Sandboxing (Attachment Sandboxing)

Sandboxing bezeichnet die kontrollierte Ausführung und Analyse verdächtiger Dateien oder Programme in einer isolierten Umgebung. Im E-Mail-Umfeld (Attachment Sandboxing) werden Anhänge geprüft, bevor sie an Empfänger ausgeliefert oder geöffnet werden.

Ziel ist, das Verhalten einer Datei kontrolliert zu beobachten und schädliche Aktionen frühzeitig zu erkennen: In der Sandbox wird die Datei „detoniert“, während Systemzugriffe, Netzwerkverbindungen und Prozessverhalten protokolliert werden. Das ist deshalb wirksam, weil moderne Malware klassische Signatur- und Regelprüfungen gezielt umgeht – verhaltensbasierte Analyse erkennt auch bislang unbekannte Schadfunktionen. Fortgeschrittene Schadsoftware versucht allerdings, Sandbox-Umgebungen zu erkennen und sich unauffällig zu verhalten; gute Lösungen tarnen ihre Analyseumgebung entsprechend.

Für Unternehmen ist Sandboxing ein wichtiger Schutzbaustein gegen manipulierte Dokumente, versteckte Schadfunktionen in Office- oder Archivdateien und Angriffe, die einen Zero-Day Exploit ausnutzen – also Lücken, für die noch keine Signaturen existieren.