist nichts anderes als HTTP plus TLS. Für Unternehmenswebseiten, Kundenportale und Online-Shops ist HTTPS Pflicht. Ein kostenloser Website-Check bei Hugo Check zeigt Ihnen sofort, ob Ihre Seite korrekt verschlüsselt ist.

SFTP – der sichere Dateitransfer

SFTP nutzt SSH zur Verschlüsselung und braucht nur einen einzigen Port (Port 22). Das macht die Firewall-Konfiguration einfach. Im Gegensatz zu FTPS, das mehrere Ports benötigt, ist SFTP in der Praxis die bessere Wahl für den Austausch sensibler Geschäftsdaten.

So wählen Sie das richtige Protokoll: 5 Schritte

1. Bestandsaufnahme: Listen Sie alle Datenflüsse in Ihrem Unternehmen auf. Wo werden Daten übertragen? Per E-Mail, Webformular, Dateiupload, API-Schnittstelle?
2. Protokolle identifizieren: Prüfen Sie, welche Protokolle aktuell im Einsatz sind. Nutzen Sie noch FTP? Läuft Ihr Mailserver ohne STARTTLS? Unterstützt Ihr Webserver TLS 1.3?
3. Risiko bewerten: Welche Daten werden übertragen? Personenbezogene Daten brauchen mindestens Transportverschlüsselung. Gesundheitsdaten oder Finanzdaten verlangen zusätzliche Schutzmaßnahmen.
4. Migration planen: Ersetzen Sie FTP durch SFTP. Stellen Sie Webserver auf TLS 1.3 um. Aktivieren Sie STARTTLS für den Mailversand. Planen Sie Übergangszeiträume für Geschäftspartner ein.
5. Regelmäßig prüfen: Führen Sie mindestens jährlich ein IT-Sicherheitsaudit durch. Protokollversionen veralten, Zertifikate laufen ab, neue Schwachstellen werden entdeckt.

VPN und API-Sicherheit nicht vergessen

Datenübertragung beschränkt sich nicht auf Webseiten und Dateiserver. Zwei Bereiche werden oft übersehen:

VPN-Verbindungen: Für standortübergreifende Netzwerke und Home-Office-Anbindung sind VPN-Protokolle wie IPsec oder WireGuard Standard. Achten Sie auf aktuelle Verschlüsselung – ältere VPN-Konfigurationen nutzen teilweise noch unsichere Cipher Suites.

API-Schnittstellen: Wenn Ihre Software mit externen Diensten kommuniziert, müssen auch diese Verbindungen TLS-verschlüsselt sein. API-Keys allein ersetzen keine Transportverschlüsselung. Gerade bei Cybersicherheitskonzepten wird dieser Punkt oft vergessen.

Sichere Datenübertragung für Hamburger Unternehmen

Hamburg ist ein internationaler Handelsstandort. Unternehmen übertragen täglich Daten mit Partnern in der EU und weltweit. Der Hamburger Beauftragte für Datenschutz (HmbBfDI) prüft gezielt die Absicherung von Datentransfers – besonders bei internationalen Übermittlungen in Drittländer.

Wir beraten Hamburger KMU zur sicheren Konfiguration von Datenübertragungsprotokollen. Von der Bestandsaufnahme über die Migration bis zur laufenden Prüfung. Persönlich, vor Ort, auf Augenhöhe.

Häufige Fragen (FAQ)

Welche Datenübertragungsprotokolle sind für Unternehmen Pflicht?

Die DSGVO schreibt kein bestimmtes Protokoll vor. Art. 32 fordert aber technische Maßnahmen nach Stand der Technik. Das BSI empfiehlt mindestens TLS 1.2, besser TLS 1.3. Für Dateitransfers ist SFTP der sichere Standard.

Was ist der Unterschied zwischen SFTP und FTPS?

SFTP nutzt SSH zur Verschlüsselung und arbeitet über einen einzigen Port (22). FTPS setzt auf TLS/SSL und benötigt mehrere Ports. In der Praxis ist SFTP einfacher zu konfigurieren und gilt als sicherer, weil keine zusätzlichen Firewall-Freigaben nötig sind.

Ist TLS 1.2 noch sicher oder muss ich auf TLS 1.3 umstellen?

TLS 1.2 gilt laut BSI TR-02102-2 (Version 2026-01) weiterhin als sicher – vorausgesetzt, Perfect Forward Secrecy ist aktiviert. TLS 1.3 bietet aber weniger Angriffsfläche und schnellere Verbindungen. Eine Migration ist empfehlenswert.

Welche Strafe droht bei unverschlüsselter Datenübertragung?

Bei einem Verstoß gegen Art. 32 DSGVO drohen Bußgelder von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes. Dazu kommen mögliche Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO.

Brauchen kleine Unternehmen auch verschlüsselte Datenübertragung?

Ja. Die DSGVO gilt unabhängig von der Unternehmensgröße. Sobald personenbezogene Daten übertragen werden – per E-Mail, Webformular oder Dateitransfer – muss die Übertragung nach Stand der Technik abgesichert sein.