Warum Dateiübertragungen ein Hauptangriffspunkt für Malware sind

Das Risiko durch Dateiübertragungs-Malware bezeichnet die Wahrscheinlichkeit, dass schädliche oder für Angriffe missbrauchte Inhalte im Rahmen des routinemäßigen Dateiaustauschs in eine vertrauenswürdige Umgebung gelangen und dort ausgeführt werden, sich seitlich ausbreiten oder Daten kompromittieren. Dieses Risiko steigt, wenn eingehende Dateien Vertrauensgrenzen ohne Überprüfung oder ohne durchgesetzte Freigabekontrollen überschreiten.

Zu den betrieblichen Auswirkungen zählen die Vorbereitung von Ransomware-Angriffen, der Diebstahl von Anmeldedaten durch die Bereitstellung von Loadern, die Kompromittierung der Lieferkette über vertrauenswürdige Partner sowie die zoneübergreifende Kontamination zwischen segmentierten Netzwerken. IT-Betriebsteams müssen eingehende Dateien so lange als nicht vertrauenswürdig behandeln, bis eine Überprüfung, Bereinigung und Überprüfung der Richtlinien stattgefunden hat.

Dateiübertragungen umgehen häufig die Kontrollmechanismen zur Erkennung und Reaktion auf Endgeräten, da Dateien ohne Überprüfung durch den Benutzer direkt auf Servern, in Netzwerkfreigaben oder in automatisierten Workflows landen. Bei der Automatisierung von Dateiübertragungen werden Inhalte über Dienstkonten, geplante Aufgaben und Integrationen weitergeleitet, die keine Aufforderungen oder Überprüfungen auf Benutzerebene auslösen.

Batch-Erfassungspipelines, Drop-Ordner und API Integrationen schaffen grenzüberschreitende Arbeitsabläufe, bei denen Inhalte unmittelbar nach ihrem Eintreffen verarbeitet werden. Ohne Inline-Prüfung und Kontrollen von der Quarantäne bis zur Freigabe können sich schädliche Dateien verbreiten, bevor sie entdeckt werden.

Ein Dateiübertragungsweg birgt ein hohes Risiko, wenn eine Datei eine Vertrauensgrenze überschreitet, auf einem privilegierten System landet, sensible Dateitypen enthält und keine Inline-Prüfung mit Quarantänemaßnahmen erfolgt. Ein Dateiübertragungsweg birgt ein geringeres Risiko, wenn vor der Zustellung eine Prüfung, eine Bereinigung, Verzeichnisse mit minimalen Berechtigungen und deterministische Richtlinienergebnisse durchgesetzt werden.

Bei der Risikobewertung sollten folgende Aspekte berücksichtigt werden:

• Vertrauensgrenze überschritten (von extern nach intern, von IT zu OT, von DMZ zum Kernnetz)
• Zielempfindlichkeit und Systemberechtigungen
• Schwankungen bei Dateitypen und aktive Inhalte
• Prüfung vor der Auslieferung und Freigabeverfahren

Angreifer nutzen häufig SFTP-, FTPS- und HTTPS-Upload-Portale, E-Mail-Anhänge, geteilte Links und Cloud-Synchronisationspfade, um dateibasierte Malware einzuschleusen. Diese Einfallstore für die Dateiübertragung genießen das Vertrauen des Unternehmens, da Anbieter, Partner und interne Teams dieselben Kanäle für den routinemäßigen Datenaustausch nutzen.

Durch die Ausnutzung vertrauenswürdiger Partner und die Automatisierung von Routineprozessen erscheinen schädliche Dateien als operativ unbedenklich. Angreifer bevorzugen Wege, die Vertrauensgrenzen überschreiten und die nachgelagerte Verarbeitung ohne Überprüfung auslösen.

Der SFTP-Dateiaustausch wird zu einem Übertragungsweg für Malware, wenn Anbieter oder automatisierte Integrationen Dateien ohne Inhaltsprüfung direkt in interne Verzeichnisse ablegen. Zu den Nutzungsmustern von SFTP gehören Dienstkonten, zeitgesteuerte Dateiübertragungen und die nachgelagerte Stapelverarbeitung.

Unzureichende Sicherheitsmaßnahmen wie eine zu große Anzahl von Zugangsdaten, die Wiederverwendung von Anmeldedaten, zu weitreichende Verzeichnisberechtigungen und das Fehlen einer Inline-Prüfung erhöhen das Sicherheitsrisiko. Secure garantiert nicht die Sicherheit der Dateien.

FTPS-Übertragungen werden zum Sicherheitsrisiko, wenn die verschlüsselte Übertragung fälschlicherweise mit der Sicherheit der Inhalte gleichgesetzt wird. FTPS schützt Daten während der Übertragung mithilfe von TLS, überprüft jedoch nicht den Inhalt der Dateien.

Zu den operativen Fallstricken zählen Zertifikatsabweichungen, veraltete Client-Konfigurationen und Firewall-Ausnahmen, bei denen die Konnektivität Vorrang vor der Überprüfung hat. Ohne Quarantäne und Freigabekontrollen gelangen unsichere Inhalte in vertrauenswürdige Arbeitsabläufe.

HTTPS-Upload-Portale bieten öffentlich zugängliche Schnittstellen für die Dateiübermittlung, wie beispielsweise Kundenportale, Ticketingsysteme und Onboarding-Formulare. HTTPS verschlüsselt zwar die Übertragung, macht jedoch bösartige Dateiinhalte nicht unschädlich. 

Web-Anwendungs-Firewalls konzentrieren sich eher auf Anfragemuster und die Validierung von Eingaben als auf eine gründliche Dateiprüfung. Durch die Inline-Dateiprüfung auf der Upload-Ebene wird verhindert, dass unsichere Dateien in den internen Speicher gelangen. 

Angreifer verstecken Malware in häufig übertragenen Dateiformaten, indem sie verschachtelte Archive, Makro-Missbrauch, Exploit-Ketten und Dateityp-Spoofing nutzen. Dateibasierte Malware umgeht oberflächliche Prüfungen, indem sie aktive Inhalte in legitime Geschäftsformate einbettet.

Bei der Ausarbeitung von Richtlinien muss davon ausgegangen werden, dass für alle eingehenden Dateien, die Vertrauensgrenzen überschreiten, eine inhaltsbasierte Erkennung erforderlich ist.

ZIP-Dateien und verschachtelte Archive machen ein einfaches Scannen durch tiefe Rekursion, Passwortschutz und nicht übereinstimmende Dateiendungen unmöglich. Durch die Rekursion der Archive werden ausführbare Inhalte mehrere Ebenen tief verborgen.

Die Kontrollen sollten Begrenzungen der Archivtiefe, Richtlinien zur Entpackung, Regeln für den Umgang mit passwortgeschützten Archiven sowie eine obligatorische Überprüfung vor der Freigabe durchsetzen.

Office-Dokumente mit Makros verbreitenRansomwareund Loader, indem sie bei der Interaktion mit dem Dokument eingebettete Skripte oder verknüpfte Objekte auslösen. Office-Dateiformate unterstützen aktive Inhalte, die im Benutzerkontext ausgeführt werden. 

Richtlinien sollten auf „Allowlist-First“-Kontrollen, Makrobeschränkungen sowie Content Disarm and Reconstruction setzen, um aktive Elemente zu entfernen und gleichzeitig die Benutzerfreundlichkeit zu gewährleisten. 

PDF-Dateien sind nicht automatisch sicher, da PDF-Dokumente Skripte, Links und Schadcode enthalten können, die auf Schwachstellen in PDF-Readern abzielen. Angriffe über PDF-Dateien tarnen sich häufig als Rechnungen, Verträge oder Berichte. 

Eingehende PDF-Dateien, die Vertrauensgrenzen überschreiten, müssen überprüft und bereinigt werden, um aktive Inhalte zu entfernen und die Struktur zu validieren. 

SFTP, FTPS und HTTPS unterscheiden sich hinsichtlich der Verschlüsselungs- und Authentifizierungsmodelle für den Datenübertragungsweg, verringern jedoch nicht grundsätzlich das Risiko, das vom Dateiinhalt ausgeht. Secure schützt den Kommunikationskanal, nicht die übertragenen Daten.

Das Malware-Risiko bleibt bestehen, solange vor der Bereitstellung in vertrauenswürdigen Systemen keine Überprüfung, Bereinigung und Durchsetzung von Richtlinien erfolgt.

Secure gewährleistet die Vertraulichkeit und Integrität der Daten während der Übertragung, indem sie diese verschlüsselt und Zugangsdaten vor dem Abfangen schützt. Secure verringert das Risiko von Man-in-the-Middle-Angriffen und passiver Überwachung. 

Secure erkennt keine schädlichen Inhalte, Zero-Day-Exploits in Dateiparsern oder in Dateien eingebettete Richtlinienverstöße.

Verschlüsselte Übertragungen verringern die Transparenz auf Netzwerkebene, wenn keine Überprüfung stattfindet, bei der Klartext verfügbar ist. Netzwerküberwachungstools können verschlüsselte Nutzdaten ohne kontrollierte Beendigung nicht analysieren. 

Die Überprüfung sollte an Endpunkten, Gateways oder auf Ebenen der verwalteten Dateiübertragung erfolgen, wo Dateien vor ihrer Freigabe entschlüsselt, überprüft, bereinigt und erneut verschlüsselt werden. 

Eine bewährte Architektur zum Scannen aller eingehenden Dateien vor der Zustellung erfordert eine Inline-Prüfung sowie Workflows zur Quarantäne und Freigabe, die in die Dateiübertragungspfade integriert sind. Die Dateiprüfung muss als Punkt zur Durchsetzung von Richtlinien dienen und darf kein optionales Zusatzmodul sein.

IT-Betriebsteams sollten die Inspektionsabläufe auf die Platzierung in der DMZ, segmentierte Netzwerke und zonenübergreifende Übertragungen abstimmen.

Ein Workflow für die Freigabe nach der Quarantäne speichert Dateien zunächst in einem isolierten Speicherbereich, führt eine Überprüfung und Bereinigung durch, trifft eine Richtlinienentscheidung und gibt genehmigte Dateien an den vorgesehenen Zielort frei. 

Zu den Workflow-Phasen gehören Empfang, Quarantäne, Überprüfung, Bereinigung oder Auslösung, Freigabe oder Blockierung sowie Zustellung. Automatisierung, Wiederholungslogik und eine klare Fehlerbehandlung gewährleisten die Einhaltung der Service-Levels, ohne die Sicherheit zu vernachlässigen. 

Die Dateiprüfung in einer DMZ sollte erfolgen, bevor Dateien aus externen Netzwerken mit geringer Vertrauenswürdigkeit in interne Zonen mit hoher Vertrauenswürdigkeit gelangen. DMZ-basierte Plattformen für die verwaltete Dateiübertragung oder sichere Gateways fungieren dabei als kontrollierte Prüfebenen.

Vor dem Schreibzugriff auf interne Systeme muss eine Überprüfung erfolgen, um Entscheidungen bezüglich der Vertrauensgrenzen durchzusetzen.

Die direkte Bereitstellung in Freigaben und Anwendungen vergrößert den Angriffsbereich, da eingehende Dateien vor der Überprüfung ausgeführt oder weitergeleitet werden können. Das direkte Speichern auf internen NAS-Servern, in Drop-Ordnern oder in Anwendungsverzeichnissen erhöht das Sicherheitsrisiko.

Bei vermittelten Bereitstellungsmustern muss zunächst ein erfolgreiches Prüfungsergebnis vorliegen, bevor Schreibberechtigungen für interne Ziele erteilt werden.

Zu den Sicherheitsmaßnahmen, die das Risiko von Malware bei der Dateiübertragung über die Verschlüsselung hinaus verringern, gehören die Überprüfung des Dateityps, Mehrfachscans, CDR (Content Disarm and Reconstruction), Sandbox-Analysen und Maßnahmen zur Verhinderung von Datenverlusten. Die Verschlüsselung schützt den Datentransport, während Maßnahmen zur Inhaltssicherheit die Nutzdaten überprüfen und unschädlich machen.

Die Auswahl der Kontrollmaßnahmen sollte das Vertrauensniveau der Quelle, die Sensibilität des Ziels und die Volatilität des Dateityps widerspiegeln.

Durch Zulassungslisten für Dateitypen und Inhaltsüberprüfungen wird verhindert, dass ausführbare Dateien und risikoreiche Dateiformate in sensible Umgebungen gelangen. Richtlinien, die vorrangig auf Zulassungslisten setzen, sorgen für eine strenge Überprüfung von Dateiendungen und Inhaltstypen.

Ausnahmen in der Geschäftsabwicklung sollten nur vorübergehend gelten, überprüft und protokolliert werden, um dauerhafte Lücken in den Richtlinien zu vermeiden.

Multiscanning die Erkennung, indem mehrere Anti-Malware-Engines zur Analyse derselben Datei eingesetzt werden, wodurch die Schwachstellen einzelner Engines verringert werden. Das Konsens-Scanning erhöht die Zuverlässigkeit der Bewertungen bei Dateiübertragungen. 

Im Rahmen der betrieblichen Konzeption sollten Schwellenwerte für die Auswertung mehrerer Motoren, Verfahren zur Triage von Fehlalarmen sowie Eskalationsabläufe für strittige Ergebnisse festgelegt werden. 

Die Funktion „Content Disarm and Reconstruction“ entfernt aktive Inhalte aus Dokumenten und erstellt zur Bereitstellung sichere Versionen. „Content Disarm and Reconstruction“ verringert das Risiko von Zero-Day-Angriffen und Exploits, ohne die Nutzbarkeit der Dokumente zu beeinträchtigen. 

Der Austausch großer Dokumentenmengen profitiert von einer Bereinigung, wenn Geschäftsprozesse eine schnelle Bearbeitung bei geringem Ausführungsrisiko erfordern. 

Beim Sandboxing wird das Verhalten von Dateien in kontrollierten Umgebungen analysiert, um unbekannte oder gezielt eingesetzte Malware zu erkennen. Sandbox liefert Verhaltensindikatoren, die über statische Signaturen hinausgehen. 

Sandbox sowie Umgehungstechniken erfordern einen definierten Umgang mit verzögerten Freigaben, um das Serviceniveau aufrechtzuerhalten, ohne dass es zu einer unsicheren Freigabe kommt. 

Proactive DLP Richtlinien zur Datenklassifizierung für Dateien in Bewegung Proactive DLP , um den Verlust von personenbezogenen Daten (PII), geschützten Gesundheitsdaten (PHI), PCI-Daten oder anderen regulierten Daten zu verhindern. Proactive DLP die Steuerung der Dateiübertragung auf die gesetzlichen Anforderungen Proactive DLP . 

DLP-Richtlinien sollten auf den Datenaustausch mit Anbietern, regulierte Datensätze und grenzüberschreitende Datenübermittlungen abgestimmt sein, um deterministische Richtlinienergebnisse durchzusetzen. 

Um die Sicherheit von Dateiübertragungen über segmentierte Netzwerke und IT-OT-Grenzen hinweg zu gewährleisten, sind obligatorische Überprüfungen und Kontrollmaßnahmen an jeder Vertrauensgrenze erforderlich. Durch die Segmentierung steigt die Abhängigkeit von Dateiübertragungen als Ausnahmeweg zwischen den Zonen.

Kontrollen, Quarantäne und kontrollierte Freigabe verhindern eine Kontamination zwischen den Zonen und gewährleisten die Betriebssicherheit.

Dateien, die von einer Zone mit geringem Vertrauensgrad in eine Zone mit hohem Vertrauensgrad übertragen werden, erfordern eine ausdrückliche Überprüfung der Absenderidentität, der zulässigen Dateitypen, der Prüfungsergebnisse und der autorisierten Empfänger. In den Richtlinien für Vertrauensgrenzen muss festgelegt werden, wer Dateien senden darf, welche Dateien gesendet werden dürfen und wo sie gespeichert werden dürfen.

Verzeichnisse mit minimalen Berechtigungen und Kontrollen zur Überprüfung vor der Bereitstellung sorgen für die Einhaltung von Zugriffsgrenzen.

Beim Datenaustausch an der Schnittstelle zwischen IT und OT muss eine unkontrollierte bidirektionale Vernetzung oder die gemeinsame Nutzung von Verzeichnissen vermieden werden. Uneingeschränkte Freigaben schaffen dauerhafte Hintertüren zwischen den Netzwerken der Unternehmens-IT und der Betriebstechnik.

Kontrollierte Vermittlungsmuster, bei Bedarf einseitige Arbeitsabläufe und explizite Freigabeschritte gewährleisten die Trennung und ermöglichen gleichzeitig den erforderlichen Austausch.

Um nachweisen zu können, dass Dateiübertragungen überprüft wurden, ist eine umfassende Protokollierung der Überprüfungen, der Durchsetzung von Richtlinien und der Freigabeentscheidungen erforderlich. Die Nachweise müssen sowohl für die Prüfung im Rahmen von Audits als auch für die Reaktion auf Vorfälle herangezogen werden können.

Die Protokolle sollten eine deterministische Ausführung der Steuerung für jede Datei nachweisen, die eine Vertrauensgrenze überschreitet.

MFT zur Malware-Abwehr müssen Benutzer- oder Systemidentitäten, Quell- und Zielendpunkte, Zeitstempel, das verwendete Protokoll, Datei-Hashes wie SHA-256, Richtlinienentscheidungen und Prüfungsergebnisse enthalten. 

Umfassende Protokolle unterstützen Eindämmungsmaßnahmen und die forensische Untersuchung nach mutmaßlichen Vorfällen durch infizierte Dateien. 

Die Protokolle zu Scans und Bereinigungen sollten die Motorversionen, die Ergebnisse pro Motor, Maßnahmen zur Inhaltsbereinigung und -rekonstruktion, Sandbox-Indikatoren sowie die endgültige Behandlung enthalten. 

Reproduzierbare Aufzeichnungen und Protokollierungen mit Integritätsschutz stärken den Beweiswert bei Audits und Untersuchungen.

Eine Sicherheitscheckliste für den kontrollierten Dateitransfer im Austausch mit Lieferanten und in regulierten Branchen bietet einen auf die Architektur abgestimmten Ansatz zur Bewertung und Minderung des Risikos von Malware beim Dateitransfer. Die Checkliste sollte Richtlinien, Arbeitsabläufe, den Einsatz von Überprüfungen und die Erfassung von Nachweisen bewerten.

Kontrollen für den Dateiaustausch mit Lieferanten sollten die Einbindung von Partnern, die Identitätsprüfung, den zeitlich begrenzten Zugriff, die Schlüssel- und Zertifikatsverwaltung sowie Verzeichnisse mit minimalen Berechtigungen standardisieren. Die Arbeitsabläufe für Lieferanten müssen eine Quarantäne, eine Inline-Prüfung und eine kontrollierte Bereitstellung an interne Ziele vorsehen.

Eine konsequente Durchsetzung verringert das Risiko des Missbrauchs durch vertrauenswürdige Partner und der Umgehung von Automatisierungsmaßnahmen.

Zu den Maßnahmen, die die Verbreitung von Ransomware eindämmen, gehören das Blockieren risikoreicher Dateitypen, die Bereinigung eingehender Dokumente, die Isolierung von Zwischenablagen für eingehende Daten sowie die Einschränkung der Berechtigungen für Dienstkonten. Durch die Überwachung ungewöhnlicher Dateimengen oder wiederholter Richtlinienverstöße lassen sich Versuche, Daten in Zwischenablagen zu speichern, erkennen.

Eine isolierte Inszenierung und eine vermittelte Vermittlung verringern die Reichweite.

MetaDefender File Transfer™ ist die Managed-File-Transfer-Lösung (MFT) OPSWATfür den sicheren, richtlinienbasierten Dateiaustausch zwischen IT- und OT-Umgebungen. MetaDefender File Transfer™ integriert Inline-Dateiprüfung, Multiscanning, Deep CDR™-Technologie, Proactive DLP, KI-gestützte Sandbox-Analyse, Verschlüsselung und zentralisierte Governance direkt in den Übertragungsworkflow, um kontrollierte Freigabe, auditfähige Nachweise und grenzüberschreitenden Schutz zu gewährleisten.