Detection

Anhangs-Sandbox — Detonation auf Ihrem Server.

Verdächtige Office-Dokumente, PDFs, Archive und ausführbare Dateien werden in einer isolierten Sandbox auf Ihrem eigenen Server detoniert und analysiert. Keine Übertragung an Cloud-Sandbox-Anbieter, keine US-Drittanbieter, keine Wartezeit.

Wie es funktioniert

Wenn ein Anhang Verdacht erregt — durch Reputation-Score, fehlende Signatur, ungewöhnliche Dateistruktur oder andere Indikatoren — wird er nicht direkt an den Empfänger durchgereicht. Stattdessen läuft er durch eine isolierte Detonations-Umgebung, die das Verhalten der Datei analysiert: welche Prozesse versucht sie zu starten, welche Netzwerk-Verbindungen, welche Dateien auf der Festplatte. Das Ergebnis wird mit pflegbaren Detection-Regeln abgeglichen.

Was die Sandbox erkennt

  • Macro-Malware in Office-Dokumenten — Word/Excel/PowerPoint mit auto-execute-Makros, Powershell-Aufrufe, Registry-Manipulation
  • Ausgenutzte Schwachstellen in PDFs — JavaScript-Heap-Spray, Embedded-Executables, kompromittierte XFA-Forms
  • Verschachtelte Archive — passwortgeschützte ZIPs mit Passwort im Mail-Body, ZIP-Bomben, geschachtelte Archive zur Detection-Umgehung
  • Living-off-the-Land-Patterns — Dateien die nichts „bösartiges" tun, aber legitime Windows-Tools (PowerShell, certutil, mshta) zur Eskalation nutzen
  • C2-Indicators — Verbindungs-Versuche zu bekannten Command-and-Control-Servern, DNS-Tunneling-Pattern

Was die Cloud-Konkurrenz macht

Anbieter wie Mimecast, Proofpoint, Hornetsecurity, Microsoft Defender ATP schicken verdächtige Anhänge an ihre eigene Cloud-Sandbox in den USA oder dem EWR. Aus Compliance-Sicht entstehen damit drei Probleme:

  • Datenfluss in Cloud des Anbieters — der Anhang verlässt Ihre Infrastruktur. Bei sensiblen Dokumenten (Mandantenakten, Patientenakten, Steuerunterlagen, Geschäftsgeheimnisse) ist das ein DSGVO-Vorgang mit Transfer-Impact-Assessment-Pflicht.
  • Latenz-Spitze bei großen Dateien — eine 50-MB-PDF braucht für den Upload und die Round-Trip-Analyse mehrere Minuten. In dieser Zeit ist die Mail in der Quarantäne, der Empfänger wartet.
  • Anbieter sieht alle Anhänge aller Kunden — Telemetrie-Aggregation als Marketing-Argument („wir sehen mehr Bedrohungen") ist gleichzeitig ein Datenschutz-Risiko.

Wie die Sandbox sicher isoliert ist

Jede Detonation läuft in einer eigenen Linux-Container-ähnlichen Sandbox mit separaten Mount-Namespaces, ohne Netzwerk-Zugriff (oder bei Bedarf mit kontrolliertem Outbound-Tunnel zur C2-Detection), strikten Resource-Limits (CPU, RAM, Wall-Clock-Time) und automatischer Aufräumung nach jedem Run. Selbst bei einer erfolgreichen Sandbox-Eskalation kommt der Schadcode nicht aus der Sandbox heraus — er läuft als unprivilegierter User mit gefilterten System-Calls.

Pflegbare Detection-Regeln

Der Operator kann eigene Detection-Regeln in einem Standardformat ablegen, das von der Security-Community breit genutzt wird. Wer eine spezifische Bedrohungslage hat (etwa eine gezielte Phishing-Welle gegen die eigene Branche), kann eigene Indicators of Compromise hinzufügen ohne auf den Hersteller zu warten. Die Default-Regeln werden mit jedem Update aktualisiert — eigene Regeln überleben Updates.

Was passiert mit detonierten Dateien

  • Detection-Regel matched → Mail landet in der Quarantäne, Operator + Empfänger werden benachrichtigt, Sample bleibt forensisch verfügbar
  • Verdächtige Patterns aber kein Match → Soft-Flagging im Header (X-Spam-Sandbox: suspicious), Mail geht durch aber wird vom Empfänger-Mailclient ggf. zurückhaltender behandelt
  • Keine Indikatoren → Mail geht normal durch, Sandbox-Run wird im Audit-Log protokolliert
  • Sandbox-Timeout → Operator-Policy entscheidet (Default: pessimistic, Mail in Quarantäne)

Sandbox-Detection ohne Cloud-Datenfluss?

Verdächtige Anhänge bleiben auf Ihrem Server. Operator-Policies definieren, was bei welchem Befund passiert.

Preise ansehen