Alles sicher, oder was? - Sandboxing

Seit jeher sind Unternehmen im Cyberraum den unterschiedlichsten Gefahren ausgesetzt. Spionage, Wirtschaftsbetrug und Ransomware-Angriffe zählen dabei zu den häufigsten Bedrohungen. Doch wie gelangen diese Akteure in Ihr Unternehmen?

Emotet, Agent Tesla, ZeuS. Diese drei der bekanntesten Malware-Familien haben eines gemeinsam, sie alle verwenden Phishing als eine zentrale Strategie für ihre Verbreitung. Häufig kommen dabei Social Engineering-Strategien, etwa in Form von Phishing oder Spear-Phishing zum Einsatz. Die „Schwachstelle Mensch“ ist also auch weiterhin ein beliebtes Angriffsziel, was sich auch im Hinblick auf aktuelle Studien, etwa der Bitkom, bestätigt.

Doch wie kann man sich und seine Beschäftigten vor solchen Attacken schützen? Dieser Blogbeitrag befasst sich mit einer der möglichen Vorgehensweisen, um entsprechende Gefahren wirksam zu mitigieren: sogenanntes Sandboxing. Doch hierzu müssen verschiedene Fragen beantwortet werden.

Laut dem National Institute of Standards and Technology (NIST) handelt es sich um ein IT-System, das es erlaubt, dass nicht vertrauenswürdige Anwendungen in stark kontrollierten Umgebungen ausgeführt werden können. Wesentlich werden dabei die Berechtigungen des Betriebssystems (häufig virtualisiert) und der Anwendung weiterhin eingeschränkt. Der Sandbox ist es etwa meist untersagt, auf das darunterliegende Dateisystem oder das Netzwerk zuzugreifen.

Grundsätzlich ist die Funktionsweise einer klassischen Sandbox identisch mit der einer E-Mail-Sandbox. Zum Einsatz kommt häufig dedizierte, speziell gehärtete Hardware, die Malware zusätzlich daran hindern soll, das physische System der Sandbox zu übernehmen und so einen Zugriff auf das Netzwerk zu erhalten.

Statt E-Mails nun direkt an die Postfächer der Clients zu senden, findet häufig zunächst eine Umleitung statt. Mails und Anhänge werden sowohl statisch (u.a. Signatur-Prüfung), in vielen Fällen aber auch unterstützt durch Machine-Learning-Algorithmen dynamisch geprüft. Anhänge werden etwa, je nach Produkt, in einer Sandbox entpackt und etwaige darin befindliche Software installiert. Weiterhin kann etwa auch der Systembetrieb beschleunigt emuliert werden, um Veränderungen durch die Software in wenigen Momenten zu beobachten.

Ziel ist es so u.a. Malware zu identifizieren, die zeitverzögert agiert und beispielsweise erst außerhalb der Geschäftszeiten mit der Verschlüsselung beginnt. Danach erfolgt die Entscheidung anhand verschiedener Kriterien. Wird eine Malware entdeckt, erfolgt eine Meldung an die IT-Sicherheitsabteilung. Wird keine Schadware erkannt, so gelangt die E-Mail in das Postfach des angegebenen Nutzers.

Grundsätzlich gilt: Eine Sandbox ist kein perfektes Sicherheitstool und erkennt nicht jede schadhafte Mail. Somit ersetzt sie kein gut geschultes Personal. Reguläre Phishing-Schulungen und sonstige Security-Trainings sind weiterhin notwendig, um Ihr Unternehmen abzusichern.

Neben den Kosten für Anschaffung, Wartung und Betrieb müssen zudem weitere Faktoren, wie etwa Zeitverzögerungen durch die Überprüfung oder das allgemeine Mailaufkommen, beachtet werden.

Verfasser: Robin Enste