Anti-Virenprogramme sind so alt wie das Internet selbst. Doch um im Wettrennen gegen Schadsoftware, Trojaner, Malware und Co. erfolgreich zu sein, ist stetige Weiterentwicklung erforderlich. In der 16. Folge unserer Reihe „1×1 der IT-Sicherheit“ widmen wir uns einer der neueren Entwicklungen im Bereich der Anti-Virenprogramme: Sandboxing. Vermeintliche Malware lässt sich so in einem isolierten, von der Systemumgebung abgeschotteten Bereich ausführen, testen, analysieren – und gegebenenfalls unschädlich machen, bevor sie in der produktiven Systemumgebung ausgeführt wird.
Jeden Tag entstehen mehr als 200.000 neue Formen von Malware – also Computerviren aller Art wie Ransomware oder Trojaner. Das stellt den herkömmlichen Anti-Virenschutz vor eine echte Herausforderung: Wie sollen die Programme Gefahren erkennen und blockieren, die neuartig und ihnen fremd sind? Mit monatlichen, statischen Updates der Virenprogramme, wie es früher einmal üblich war, geht das heutzutage nicht mehr.
Lange Zeit funktionierte der Schutz vor Computerviren auf Endgeräten vor allem so, dass die Schutzprogramme Malware anhand ihrer sogenannten Signatur erkennen konnten: Landet eine E-Mail mit Anhang im Postfach, scannt ein Anti-Virenprogramm die angehängte Datei und überprüft, ob es Übereinstimmungen mit einer großen Liste bekannter Virensignaturen gibt. Ist der Anhang unauffällig, können Nutzer*innen ihn sorglos öffnen.
Warum Signaturerkennung als Antiviren-Schutz weniger effektiv geworden ist
Die Erfolgsrate dieser Methode ist allerdings davon abhängig, wie vollständig und aktuell die Liste der bekannten Malware ist. Doch der technische Fortschritt ist schneller als es jedes Update über gefährliche Signaturen sein könnte: Immer mehr Cyberkriminelle haben Zugang zu Technologien und Anleitungen, mit denen Schadsoftware schneller und einfacher programmiert sowie verteilt werden kann. Kein Anti-Virenprogramm kann es schaffen, jeden Tag mehr als 200.000 Malware-Programme zu identifizieren und in der Signaturen-Liste zu hinterlegen.
Bei unserem Virenschutz Microsoft Defender Antivirus setzen wir deshalb seit einigen Jahren ergänzend zur Signaturerkennung auf das sogenannte Sandbox-Verfahren. Die Windows-Sandbox bietet eine einfache Desktopumgebung, in der Anwendungen isoliert ausgeführt werden können. Software, die in der Windows-Sandbox-Umgebung installiert ist, bleibt in der sicheren Umgebung und wird separat vom Rest des Computers ausgeführt. So kann beispielweise Software getestet und analysiert sowie die Auswirkungen von Malware untersucht werden, während das Betriebssystem und alle anderen Prozesse auf dem Computer geschützt sind.
Das Sandbox-Prinzip
Eine Sandbox ist temporär: Bei jedem Start wird automatisch eine brandneue Instanz des sogenannten Sandkastens abgerufen – wie ein gerade aufgesetzter Rechner. Wird sie geschlossen, werden Software und Dateien sowie der Status gelöscht. Dazu nutzt die Windows-Sandbox eine neue Container-Technologie. Der Computer greift beim Starten der Sandbox nicht auf eine separate Kopie von Windows zu. Stattdessen nutzt er eine Kopie von Windows, die bereits installiert ist.
Da die meisten Betriebssystemdateien unveränderlich sind, können diese auch für die Windows-Sandbox freigegeben werden. Betriebssystemdateien, die hingegen verändert werden können, werden nicht freigegeben – sondern sind als unberührte Kopie verfügbar. So kann die Windows-Sandbox eine vollständige Windows-Installation starten, ohne eine zusätzliche Kopie von Windows herunterladen oder speichern zu müssen. In Windows 10 Pro und Windows 10 Enterprise ist die Windows-Sandbox bereits enthalten, hier muss keine zusätzliche Anwendung installiert werden.
Umfassender Schutz durch die Kombination unterschiedlicher Tools
Die Sandbox ermöglicht es, Programme abgeschirmt zu verwenden – und den Computer zu schützen. Doch kein Sicherheitsverfahren bietet 100-prozentigen Schutz, auch Sandbox-Verfahren können überlistet werden. Es ist die Kombination verschiedener Sicherheitstools sowie ein gutes Gespür für das eigene Verhalten, das den größten Schutz bietet. Mit unseren Sicherheitslösungen wie dem Microsoft Defender for Endpoints unterstützen wir Unternehmen und Einzelpersonen dabei, sich umfassend und intelligent zu schützen – nicht nur unter Windows. So steht unsere Endpunkt-Sicherheitsplattform auch für Mac, Linux-Server und Android zur Verfügung.
Weitere Beiträge der Serie
Alle Beiträge unserer Reihe „Das 1×1 der IT-Sicherheit“ gibt es hier.
Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
@HerrStratos