Eine Sandbox ist keine Antivirus-Lösung
Automatisierte Sandboxen können verdächtige Aktivitäten analysieren, sind aber kein Ersatz für Antivirus-Software. Verantwortliche müssen die Unterschiede bei der Funktionsweise und deren Einsatz für IT-Sicherheitssysteme verstehen, um Fehlinterpretationen zu vermeiden.
In der Welt der IT-Sicherheit gibt es viele Werkzeuge, die zum Schutz von Netzwerken und Systemen verwendet werden. Eines davon sind Sandboxen, die oft zur Analyse potenziell gefährlicher Software zum Einsatz kommen. Sie sind jedoch nicht mit traditionellen Antivirus-Programmen gleichzusetzen. Auch wenn beide Systeme der Sicherheit dienen, gibt es wichtige Unterschiede, die über Erfolg und Misserfolg einer Sicherheitsstrategie entscheiden.
Was ist eine Sandbox?
Eine Sandbox ist ein isoliertes Testumfeld, in dem sich Programme ausführen lassen, ohne dass sie das zugrunde liegende System beeinflussen können. Sie erlaubt es, das Verhalten von Software zu beobachten, insbesondere von verdächtigen Dateien, die potenziell Schadsoftware sein könnten. Diese Analyse liefert eine detaillierte Übersicht über das Verhalten der Software, indem Aktionen wie das Ändern von Dateien, das Aufrufen bestimmter Schnittstellen (APIs) oder die Kommunikation mit externen Servern aufgezeichnet werden.
Warum Sandboxes keine Antivirus-Software ersetzen
Ein häufiges Missverständnis besteht darin, dass eine Sandbox wie ein Antivirus-Programm verwendet werden kann. Antivirus-Software erkennt Malware durch einen Abgleich mit einer Datenbank bekannter Bedrohungen und heuristischen Techniken, um unbekannte Bedrohungen zu identifizieren. Im Gegensatz dazu ist die Hauptaufgabe einer Sandbox, ein Programm in einer sicheren Umgebung laufen zu lassen und dessen Verhalten zu überwachen.
Antivirus-Programme arbeiten nach dem Prinzip, bekannte und mutmasslich schädliche Muster schnell zu identifizieren und Bedrohungen zu blockieren. Eine Sandbox hingegen bietet keinen unmittelbaren Schutz, sondern liefert Analysen. Wichtig dabei ist, dass eine Sandbox kein abschliessendes Urteil über die Gefährlichkeit einer Datei fällt, sondern lediglich Verhaltensindikatoren liefert. Ein «Score» oder eine «Bewertung» einer Sandbox ist daher oft irreführend. Stattdessen sollten die Ergebnisse von Fachleuten ausgewertet werden, um eine fundierte Entscheidung treffen zu können.
Was bedeutet «interessantes Verhalten»?
Ein vermeintlich kleines, aber sehr wichtiges Detail findet sich in der von Sandbox-Bewertungen verwendeten Terminologie. Dort ist oft von «bösartigem Verhalten» die Rede, was jedoch streng genommen nicht unbedingt zutrifft. Im Gesamtzusammenhang wäre der Begriff «interessantes Verhalten» angebrachter. Dies bezieht sich auf Aktionen, die potenziell auf eine schädliche Aktivität hindeuten, aber nicht immer eindeutig bösartig sind. So kann beispielsweise ein Programm, das Tastenanschläge überwacht, wie ein Keylogger wirken. Es könnte sich aber auch um legitime Software handeln, wie ein Spiel, das Tastatureingaben benötigt, um die Spielfiguren zu steuern.
Für die Analysten im IT-Security-Bereich stellt sich daher immer die Frage: Ist dieses Verhalten im Kontext des betreffenden Programms zu erwarten oder ist es ungewöhnlich? Diese Feinheiten machen den Unterschied zwischen einer vorschnellen Bewertung und einer fundierten Analyse aus.
Fehlende Kontexte: Warum Sandboxen oft falsche Schlüsse ziehen
Eine automatisierte Sandbox ist besonders anfällig für Fehlinterpretationen, wenn ihr dieser Kontext fehlt. Hier einige typische Szenarien:
- Nicht ausführbare Programme: Software, die spezielle Vorbereitungen oder Bibliotheken benötigt, um korrekt zu funktionieren, wird in einer Sandbox möglicherweise gar nicht ausgeführt. Das führt dazu, dass die Analyse leer oder irreführend ist.
- Malware mit Anti-Sandbox-Techniken: Einige Malware-Typen erkennen, dass sie in einer Sandbox laufen, und passen ihr Verhalten entsprechend an, sodass sie «sauber» erscheinen.
- Ähnliche Verhaltensweisen: Backup-Programme zeigen oft ein Verhalten, das auf den ersten Blick wie Ransomware aussieht, weil sie eine grosse Anzahl an persönlichen Dateien verändert und unter anderen Namen speichert. In Wirklichkeit sind diese Programme jedoch harmlos, wenn man ihren Verwendungszweck kennt.
Die Rolle der Antivirus-Erkennungsrate in Sandboxen
Ein weiteres Problem bei der Nutzung einer Sandbox ist die oft übermässige Abhängigkeit von Antivirus-Erkennungsraten bei der Bewertung der Bedrohung. Virenschutzprogramme und Sandboxen nutzen in manchen Bereichen ähnliche oder auch identische Kriterien für eine Entscheidung darüber, ob eine Datei bösartig ist oder nicht. So kann es passieren, dass bei einer Sandbox ein Kriterium mehrfach Eingang in eine Bewertung findet, das sich eigentlich nicht dafür eignet. Im Endergebnis bedeutet das, dass ein für sich genommen unbedenkliches Kriterium unzulässigerweise durch eine mehrfache Gewichtung dazu führt, dass die Sandbox eine Datei als «bösartig» einstuft, die es eigentlich nicht ist.
Sandboxen richtig einsetzen
Sandboxen sind ein wertvolles Instrument zur Identifikation von Anomalien und potenziellen Bedrohungen. Ihr Hauptzweck sollte jedoch darin liegen, Fachleuten wie Malware-Analysten eine Basis für tiefergehende Untersuchungen zu bieten. Sie ersetzen keine Antivirus-Software, sondern sind ein Analyse-Hilfsmittel. Um es deutlich zu sagen: Eine Sandbox ist keine Sicherheitslösung und sie hat auch keine Schutzwirkung. Wer den Einsatz einer Sandbox in Betracht zieht, sollte dies bei der Auswahl und Nutzung im Hinterkopf behalten. Für einen Arzt ist etwa ein Röntgengerät auch nur ein Diagnosewerkzeug, das sich aber weder für eine Therapie eignet, noch selbstständig eine Diagnose erstellt.
Es wäre in diesem Zusammenhang wünschenswert, wenn Sandbox-Anbieter die Option bieten würden, automatische Scores und Urteile zu deaktivieren, um Analysten vor unbewusster Voreingenommenheit zu schützen. Für Experten bedeutet dies, die Fähigkeit zu schärfen, verdächtige Aktivitäten im Kontext zu bewerten, ohne sich zu stark auf vereinfachte Urteile zu verlassen.
Richtig eingesetzt, sind Sandboxen durchaus hilfreich, erfüllen einen wichtigen Zweck und haben ihren Platz. Dieser ist aber nicht an vorderster Front und an der Seite des Malwareschutzes, sondern in den Händen von Menschen, die verdächtige Dateien analysieren.
FHNW entwickelt Digital Trust Radar
Update: Atos kündigt erneuten CEO-Wechsel an
Genf setzt auf Digitalisierung – verbesserte Bürgerservices durch ServiceNow
Die neue Erwartungshaltung der Bürger in der Interaktion mit Behörden
Gitex Global im Zeichen der künstlichen Intelligenz
Kein E-Gov ohne digitale Signatur
Wie OneGov GEVER die öffentliche Verwaltung entlastet
Post-Quanten-Kryptografie – bestens gerüstet für den "Q-Day"
Kudelski hilft Unternehmen bei der sicheren KI-einführung
