Gesundheitsdienstleister sind auf den ununterbrochenen Austausch von Dateien angewiesen, die häufig geschützte Gesundheitsinformationen (PHI) enthalten. Solche Dateien können von Testergebnissen und medizinischen Bildern bis hin zu Abrechnungsdaten oder Lieferantenberichten reichen, und ihr Austausch zwischen Partnern und Standorten ist für die Patientenversorgung unerlässlich. Sie sind aber auch ein attraktives Ziel für Angreifer. Das HIPAA Journal berichtet, dass allein im Jahr 2024 durch Sicherheitsverletzungen im Gesundheitswesen mehr als 237 Millionen Patientendatensätze offengelegt wurden, wobei Vorfälle wie der Angriff auf Change Healthcare 190 Millionen Personen betrafen. In jüngster Zeit haben die Angriffe auf Episource und AMEOS gezeigt, wie sich kompromittierte Dateien und Partnerverbindungen auf ganze Netzwerke ausbreiten können.
Dateiübertragungen als Hauptangriffsvektor
Bei diesem europäischen Gesundheitsdienstleister wurden täglich Tausende von Übertragungen über veraltete SFTP- und SMB-Freigaben mit minimaler Überprüfung durchgeführt. Die Dateien wurden bei der Übertragung verschlüsselt, aber nur selten bei der Eingabe überprüft. Man verließ sich auf einen einzigen Antiviren-Scan, der fortgeschrittene oder Zero-Day-Angriffe nicht abfangen konnte. Das Ergebnis war ein gefährlicher blinder Fleck: Sensible Patientendaten und betriebliche Systeme konnten schon durch eine einzige bösartige Datei von einem vertrauenswürdigen Partner gefährdet werden.
Neben den Uploads externer Partner war ein weiteres zentrales Problem das zentrale Gesundheitsinformationssystem (HCIS) des Anbieters. Täglich mussten große Mengen klinischer und betrieblicher Daten an Handelspartner übertragen werden, doch auch hier fehlten Automatisierung und Sicherheitskontrollen, so dass diese Daten anfällig für die gleichen Risiken waren.
Die Compliance-Anforderungen im Rahmen von HIPAA und GDPR erhöhten die Dringlichkeit zusätzlich: Jede unentdeckte bösartige Datei stellte nicht nur ein Sicherheitsrisiko dar, sondern auch ein potenzielles Versagen von Vorschriften. Das Ergebnis war eine Umgebung, in der Dateiströme standardmäßig als sicher galten, in Wirklichkeit aber fortschrittlichen Cyber-Bedrohungen ausgesetzt waren. Diese Lücke gefährdete Patientenakten, Finanzdaten und kritische betriebliche Systeme und unterstrich die dringende Notwendigkeit einer tiefer gehenden Prüfung auf Dateiebene.
Das Unerkennbare aufspüren
Als MetaDefender Managed File Transfer MFT)™ (MFT) im Rahmen einer technischen Evaluierung eingeführt wurde, verband der Gesundheitsdienstleister es mit seinen bestehenden SFTP- und SMB-Ordnern. Während des Proof-of-Concept-Prozesses startete MetaDefender Managed File Transfer MFT) automatisch einen sicheren Dateiübertragungs- und Prüfworkflow für Dateien, die in den letzten zwei Wochen gespeichert worden waren.
Das Unerwartete geschah, als das System eine Datei erreichte, die erst am Vortag hochgeladen worden war. Die Datei mit dem Namen „Accounting_Report_Q1.doc“ wurde von einem vertrauenswürdigen Lieferanten übermittelt und hatte bereits die Antivirensoftware des Unternehmens passiert, ohne Alarm auszulösen. Als die Datei jedoch durch die automatisierten Workflows von MetaDefender Managed File Transfer MFT) verarbeitet und in der integrierten Sandbox analysiert wurde, kam ihre wahre bösartige Natur zum Vorschein.
Neben der Sandbox-Analyse wurde die Datei gleichzeitig mit Metascan™ Multiscanning, einer OPSWAT , die über 30 Anti-Malware-Engines in einer einzigen leistungsstarken Sicherheitsebene kombiniert, überprüft. Sie bestätigte, dass es keine bekannten Signaturen gab, was das Urteil bestätigte, dass es sich um eine echte Zero-Day-Malware handelte.
Die 3 Schritte der Untersuchung
1. Anfängliches Verhalten
Das Dokument sah für den Benutzer normal aus, aber sein Verhalten erzählte eine andere Geschichte.
- Verschleiertes JavaScript entschlüsselt Shellcode direkt im Speicher
- Eine verdächtige Prozesskette wurde gestartet: winword.exe → cmd.exe → powershell.exe (Base64-Befehl)
- Die Datei hat versucht, ausgehende HTTPS-Verbindungen zu einer ungewöhnlichen IP-Adresse herzustellen
- Er lud eine Nutzlast der zweiten Stufe herunter (zz.ps1)
- Es wurde versucht, Systemdetails aufzuzählen und in temporäre Verzeichnisse zu schreiben
2. Versteckte rote Flaggen
Herkömmliche statische Scans haben all dies übersehen. Da es keine Makros, keine bekannten Signaturen und nichts sichtbar Bösartiges in der Dateistruktur gab, wäre die Bedrohung unsichtbar geblieben. Die adaptive Analyse MetaDefender Sandbox™ zeigte jedoch deutlich rote Fahnen an:
- DLL-Injektionsmuster
- Prozessaushöhlung
- Command & Control Beaconing-Verhalten
3. Urteil und Antwort
Das Urteil: ein hochriskanter Zero-Day-Polyglot-Dropper.
MetaDefender Managed File Transfer MFT) hat die Datei dann automatisch unter Quarantäne gestellt, den ausgehenden Datenverkehr zu der markierten IP-Adresse blockiert und einen vollständigen Sandbox-Bericht mit IOCs (Indicators of Compromise) erstellt. Diese IOCs wurden zur weiteren Untersuchung an das SOC (Security Operations Center) weitergeleitet, und die Richtlinien wurden aktualisiert, um ähnliche Bedrohungen bei zukünftigen Übertragungen zu isolieren.
Aufbau einer stärkeren Defensive
Die Entdeckung zeigte, dass bösartige Dateien tagelang unbemerkt in freigegebenen Ordnern gespeichert waren, was in einer Umgebung, in der Patientendaten verarbeitet werden, ein inakzeptables Risiko darstellte. Mit MetaDefender Managed File Transfer MFT) wurde nun jede Partnerübertragung einer mehrschichtigen Überprüfung unterzogen:
MetaDefender Sandbox™
MetaDefender Sandbox™ nutzt die Malware-Analyse-Pipeline, um verdächtige Dateien in Echtzeit auszuführen und zu beobachten und Zero-Day-Malware zu erkennen, die statische Schutzmaßnahmen umgeht.
Metascan™ Multiscanning
Metascan™ Multiscanning nutzt mehr als 30 Engines, um sowohl bekannte als auch neue Bedrohungen zu erkennen.
File-Based Vulnerability Assessment
Identifiziert Schwachstellen in Installationsprogrammen, Firmware und Paketen vor der Ausführung.
Prävention von Ausbrüchen
Analysiert kontinuierlich gespeicherte Dateien und nutzt die neueste Bedrohungsdatenbank, um verdächtige Dateien zu erkennen und unter Quarantäne zu stellen, bevor sie sich verbreiten.
Gleichzeitig zentralisierte MetaDefender Managed File Transfer MFT) alle Dateiübertragungen unter einem richtliniengesteuerten System. Jede Datei, jede Benutzeraktion und jeder Übertragungsauftrag wurde protokolliert, wodurch klare Prüfpfade erstellt wurden, die nun aktiv die Einhaltung der HIPAA- und DSGVO-Vorschriften unterstützen. RBAC (rollenbasierte Zugriffskontrollen) und der Workflow „Supervisor Approval” schränkten den Kreis der Personen ein, die mit sensiblen Dateien interagieren durften, während die sichere, richtlinienbasierte Automatisierung den manuellen Aufwand reduzierte.
Auswirkungen auf den Betrieb und gewonnene Erkenntnisse
Die Zero-Day-Warnung stellte einen Wendepunkt dar. Das herkömmliche Single-Engine-Scanning wurde durch den Multiscanning von OPSWATersetzt, die Sandbox-Prüfung wurde für alle Dateiübertragungen von Drittanbietern obligatorisch, und die Ausbruchsicherung wurde standardmäßig aktiviert. Die Sicherheitsteams erhielten Einblick in jeden Datenaustausch, die Compliance-Beauftragten erhielten prüfbare Protokolle, und die Patientendaten wurden im gesamten Ökosystem besser geschützt.
Vor allem aber lernte das Unternehmen eine wichtige Lektion: Selbst wohlmeinende Partner können gefährliche Dateien liefern, ohne es zu wissen. Durch die Einbettung von Sandboxing und tiefgreifender Dateiprüfung direkt in den Übertragungsworkflow ging der Anbieter von reaktiver Sicherheit zu proaktiver Prävention über.
Schutz der klinischen Arbeitsabläufe durch Secure Dateiübertragungen
Mit MetaDefender Managed File Transfer MFT) und Sandbox die Verteidigungslinie für Dateiübertragungen bilden, evaluiert der Gesundheitsdienstleister derzeit, wie er dasselbe mehrschichtige Sicherheitsmodell auf weitere Arbeitsabläufe ausweiten kann, darunter Web-Uploads und abteilungsübergreifender Datenaustausch. Das Ziel besteht nicht nur darin, die Compliance-Anforderungen zu erfüllen, sondern auch sicherzustellen, dass jede Datei, unabhängig von ihrer Herkunft, überprüft, sauber und sicher ist, bevor sie in die klinische Umgebung gelangt.
Die Lösung erhöhte nicht nur die Sicherheit des Dateiaustauschs, sondern ermöglichte es dem Krankenhaus auch, die richtlinienbasierte Weiterleitung von sicheren Dateiübertragungen zu automatisieren, um sicherzustellen, dass sensible Daten zuverlässig und pünktlich übertragen werden.
Im Gegensatz zu herkömmlichen Tools, die nur den Übertragungskanal schützen, sichert OPSWAT sowohl die Datei als auch den Datenfluss. Dieser Unterschied hat sich als entscheidend erwiesen und ist nun ein zentraler Bestandteil der langfristigen Cybersicherheitsstrategie des Anbieters.
Schützen Sie Ihre Dateien, bevor bösartige Inhalte Ihr Netzwerk erreichen. Wenden Sie sich noch heute an einen OPSWAT .
