Schutz kritischer Unternehmensdaten

Die 5 größten Datenverlustrisiken

23.07.2019 von Michael Kretschmer
Erfahren Sie, welchen Risiken sensible Unternehmensdaten ausgesetzt sind und welche Schutzmaßnahmen Sie ergreifen sollten.

Die kritischen Informationen eines Betriebes gehören mittlerweile zu den wertvollsten Unternehmenswerten. Darüber hinaus ist mit dem Inkrafttreten der DSGVO die Einhaltung von Datenschutzvorschriften zu einem entscheidenden Faktor geworden, der in die betriebsinterne Informationssicherheitsstrategie integriert werden sollte.

E-Mail- und Web-basierte Angriffe sind die häufigsten Angriffsvektoren. Zum Schutz gilt es, sowohl technische Lösungen einzusetzen als auch Mitarbeiter aufzuklären und zu schulen.
Foto: SkillUp - shutterstock.com

Aus diesem Grund ist es wichtig, dass Firmen ein klares Verständnis über die verschiedenen Bedrohungen für die Sicherheit ihrer Daten gewinnen. Erst dann können sie die richtigen Tools, Technologien und Prozesse einsetzen, um Datenschutzverletzungen zu verhindern.

Die bedeutendsten Bedrohungsherde

E-Mail und Web (einschließlich Cloud-Anwendungen) sind die beiden häufigsten Kanäle für die geschäftliche Zusammenarbeit auf der ganzen Welt. Diese Kommunikationskanäle haben es Unternehmen in den letzten beiden Jahrzehnten ermöglicht, die globale Reichweite zu erweitern, die betriebliche Effizienz zu steigern und das Geschäftswachstum voranzutreiben. Angesichts der deutlich zunehmenden Anzahl von Sicherheitsverletzungen innerhalb der letzten Jahre stellen sie jedoch auch ein erhöhtes Risiko für Cyberangriffe und Datenlecks dar.

Lesetipp: Cyberangriffe managen - Sind Sie bereit, gehackt zu werden?

Wissen über schützenswerte Informationen als Basis

Die zunehmenden IT-Sicherheitsverletzungen variieren zwar in ihrer Natur, aber das Ergebnis ist meist dasselbe: Reputationsschäden und finanzielle Verluste. Die Frage, die sich Betriebe also stellen sollten, lautet: "Was genau wird als 'kritische Information' betrachtet?"

Unabhängig davon, in welcher Branche ein Unternehmen tätig ist, verfügen alle Firmen über sensible oder vertrauliche Daten. Dazu zählen personenbezogene Daten wie etwa Mitarbeiterdatensätze, Kundendaten und -dateien sowie Finanzdaten und -berichte, Projektdaten, medizinische Aufzeichnungen, geistiges Eigentum und IT-Daten (Systeme, Software, Drucker, Netzlaufwerke etc.).

Diese Liste lässt sich um weitere, branchenspezifische Daten erweitern. Im Wesentlichen sind besonders schützenswerte Informationen solche, die

Ein gutes Verständnis der wichtigsten Sicherheitsbedrohungen für kritische Informationen sorgt dafür, dass Unternehmen einen kosteneffizienten Schutz einführen können. Im Grunde gibt es zwei Bedrohungskategorien für die Informationssicherheit: Interne und externe Bedrohungen.

Gefahren von innen

Im Folgenden geht es zunächst um die wichtigsten Gefahrenquellen, die sich im Unternehmen selbst befinden.

1. Unwissenheit oder Mangel an Verständnis

Die größte Gefahr für die IT-Sicherheit innerhalb eines Betriebs ist mangelndes Verständnis von Risiken und ihren Konsequenzen. Alle Mitarbeiter aufzuklären und für Bedrohungen zu sensibilisieren ist ein kostengünstiger Weg, um das Gefährdungspotenzial zu reduzieren und eine Kultur des Sicherheitsbewusstseins zu schaffen. Dabei ist es wichtig, alle Hierarchieebenen abzudecken, von der Führungsebene bis zu den Auszubildenden.

Lesetipp: Security Awareness - Social-Engineering-Angriffe erkennen und verhindern

Neben der Aufklärung gilt es, Richtlinien und festgelegte Verfahren einzuführen. Diese sollten beispielsweise klare Antworten auf Fragen geben wie: "Was kann ein Mitarbeiter tun, wenn er denkt, dass sich auf seinem Gerät ein Virus oder eine Ransomware-Infektion befindet?" oder "Was ist zu tun, wenn Informationen an eine unbefugte Person gesendet wurden - eine Tatsache, die zu einer möglichen Datenschutzverletzung führen kann?"

Datensicherheit und Datenschutz sollten dabei nicht in der Verantwortung eines kleinen Teams oder einer einzelnen Person liegen. Vielmehr sind sie ein Teil der Verantwortung aller Mitarbeiter. Die Sicherheitslage eines Unternehmens muss von oben nach unten gesteuert werden. Idealerweise sollte ein abteilungsübergreifendes Team eingerichtet werden, um die (IT-)Sicherheit effektiv zu erhöhen. Der Vorstand übernimmt dafür die Verantwortung und ermöglicht angemessene Investitionen in die erforderlichen Bereiche.

2. Versehentliche Datenlecks

Senden Mitarbeiter unabsichtlich die falschen Informationen an die falsche Person wird dies als "versehentliches" Datenleck bezeichnet. Je nachdem, welche Art von Daten durchsickern, kann das Ergebnis verheerend sein. So könnten beispielsweise im Rahmen der DSGVO hohe Bußgelder verhängt werden, wenn die kompromittierten Daten EU-Bürger betreffen.

Viele Unternehmen sind sich dieser Tatsache nicht bewusst, aber tatsächlich werden tagtäglich vertrauliche Daten ohne Absicht aus dem Unternehmen herausgeleitet. Sensible Metadaten (Autorennamen, Track-Änderungen, Drucker- und IT-Systemdaten) werden in Dokumente und Dateien eingebettet oder angehängt, an denen das jeweilige Team arbeitet. Sie können sowohl sensible Informationen enthalten, als auch für Phishing-Attacken und andere externe Angriffe missbraucht werden. Diese Daten gilt es zu sichern und davor zu schützen, das Unternehmen zu verlassen.

Oftmals ist es auch die von außen frei zugängliche Website des Unternehmens, die eine reiche Quelle für Phishing-Material darstellt, das von Cyber-Kriminellen gesichtet und im Dark Web verkauft werden kann. Beispielsweise hat die australische Bundespolizei versehentlich Unterlagen mit personenbezogenen Daten aus einem Strafverfahren auf eine Website hochgeladen. Die sensiblen Informationen konnten von jedermann frei heruntergeladen werden. Ein weiteres Beispiel ist die australische/neuseeländische ANZ Bank, die unbeabsichtigt ihre Daten zum Ende des Geschäftsjahres zur falschen Zeit auf eine Website gestellt hatte. Das führte dazu, dass der Handel für vier Tage unterbrochen werden musste.

Das Darknet in Bildern
Enter the Dark
In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann."
Made in the USA
Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht.
Drogen
Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert."
Bitte bewerten Sie Ihren Einkauf!
Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel.
Waffen
Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin.
Identitätshandel
Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können.
Digitale Leben
Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten."
Auftragskiller
Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln.
Schnellausstieg
Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden.
Freiheit?
Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.

Die Quintessenz solcher Fälle ist, dass Missgeschicke passieren. Allerdings es gibt Tools, die das Team und das jeweilige Unternehmen vor dieser Art von Datenverlust schützen. Die Metadaten lassen sich beispielsweise mittels Dokumentenbereinigung (Sanitization) entfernen. Dies kann manuell gemacht werden, allerdings können dabei menschliche Fehler passieren, so dass auch automatisierte Lösungen in Betracht gezogen werden sollten.

3. Diebstahl von Unternehmensdaten

Innerhalb der letzten Jahre gab es abseits versehentlicher Datenlecks auch zahlreiche internationale Fälle, in denen Mitarbeiter sich konkret gegen ihr Unternehmen gewendet haben. Dies betraf Weltkonzerne wie Sony oder Google, aber auch kleinere und mittelständische Unternehmen.

Lesetipp: Datenklau - Mitarbeiter, die zu Innentätern wurden

Hierbei kann es sich zum einen um Innentäter handeln, die einen persönlichen Vorteil erlangen wollen, etwa Mitarbeiter, die ein Unternehmen verlassen und Dateien und Daten mitnehmen. Zum anderen können es missgünstige Mitarbeiter sein, die Rache nehmen wollen, indem sie durch Preisgabe von sensiblen Informationen Schaden anrichten.

Die gute Nachricht ist, dass die gleiche Technologie, mit der versehentliche Datenlecks erkannt und verhindert werden, auch vorsätzliche abwehrt. Weitere Lösungen ermöglichen es, Informationen und deren Verwendung zu erkennen und nachzuverfolgen. Dennoch gibt es keinen "Universalschutz". Es geht vielmehr darum Schichten von Sicherheit aufzubauen um eine Strategie der Verteidigung in der Tiefe zu realisieren. Das Verständnis der Informationen und ihrer Risiken ist dabei essenziell und kann zu einem kostengünstigen und effektiven Lösungsansatz führen.

Externe Bedrohungen

Während interne Bedrohungen, insbesondere unbeabsichtigte und zufällige Ereignisse, den Großteil der Datenschutzverletzungen ausmachen, dürfen diejenigen von außen nicht vernachlässigt werden. Distributed Denial of Service (DDoS) und System-Hacking befinden sich weiterhin auf dem Vormarsch. Sicherheitspraktiken wie regelmäßige Patch-Updates des Betriebssystems und der Anwendungen sowie aktuelle Antiviren-Definitionen und eine effektive Backup-Strategie tragen wesentlich zum Schutz des Unternehmens vor Legacy-Angriffen bei. Doch es gibt noch weitere Bedrohungen von außen, die es zu verstehen und vor denen es sich zu schützen gilt.

4. Phishing

Durch Phishing versuchen Cyber-Kriminelle, sensible Daten einer Person abzurufen, wie beispielsweise Bankkennwörter oder Kreditkartendaten, um Geld zu stehlen. Heutige Phishing-Angriffe erfolgen in der Regel über sehr überzeugend gefälschte geschäftliche oder persönliche E-Mails. Meist beinhalten sie einen Link, auf den der Empfänger klicken und sensible Informationen an die Angreifer weiterleiten soll.

Wie Sie Phishing-E-Mails erkennen
Ignorieren Sie E-Mails, die zur Eingabe vertraulicher Daten auffordern!
<strong>Merkmal:</strong> Um eine möglichst hohe Öffnungsquote zu erreichen, wird oft versucht, Angst zu erzeugen in der Hoffnung, dass der Nutzer auf diese Weise seine übliche Vorsicht aufgibt. Besonders beliebt ist der Trick, eine Sperrung des Kontos (bei der Bank, bei PayPal oder bei Facebook) oder der Kreditkarte vorzutäuschen – verbunden mit der Aufforderung, sich auf eine von der E-Mail aus verlinkten Seite anzumelden, um die Sperrung aufzuheben. Meist versuchen die Betrüger auch, einen zeitlichen Druck aufzubauen, indem sie behaupten, die Eingabe der Daten müsse in den nächsten 24 Stunden erfolgen.<br /><br /> <strong>Tipp:</strong> Generell versenden Banken, aber auch Kreditkartenunternehmen und Online-Bezahldienste keinerlei E-Mails, die zu einer Seite verlinken, auf denen Sie Ihre Kontodaten eingeben sollen. Löschen Sie die E-Mail sofort und klicken Sie keinesfalls auf den Link! Schon der bloße Besuch der Seite kann zu einer Infektion mit einem Virus oder Trojaner führen (Drive-by-Download)!
Überprüfen Sie, ob die Website gesichert ist!
<strong>Merkmal:</strong> Webseiten, auf denen wichtige Daten eingegeben werden sollen, sind in der Regel durch eine sichere Verbindung geschützt. Dies lässt sich daran erkennen, dass die Web-Adresse (URL) mit https:// statt mit http:// beginnt. Verweist eine E-Mail, die zur Eingabe vertraulicher Daten auffordert, auf eine ungesicherte Website, ist diese mit hoher Wahrscheinlichkeit gefälscht. Oftmals verbergen die Phisher die tatsächliche Ziel-URL jedoch hinter einer angeblich gesicherten Scheinadresse.<br /><br /> <strong>Tipp:</strong> Überprüfen Sie, wohin der Link tatsächlich führt: mittels Rechtsklick auf den Link und Auswahl von „Eigenschaften“ oder, wenn Sie den Link bereits angeklickt haben, durch Überprüfung der Adresse in der Adresszeile. Auch hier gilt: Im Zweifel den Link nicht anklicken und die E-Mail löschen!
Achten Sie auf die genaue Schreibweise der URL!
<strong>Merkmal:</strong> Um an ihr Ziel zu kommen, müssen die Phisher den Anschein erwecken, die E-Mail sowie die Seite, auf welcher der Nutzer seine Daten eingeben soll, wären echt und gehörten dem angeblichen Absender. Daher wählen sie Adressen, die auf den ersten Blick wie eine echte Adresse, beispielsweise der Bank, aussehen. Dabei werden von der Bank nicht benutzte, aber plausibel erscheinende Adressen verwendet (z. B. www.sparkasseonline. de) oder unauffällige Schreibfehler eingebaut ("postank" statt "postbank").<br /><br /> <strong>Tipp:</strong> Achten Sie immer auf die Schreibweise der URL (auch schon im E-Mail-Absender!) und überprüfen Sie diese auf Schreibfehler! Überprüfen Sie auch, welche URL das Unternehmen normalerweise hat (durch Vergleich mit der Website oder mit echten E-Mails)!
Achten Sie genau darauf, welche Daten Sie eingeben sollen!
<strong>Merkmal:</strong> Zugänge zu Online-Konten, aber auch der Einsatz von Kreditkarten benötigen meist ein mehrstufiges Authentifizierungsverfahren. Bei Online-Konten sind das beispielsweise Kontonummer und TAN, bei Kreditkarten Kartennummer, Ablaufdatum und die dreistellige Prüfnummer. Als sichere Alternative gibt es seit einiger Zeit auch die Verifizierung über das so genannte 3D-Secure-Verfahren (z.B. „Verified by Visa“).<br /><br /> <strong>Tipp:</strong> Werden Sie aufgefordert, mehr als eine TAN oder sowohl ihre Prüfnummer als auch die 3D-Secure-ID einzugeben, handelt es sich um Phishing. Seriöse Websites verlangen nie beide Daten gleichzeitig.
Nicht nur Konto- und Kreditkarten-Phishing ist gefährlich!
<strong>Merkmal:</strong> Schon längst beschränkt sich das Interesse der Phisher nicht mehr nur auf Bank- oder Kreditkartendaten. Generell ist jeder Zugang zu Online-Diensten interessant, sei es das Webmail-Konto, der Zugang zu sozialen Netzwerken, selbst Business-Dienste wie Google AdWords. Dabei nutzen beispielsweise Spammer die erbeuteten Daten, um Kampagnen für eigene Seiten zu schalten – auf Kosten der betrogenen Nutzer.<br /><br /> <strong>Tipp:</strong> Behandeln sie alle Zugangsdaten zu Internetdiensten vertraulich, auch wenn sie Ihnen nicht wichtig erscheinen! Angebliche E-Mails von Facebook oder Hotmail können genauso gefährlich sein wie solche von Ihrer Bank.

Passende Technologie ist wichtig, um erfolgreiche Phishing-Angriffe auf Unternehmen zu verhindern. Allerdings spielt auch hier die Aufklärung der Mitarbeiter eine Rolle. Es gilt die Belegschaft dafür zu sensibilisieren, wie eine verdächtige E-Mail aussehen kann, und sie zur Vorsicht beim Öffnen oder Anklicken von Links in verdächtigen E-Mails oder Dokumenten zu ermahnen. Weiterhin sollte ein Prozess implementiert werden, nach dem Mitarbeiter prüfen können, ob eine E-Mail oder ein Dokument schädlich ist. Dies wird langfristig dazu beitragen, eine Kultur erhöhten Sicherheitsbewusstseins im Betrieb zu etablieren.

5. Malware- und Ransomware-Angriffe

Angriffe mit Verschlüsselungstrojanern befinden sich nach wie vor auf dem Vormarsch. Jahr für Jahr machen Ransomware-Angriffe wie WannaCry, NotPetya und Bad Rabbit Schlagzeilen und brachten zahlreiche Unternehmen in Bedrängnis. Unter ihnen fanden sich auch Betriebe aus dem KRITIS-Bereich wie etwa Krankenhäuser. Das BSI meldet in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2019 (PDF) 252 Meldungen von KRITIS-Betreibern.

Bereits im Jahr davor stellt das BSI in seinem Lagebericht fest, dass die neueren Fälle von Erpressungstrojanern zwar nicht wie 2017 die Schlagzeilen beherrschten, aber auf neue Entwicklungen hinweisen. Beispielsweise wurde im Januar 2018 erstmals eine neue Ransomware namens GandCrab entdeckt, die neben lokal aktiven Kampagnen (Magniber) als erste per Exploit-Kit verbreitet wurde.

Die Erpresser-Software SamSam attackiert über Schwachstellen öffentlich zugänglicher Softwarekomponenten (Web-Server) oder durch das Erraten unsicherer Passwörter in der verwendeten Benutzerverwaltung. Mit dieser Art Ransomware wurde im März 2018 die Stadt Atlanta (Georgia, USA) angegriffen und weite Bereiche der externen und internen Dienste wurden lahmgelegt.

Letztendlich zielen Attacken darauf ab, die kritischen Daten von Organisationen zu stehlen und zu veräußern. Verkauft werden die Daten entweder an einen externen Käufer oder im Falle von Ransomware zurück an das Unternehmen, dem sie gehören.

Moderne Angriffe werden häufig in Form von aktivem Code oder Skripten ausgeführt, die in harmlos aussehende, eingehende E-Mails und Dokumente oder Links zu Dokumenten eingebettet sind. Diese haben verheerende Auswirkungen auf die internen Systeme des Betriebs, wenn sie sich hier ausbreiten. Die häufigste Art von schädlichen Dokumenten sind Lebensläufe oder Stellenangebote, mit dem die Personalabteilung oder eine Person angesprochen wird.

Auch hier spielen die Aufklärung und regelmäßige Schulung der Mitarbeiter eine entscheidende Rolle für die Prävention. Weiterhin sollte auch für dieses Problem die Implementierung einer technischen Lösung erwogen werden.

Prinzipiell gibt es zwei Möglichkeiten, Ransomware und Malware im Betrieb zu verhindern. Die Erste basiert darauf, aktive Inhalte zu entfernen. Das heißt, Malware wird aus dem Dokument entfernt, der Rest bleibt unangetastet. Dadurch erhält der Empfänger die gesendeten Informationen sofort, nicht aber die Schadsoftware. Diese Technologie wird auch "Structural Sanitization" genannt.

Bei der zweiten Methode kommt Sandbox-Technologie zum Einsatz. Sie öffnet das Dokument in einer sicheren Umgebung (Sandbox) und analysiert anschließend dessen Verhalten. Wenn nach einer bestimmten Zeitspanne (beispielsweise 15 Minuten) nichts Ungewöhnliches geschieht, wird das Dokument für den Empfänger freigegeben. Damit geht eine gewisse Zeitverzögerung einher und fortschrittliche eingebettete Malware kann diesen Schutzmechanismus unter Umständen umgehen. (bw)