{"id":28793,"date":"2020-09-10T14:36:30","date_gmt":"2020-09-10T12:36:30","guid":{"rendered":"https:\/\/www.prosoft.de\/blog\/?p=28793"},"modified":"2025-09-25T12:36:07","modified_gmt":"2025-09-25T10:36:07","slug":"warum-sandboxing-nicht-mehr-ausreicht","status":"publish","type":"post","link":"https:\/\/www.prosoft.de\/blog\/warum-sandboxing-nicht-mehr-ausreicht\/","title":{"rendered":"Gef\u00e4hrliche Sandkasten-Spiele: Warum Sandboxing nicht mehr ausreicht"},"content":{"rendered":"

[et_pb_section fb_built=“1″ specialty=“on“ custom_css_main_1=“max-width:15%;“ disabled_on=“off|off|“ _builder_version=“4.16″ module_alignment=“center“ custom_padding=“2px|0px|0|0px|false|false“ global_colors_info=“{}“][et_pb_column type=“1_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][\/et_pb_column][et_pb_column type=“3_4″ specialty_columns=“3″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_row_inner admin_label=“Zeile“ _builder_version=“4.16″ custom_padding=“23px|0px|4px|0px|false|false“ locked=“off“ global_colors_info=“{}“][et_pb_column_inner saved_specialty_column_type=“3_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_post_title title=“off“ meta=“off“ featured_placement=“above“ admin_label=“Beitragsbild“ _builder_version=“4.16″ locked=“off“ global_colors_info=“{}“][\/et_pb_post_title][et_pb_post_title meta=“off“ featured_image=“off“ admin_label=“Beitragstitel“ _builder_version=“4.16″ custom_margin=“20px||“ locked=“off“ global_colors_info=“{}“][\/et_pb_post_title][\/et_pb_column_inner][\/et_pb_row_inner][\/et_pb_column][\/et_pb_section][et_pb_section fb_built=“1″ specialty=“on“ custom_css_main_1=“max-width:15%;“ disabled_on=“off|off|“ _builder_version=“4.16″ module_alignment=“center“ custom_padding=“0|0px|0|0px|false|false“ global_colors_info=“{}“][et_pb_column type=“1_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_text admin_label=“Tag“ _builder_version=“4.16″ _dynamic_attributes=“content“ custom_padding=“||0px“ locked=“off“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9kYXRlIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIuIiwiZGF0ZV9mb3JtYXQiOiJjdXN0b20iLCJjdXN0b21fZGF0ZV9mb3JtYXQiOiJkIn19@[\/et_pb_text][et_pb_text admin_label=“Monat“ _builder_version=“4.16″ _dynamic_attributes=“content“ custom_margin=“-5px||2px“ custom_padding=“||0px“ locked=“on“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9kYXRlIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIiLCJkYXRlX2Zvcm1hdCI6ImN1c3RvbSIsImN1c3RvbV9kYXRlX2Zvcm1hdCI6Ik0ifX0=@[\/et_pb_text][et_pb_divider color=“#939393″ divider_weight=“5px“ _builder_version=“4.16″ max_width=“25px“ height=“0px“ custom_margin=“0px||“ locked=“on“ global_colors_info=“{}“][\/et_pb_divider][et_pb_text admin_label=“Jahr“ _builder_version=“4.16″ _dynamic_attributes=“content“ text_font_size=“11px“ custom_margin=“0px||“ locked=“on“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9kYXRlIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIiLCJkYXRlX2Zvcm1hdCI6ImN1c3RvbSIsImN1c3RvbV9kYXRlX2Zvcm1hdCI6IlkifX0=@[\/et_pb_text][et_pb_text admin_label=“Schlagw\u00f6rter“ _builder_version=“4.16″ _dynamic_attributes=“content“ text_font=“|300|on||||||“ text_text_color=“#000000″ text_font_size=“12px“ text_line_height=“1.4em“ custom_margin=“10px||“ custom_padding=“14px||“ border_width_top=“1px“ border_color_top=“#939393″ border_style_top=“dotted“ saved_tabs=“all“ locked=“on“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF90YWdzIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIiLCJsaW5rX3RvX3Rlcm1fcGFnZSI6Im9mZiIsInNlcGFyYXRvciI6IiwgIiwiY2F0ZWdvcnlfdHlwZSI6InBvc3RfdGFnIn19@[\/et_pb_text][\/et_pb_column][et_pb_column type=“3_4″ specialty_columns=“3″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_row_inner column_structure=“undefined“ admin_label=“Zeile“ _builder_version=“4.16″ custom_padding=“23px|0px|32px|0px|false|false“ global_colors_info=“{}“][et_pb_column_inner type=“undefined“ saved_specialty_column_type=“3_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_text admin_label=“Introtext“ _builder_version=“4.27.4″ text_font=“||on||||||“ custom_margin=“10px||25px“ custom_padding=“5px||5px“ hover_enabled=“0″ z_index_tablet=“500″ text_text_shadow_horizontal_length_tablet=“0px“ text_text_shadow_vertical_length_tablet=“0px“ text_text_shadow_blur_strength_tablet=“1px“ link_text_shadow_horizontal_length_tablet=“0px“ link_text_shadow_vertical_length_tablet=“0px“ link_text_shadow_blur_strength_tablet=“1px“ ul_text_shadow_horizontal_length_tablet=“0px“ ul_text_shadow_vertical_length_tablet=“0px“ ul_text_shadow_blur_strength_tablet=“1px“ ol_text_shadow_horizontal_length_tablet=“0px“ ol_text_shadow_vertical_length_tablet=“0px“ ol_text_shadow_blur_strength_tablet=“1px“ quote_text_shadow_horizontal_length_tablet=“0px“ quote_text_shadow_vertical_length_tablet=“0px“ quote_text_shadow_blur_strength_tablet=“1px“ header_text_shadow_horizontal_length_tablet=“0px“ header_text_shadow_vertical_length_tablet=“0px“ header_text_shadow_blur_strength_tablet=“1px“ header_2_text_shadow_horizontal_length_tablet=“0px“ header_2_text_shadow_vertical_length_tablet=“0px“ header_2_text_shadow_blur_strength_tablet=“1px“ header_3_text_shadow_horizontal_length_tablet=“0px“ header_3_text_shadow_vertical_length_tablet=“0px“ header_3_text_shadow_blur_strength_tablet=“1px“ header_4_text_shadow_horizontal_length_tablet=“0px“ header_4_text_shadow_vertical_length_tablet=“0px“ header_4_text_shadow_blur_strength_tablet=“1px“ header_5_text_shadow_horizontal_length_tablet=“0px“ header_5_text_shadow_vertical_length_tablet=“0px“ header_5_text_shadow_blur_strength_tablet=“1px“ header_6_text_shadow_horizontal_length_tablet=“0px“ header_6_text_shadow_vertical_length_tablet=“0px“ header_6_text_shadow_blur_strength_tablet=“1px“ border_width_top=“1px“ border_color_top=“#939393″ border_width_bottom=“1px“ border_color_bottom=“#939393″ border_width_top_tablet=“1px“ border_width_top_phone=“1px“ border_width_bottom_tablet=“1px“ border_width_bottom_phone=“1px“ box_shadow_horizontal_tablet=“0px“ box_shadow_vertical_tablet=“0px“ box_shadow_blur_tablet=“40px“ box_shadow_spread_tablet=“0px“ locked=“off“ global_colors_info=“{}“ sticky_enabled=“0″]<\/p>\n

Per Sandboxing werden potenziell gef\u00e4hrliche Dateien in einer speziellen, abgeschotteten Umgebung gepr\u00fcft. Doch Hacker und Cyber-Kriminelle haben sich jetzt darauf eingestellt und neue clevere Angriffsmethoden entwickelt.<\/strong><\/p>\n

[\/et_pb_text][et_pb_text admin_label=“Sandbox“ _builder_version=“4.27.4″ _module_preset=“default“ hover_enabled=“0″ global_colors_info=“{}“ sticky_enabled=“0″]<\/p>\n

Sandboxing galt vor einiger Zeit noch als einer der K\u00f6nigswege in der IT-Sicherheit. Die Idee dahinter ist grunds\u00e4tzlich auch gut: Potenziell gef\u00e4hrliche Daten, Dokumente oder Anwendungen werden in einer speziellen Umgebung \u00fcberpr\u00fcft, bevor sie \u00fcberhaupt das eigentliche Netzwerk und die Systemumgebung eines Unternehmens oder einer Organisation erreichen. Die jeweilige Datei \u201edenkt\u201c also, sie bef\u00e4nde sich bereits auf dem jeweiligen Endsystem \u2013 und es kann gefahrlos beobachtet werden, wie sie sich beim \u00d6ffnen oder Ausf\u00fchren verh\u00e4lt.<\/p>\n

Soweit, so gut. Doch der Ruf des Sandboxings hat deutliche Risse bekommen. Man k\u00f6nnte sogar sagen, die Sandkasten-Liebe ist erkaltet. Das Problem: Auch Malware wird bekannterma\u00dfen kontinuierlich weiterentwickelt und verfeinert. Und immer h\u00e4ufiger f\u00fchrt dies dazu, dass Sandboxing keine echte H\u00fcrde mehr f\u00fcr Trojaner, Viren oder sonstigen Schadcode darstellt.<\/p>\n

Die Tricks der Hacker sind vielf\u00e4ltig<\/h2>\n

Die Vorgehensweise der Cyber-Kriminellen, die wahre Meister im Tarnen, T\u00e4uschen und Tricksen sind, ist dabei unterschiedlich. Ein Weg ist beispielsweise, Malware so aufzuteilen beziehungsweise zu fragmentieren, dass mehrere Pakete entstehen, die jedes f\u00fcr sich ungef\u00e4hrlich erscheinen. Diese werden durch die Sandbox \u201egeschleust\u201c, ohne dort aufzufallen, und erst anschlie\u00dfend im Realnetzwerk wieder zusammengef\u00fcgt und ausgef\u00fchrt.<\/p>\n

[\/et_pb_text][et_pb_image src=“https:\/\/www.prosoft.de\/blog\/wp-content\/uploads\/2020\/09\/sandhacker.jpg“ alt=“Ursachen von Pannen beim Datentransfer“ title_text=“sandhacker“ _builder_version=“4.16″ _module_preset=“default“ width=“69%“ module_alignment=“center“ custom_margin=“40px||40px||false|false“ custom_padding=“10px||10px||false|false“ global_colors_info=“{}“][\/et_pb_image][et_pb_text admin_label=“Technologien “ _builder_version=“4.27.4″ hover_enabled=“0″ global_colors_info=“{}“ sticky_enabled=“0″]<\/p>\n

 <\/p>\n

Malware kann jetzt erkennen, dass sie innerhalb einer Sandbox ausgef\u00fchrt wird<\/h3>\n

Eine andere M\u00f6glichkeit, der Enttarnung in der Sandbox zu entgehen: Immer intelligentere Malware erkennt gewisserma\u00dfen, ob sie sich gerade in einer Sandbox-Umgebung befindet \u2013 und verh\u00e4lt sich dann unauff\u00e4llig. Dies reicht so weit, dass etwa anhand bestimmter Merkmale gepr\u00fcft wird, ob es sich m\u00f6glicherweise um eine Sandbox handelt.<\/p>\n

\u201eSchlafmodus\u201c sch\u00fctzt vor Entdeckung<\/h3>\n

In eine \u00e4hnliche Richtung zielt eine verz\u00f6gerte Ausf\u00fchrung der Malware ab: Die Schadsoftware geht f\u00fcr einen gewissen Zeitraum, der typischerweise f\u00fcr eine Sandbox-Analyse anf\u00e4llt, in eine Art \u201eSchlafmodus\u201c und \u201eerwacht\u201c erst wieder, wenn die Chancen relativ gut stehen, die Pr\u00fcfung bereits unentdeckt passiert zu haben. Und auch der Einsatz passwortverschl\u00fcsselter Dateianh\u00e4nge, die in der Sandbox selbst nicht automatisiert ge\u00f6ffnet werden k\u00f6nnen, ist eine M\u00f6glichkeit \u2013 eine Methode, die in der Praxis von Kriminellen haupts\u00e4chlich bei Phishing E-Mails verwendet wird.<\/p>\n

Mehr Sicherheit durch Datei-Desinfektion<\/h3>\n

Auch wenn Sandboxing<\/strong> etwa zur Abwehr von Zero-Day-Angriffen weiterhin seine Berechtigung hat: Statt prim\u00e4r darauf zu setzen, m\u00fcssen sich Unternehmen und Organisationen insgesamt mit einer vielschichtigen Gefahrenabwehr auseinandersetzen. Ein Weg, von den Abwehr- und Filter-Technologien verschiedener Hersteller gleichzeitig zu profitieren, ist dabei der Einsatz einer sogenannten Datei-Desinfektion<\/a>. Das Prinzip dahinter: Gef\u00e4hrliche Dateitypen mit hohem Risikopotential werden in harmlose Dateitypen umgewandelt. Damit werden auch noch unbekannte Viren Signaturen, die beispielsweise Zero-Day Attacken so gef\u00e4hrlich machen, erkannt und zuverl\u00e4ssig desinfiziert. Diese L\u00f6sung kann stand-alone oder zus\u00e4tzlich in Kombination mit einem Anti-Malware-Multiscanner kombiniert werden. Dieser erzeugt ein besonders engmaschiges Sicherheitsnetz \u2013 ein Virus oder ein Trojaner, der von einem Scanner m\u00f6glicherweise (noch) nicht erkannt wird und deshalb durchrutschen w\u00fcrde, wird vom zweiten oder dritten Scanner zuverl\u00e4ssig detektiert. Die Anti-Malware Multiscanner<\/a> L\u00f6sung des Anbieters OPSWAT<\/a> beispielsweise erm\u00f6glicht hier den Einsatz von bis zu 35 Anti-Viren-Scannern parallel.<\/p>\n

[\/et_pb_text][\/et_pb_column_inner][\/et_pb_row_inner][\/et_pb_column][\/et_pb_section][et_pb_section fb_built=“1″ specialty=“on“ custom_css_main_1=“max-width:15%“ disabled_on=“off|off|off“ _builder_version=“4.16″ custom_padding=“0|0px|0|0px|false|false“ custom_css_main_element=“background-color: #efefef“ global_colors_info=“{}“][et_pb_column type=“1_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_image src=“https:\/\/blog.prosoft.de\/wp-content\/uploads\/2018\/12\/fazit.svg“ align_tablet=“center“ align_phone=““ align_last_edited=“on|desktop“ disabled_on=“on|on|“ admin_label=“Bild Fazit“ _builder_version=“4.16″ max_width=“35%“ module_alignment=“right“ saved_tabs=“all“ locked=“off“ global_colors_info=“{}“][\/et_pb_image][\/et_pb_column][et_pb_column type=“3_4″ specialty_columns=“3″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_row_inner column_structure=“undefined“ admin_label=“Zeile“ _builder_version=“4.16″ global_colors_info=“{}“][et_pb_column_inner type=“undefined“ saved_specialty_column_type=“3_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_text admin_label=“Text FAZIT“ _builder_version=“4.27.4″ z_index_tablet=“500″ box_shadow_horizontal_tablet=“0px“ box_shadow_vertical_tablet=“0px“ box_shadow_blur_tablet=“40px“ box_shadow_spread_tablet=“0px“ global_colors_info=“{}“]<\/p>\n

Fazit: <\/strong>Der Blick auf das Thema Sandboxing verdeutlicht einen wichtigen Aspekt innerhalb der IT-Security einmal mehr: Man sollte sich bei der Malware-Abwehr nach M\u00f6glichkeit nie auf eine einzige Methode verlassen. Denn zu vielf\u00e4ltig und letztlich auch zu clever sind mittlerweile die verwendeten Techniken und die Methoden, die hinter der Verbreitung von Malware stehen. Mit einer Multiscanning-L\u00f6sung<\/a> und Datei-Desinfektion<\/a> k\u00f6nnen Unternehmen, Organisationen und Beh\u00f6rden deshalb f\u00fcr ein deutlich h\u00f6heres Sicherheitsniveau sorgen. Denn dank mehrerer Scan-Engines wird es selbst f\u00fcr komplexe Malware irgendwann schwierig bis nahezu unm\u00f6glich, doch noch irgendwo ein Schlupfloch zu finden.<\/p>\n

Erkennungsraten gr\u00f6\u00dfer 99,7 %, die nur durch den parallelen Einsatz von \u00fcber 20 AV-Engines \u00fcberhaupt m\u00f6glich sind, bieten noch keine 100 %-ige Sicherheit. In Kombination mit Datei-Desinfektion werden auch Zero Day Attacken und die neuesten Malware-Technologien zuverl\u00e4ssig gestoppt.<\/p>\n

Inzwischen hat der Hersteller OPSWAT ebenfalls eine eigene Sandbox entwickelt und nach eigener Aussage die Schwachstellen in traditionellen Sandboxen umgangen. OPSWAT Sandbox<\/a><\/p>\n

 <\/p>\n

[\/et_pb_text][\/et_pb_column_inner][\/et_pb_row_inner][\/et_pb_column][\/et_pb_section][et_pb_section fb_built=“1″ admin_label=“Autor und Beitragsnavi“ _builder_version=“4.16″ custom_padding=“0|0px|4px|0px|false|false“ global_module=“2554″ saved_tabs=“all“ locked=“off“ collapsed=“off“ global_colors_info=“{}“][et_pb_row _builder_version=“4.16″ background_size=“initial“ background_position=“top_left“ background_repeat=“repeat“ max_width=“1080px“ custom_padding=“24px|0px|35px|0px|false|false“ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_image src=“https:\/\/www.prosoft.de\/blog\/wp-content\/uploads\/2019\/02\/Robert-Korherr-Geschaeftsfuehrer-ProSoft-GmbH.png“ alt=“Robert Korherr“ title_text=“Robert-Korherr-Geschaeftsfuehrer-ProSoft-GmbH“ align=“center“ align_tablet=“center“ align_phone=““ align_last_edited=“on|desktop“ admin_label=“Bild RK“ _builder_version=“4.17.6″ z_index_tablet=“500″ custom_css_main_element=“max-width:100px;;“ global_colors_info=“{}“][\/et_pb_image][et_pb_text admin_label=“Text Robert Korherr“ _builder_version=“4.17.6″ text_orientation=“center“ z_index_tablet=“500″ global_colors_info=“{}“]<\/p>\n

Robert Korherr<\/strong><\/em><\/a><\/p>\n

[\/et_pb_text][et_pb_text admin_label=“Gesch\u00e4ftsf\u00fchrer ProSoft GmbH“ _builder_version=“4.17.6″ text_font_size=“12px“ text_line_height=“1.2em“ text_orientation=“center“ custom_margin=“-10px||“ global_colors_info=“{}“]<\/p>\n

Gesch\u00e4ftsf\u00fchrer ProSoft GmbH<\/p>\n

[\/et_pb_text][et_pb_divider color=“#009ee2″ divider_weight=“5px“ _builder_version=“4.16″ max_width=“20%“ module_alignment=“center“ global_colors_info=“{}“][\/et_pb_divider][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=“4.27.2″ _module_preset=“default“ background_color=“#FFFFFF“ width=“100%“ max_width=“100%“ global_module=“48760″ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.27.2″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text admin_label=“Das k\u00f6nnte Sie auch interessieren:“ _builder_version=“4.27.2″ _module_preset=“default“ text_text_color=“#FFFFFF“ text_font_size=“32px“ max_width=“960px“ module_alignment=“center“ custom_margin=“||32px||false|false“ global_colors_info=“{}“]<\/p>\n

Das k\u00f6nnte Sie auch interessieren:<\/h2>\n

[\/et_pb_text][et_pb_blog fullwidth=“off“ include_categories=“current“ meta_date=“j. M. y“ use_manual_excerpt=“off“ excerpt_length=“100″ show_author=“off“ show_categories=“off“ show_excerpt=“off“ admin_label=“Kategorie-Blog“ _builder_version=“4.27.2″ _module_preset=“default“ width=“80%“ max_width=“960px“ max_width_tablet=“80%“ max_width_phone=“80%“ max_width_last_edited=“on|phone“ module_alignment=“center“ global_colors_info=“{}“][\/et_pb_blog][\/et_pb_column][\/et_pb_row][\/et_pb_section][et_pb_section fb_built=“1″ disabled_on=“|on|off“ admin_label=“Section Newsletter Anmeldung“ module_id=“newsletter“ _builder_version=“4.16″ background_color=“#002b54″ custom_padding=“0|0px|0|0px|false|false“ global_module=“433″ collapsed=“off“ global_colors_info=“{}“][et_pb_row _builder_version=“4.16″ max_width=“1080px“ custom_padding=“24px|0px|0|0px|false|false“ animation_direction=“left“ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_image src=“https:\/\/www.prosoft.de\/blog\/wp-content\/uploads\/2019\/02\/pro_blog_newsletter-2.svg“ align=“center“ align_tablet=“center“ align_phone=““ align_last_edited=“on|desktop“ admin_label=“Bild Icon Newsletter“ _builder_version=“4.16″ max_width=“150px“ animation_style=“slide“ animation_direction=“top“ global_colors_info=“{}“][\/et_pb_image][et_pb_text admin_label=“Anmeldeformular Newsletter“ _builder_version=“4.27.2″ text_font_size=“12px“ background_color=“RGBA(255,255,255,0)“ text_orientation=“center“ background_layout=“dark“ custom_margin=“0px||25px||false|false“ animation_direction=“bottom“ dsm_modules_custom_attribute_on_off=“on“ dsm_modules_custom_attribute_add=“css“ dsm_modules_custom_attribute_css_selector=“rapidmail-form“ dsm_custom_attributes_options=“%91{%22value%22:%22%22,%22checked%22:0,%22dragID%22:0}%93″ global_colors_info=“{}“]<\/p>\n