Sicher in der Sandbox

Es gibt viele Gefahrenquellen für die Sicherheit Ihres PCs oder Ihrer vertraulichen Daten: virenverseuchte Programme, Drive-by-Downloads beim Surfen und Datenklau beim Online-Banking.

All diese Gefahren vermeiden Sie, indem Sie Ihren Browser oder verdächtige Programme in einer Sandbox starten. Sie können dann keinen Schaden an Ihrem PC anrichten und auch Malware hat keine Chance.

Der Artikel verwendet dazu Sandboxie.

Die Technik einer Sandbox ist ziemlich kompliziert. Aber in der Praxis merken Sie nichts davon, denn ein Programm wie Sandboxie ist leicht zu bedienen.

Die beiden folgenden Abschnitte erklären die Funktionsweise und beleuchten, wie sicher ein Sandbox-System ist.

Eine Sandbox ist im Prinzip eine Art Betriebssystem im Betriebssystem. Sie hat ein eigenes Dateisystem, eine eigene Registry und eigene Prozesse. Zudem leitet sie Zugriffe auf DLLs und Treiber in einen eigenen Bereich um.

Wenn ein Programm in einer Sandbox zum Beispiel etwas in die Registry schreiben will, dann landet der Eintrag nicht in der Registry des Betriebssystems, sondern in der virtuellen Registry der Sandbox.

Programme können grundsätzlich nie direkt auf Hardware wie die Festplatte zugreifen. Sie müssen das Betriebssystem fragen, dies für sie zu erledigen. Da eine Sandbox über Hooks alle solche Anfragen abfängt, kann sie alle Zugriffe auf die Hardware verhindern oder umleiten. Ein Hook, englisch für Haken, ist grob gesagt eine Technik, die sich in den Ablauf von Programmen einhakt. Auf die gleiche Weise erfährt die Sandbox, wenn neue Prozesse starten, und leitet diese um.

Eine Sandbox ist ein guter Schutzwall gegen Malware. Auch Ihre Privatsphäre profitiert davon, wenn Sie etwa den Browser in der Sandbox ausführen. Cookies, Chronik, Cache und andere Daten erreichen nie die Festplatte.

Allerdings können Tools wie Sandboxie nicht erkennen, ob Sie sich einen Keylogger eingefangen haben. Der übermittelt auch in der Sandbox Tastatureingaben. Bevor Sie etwa die Seite einer Bank besuchen, ist es eine gute Idee, den Sandbox-Inhalt zu löschen, um damit automatisch etwaige Keylogger zu beseitigen.

Die Sandbox-Technik ist aber insgesamt eine gute Barriere gegen Malware. Sie verhindert, dass Sie Ihren PC mit Trojanern und anderem Schadcode verseuchen. Rein theoretisch ist es allerdings möglich, dass ein Schadprogramm aus der Sandbox ausbricht.

Die Geschwindigkeit unterscheidet sich nicht, wenn ein Programm in der Sandbox läuft. Und Sandboxie selbst braucht kaum Ressourcen: Es ist 650 Kilobyte klein und benötigt nur zwei Megabyte Arbeitsspeicher.

Diese zwei Browser haben bereits eine Sandbox-Technik eingebaut, so dass Sie Sandboxie gar nicht brauchen.

Secure Browser: Secure Browser läuft in einer abgeschotteten virtuellen Umgebung. Allerdings ist der Browser schon recht betagt: Er basiert auf Firefox 3.6. Der Browser wird nach dem Start automatisch in eine Sandbox überführt und ist somit von Ihrem Betriebssystem völlig abgekoppelt.

Wenn Sie auf das Symbol über dem Browserfenster klicken, dann erhalten Sie Statistiken zu Prozessen und zu Datei- und Registry-Zugriffen.

Google Chrome 17: Chrome 17 hat eine eingebaute Sandbox-Technik. Jeder Tab läuft in einer eigenen, sicheren Sandbox. Damit surfen Sie mit Chrome sicherer als mit manch anderem Browser.

Die Sandbox-Technik in Chrome schützt Ihren PC weitgehend vor manipulierten Webseiten und verhindert, dass diese Schadsoftware einschleusen. Wenn Sie einen Tab schließen, dann leert Chrome die Sandbox automatisch.

Mozilla hat bereits angekündigt, dass auch Firefox bald eine solche Sandbox-Technik enthalten soll.

Sandboxie startet Programme im isolierten Bereich einer Sandbox. Die Anwendungen laufen in der Sandbox ganz normal, aber es finden keine Schreibzugriffe auf die Festplatte statt. Alle Änderungen finden nur im virtuellen Dateisystem der Sandbox statt.

Um Sandboxie zu installieren, rufen Sie den Installer „SandboxieInstall.exe“ auf. Am Ende der Installation will das Programm einen System-Level-Treiber installieren.

Da dieser tief ins System eingreift, versuchen manche Antiviren- oder andere Sicherheitsprogramme, die Installation des Treibers zu verhindern. In diesem Fall deaktivieren Sie die Sicherheitssoftware kurzzeitig. Meistens lässt sich der Treiber aber problemlos installieren.

Die zentrale Steuereinheit von Sandboxie ist Sandboxie Control . Das entsprechende Icon befindet sich auch im System-Tray.

Sandboxie hat sich im Kontextmenü des Windows-Explorers verankert. Um ein beliebiges Programm in der Sandbox zu starten, klicken Sie es mit der rechten Maustaste an und wählen „In der Sandbox starten“.

Ob ein Programm in der Sandbox läuft, sehen Sie daran, dass die Titelzeile von den Zeichen „#“ umgeben ist. Zudem erscheint ein gelber Rahmen, wenn Sie mit dem Mauszeiger in die Titelleiste fahren. Dass sich Programme in der Sandbox befinden, erkennen Sie am Sandboxie-Icon im System-Tray. Es hat dann rote Punkte. Wichtig: Führen Sie Programm-Aktualisierungen immer außerhalb der Sandbox durch.

Da Surfen sicher zu den häufigsten Anwendungen einer Sandbox gehört, hat Sandboxie dafür eine eigene Funktion.

Um einen Browser in der Sandbox zu starten, haben Sie zwei Möglichkeiten. Zum einen legt Sandboxie bei der Installation auf dem Desktop eine Verknüpfung namens „Sandboxed Web Browser“ an. Wenn Sie diese aufrufen, dann startet der Standardbrowser in einer Sandbox.

Die zweite Möglichkeit, einen Browser in der Sandbox zu starten: Klicken Sie mit der rechten Maustaste auf das Sandboxie-Icon im System-Tray. Hier haben Sie Zugriff auf alle Funktionen des Programms. Den Browser starten Sie dann mit „DefaultBox, Webbrowser starten“. „DefaultBox“ ist der Name der Standard-Sandbox.

Alle Programme, die in der Sandbox laufen, tauchen auch im Hauptfenster von Sandboxie Control auf. Neben dem Browser finden sich dort noch zwei weitere Programme, nämlich „SandboxieRpcSs.exe“ und „SandboxieDcomLaunch.exe“. Sie sind dafür zuständig, dass Prozesse in der Sandbox starten.

Sandboxie Control zeigt standardmäßig, welche Programme in der Sandbox sind. Es lassen sich aber auch alle Dateien und Ordner auflisten, also der gesamte Inhalt der Sandbox.

Dazu wählen Sie „Ansicht, Dateien und Ordner“. Sie sehen nun die virtuelle Registry, heruntergeladene Dateien und in der Sandbox laufende Programme. Auch sämtliche Ordner und Dateien, die sich dadurch geändert haben, werden angezeigt, etwa der Profil-Ordner des Browsers.

Laden Sie eine beliebige Datei herunter und speichern Sie sie auf dem Desktop. Wenn Sie nun auf Ihrem Desktop nachsehen, stellen Sie fest, dass die Datei dort nicht vorhanden ist. Sie findet sich nur im Desktop-Ordner innerhalb der Sandbox. Nach dem Download startet eine Funktion, die Sandboxie „Sofortige Wiederherstellung“ nennt.

Wenn Sie den Download aus der Sandbox herausholen wollen, dann klicken Sie auf „Wiederherstellen“ und geben den Ordner an, in dem Sie die Datei ablegen wollen. Um den Download in der Sandbox zu belassen, klicken Sie auf „Schließen“.

Sandboxie stuft einige Ordner als wiederherstellungsfähig ein, andere nicht. So lässt sich eine auf dem Desktop gespeicherte Datei wiederherstellen, also aus der Sandbox herausholen. Wenn Sie die gleiche Datei unter „C:“ speichern, gelingt das nicht.

Im vorherigen Abschnitt haben Sie die „Sofortige Wiederherstellung“ kennengelernt. Nun begegnen Sie der „Schnellen Wiederherstellung“: Wenn Sie in Sandboxie Control „Sandbox, DefaultBox, Schnelle Wiederherstellung“ aufrufen, dann gelangen Sie zu einer Liste aller wiederherstellungsfähigen Dateien in der Sandbox.

Um einen weiteren Ordner als wiederherstellungsfähig zu definieren, klicken Sie auf „Ordner hinzufügen“. Um eine Datei in der Liste aus der Sandbox herauszulösen, wählen Sie diese aus und klicken dann auf „Im gleichen Ordner sichern“. Damit ist im gleichnamigen Ordner außerhalb wie innerhalb der Sandbox gemeint. 

Wenn Sie alle Programme in der Sandbox beendet haben, dann empfiehlt es sich, alle anderen Dateien, die noch in der Sandbox sind, zu löschen. Damit verhindern Sie, dass sich die Sandbox immer mehr aufbläht. Denn bereits nach wenigen Minuten sind Hunderte Dateien und Ordner in der Sandbox enthalten.

Dazu wählen Sie in Sandboxie Control „Sandbox, DefaultBox, Inhalte löschen“. Es erscheint ein Fenster mit einer Liste der wiederherstellbaren Dateien. Darunter sehen Sie, wie viele Dateien insgesamt in der Sandbox verbleiben würden.

Dies ist zudem die letzte Gelegenheit, um eine Datei aus der Sandbox in die reale Welt zu holen. Um die Inhalte zu löschen, klicken Sie auf „Sandbox löschen“.

Damit das Löschen immer automatisch erfolgt, wenn Sie die Sandbox schließen, ändern Sie die Einstellungen von Sandboxie. Sie finden sie unter „Sandbox, DefaultBox, Sandboxeinstellungen“. Dort wählen Sie „Löschen, Lösch-Aufrufe“ und setzen ein Häkchen bei „Inhalte der Sandbox automatisch löschen“.

Sandboxie erstellt beliebig viele Sandboxen. „DefaultBox“ ist der Name der Standard-Sandbox. Um eine weitere Sandbox anzulegen, wählen Sie in Sandboxie Control das Menü „Sandbox“. Dort klicken Sie auf „Neue Sandbox erstellen“ und vergeben einen Namen. Die Einstellung einer bereits bestehenden Sandbox können Sie übernehmen.

Die Sandboxen lassen sich auch mit verschiedenen Einstellungen anlegen. Wenn Sie jedes Programm in einer eigenen Sandbox starten, dann interagieren diese jedoch nicht miteinander.