Eine Sandbox ist im wörtlichen Sinn ein Sandkasten: ein abgegrenzter Bereich, in dem man spielen, bauen oder Fehler machen darf, ohne dass die Umgebung außerhalb betroffen ist. In der IT meint der Begriff genau dasselbe – nur eben digital: ein isolierter Raum, in dem Software laufen darf, ohne den Rest des Systems erreichen zu können.

Die Grundidee in einem Satz

Was im Sandkasten passiert, bleibt im Sandkasten. Eine Sandbox erlaubt einem Programm zu laufen, aber sperrt es gleichzeitig in eine Box ein. Schreibt das Programm in eine Datei, landet die Datei nur in der Sandbox – nicht auf der echten Festplatte. Versucht es ins Internet, sieht es nur eine simulierte Netzwerkverbindung. Versucht es, andere Programme zu starten, scheitert es an der Wand der Box.

Stürzt das Programm ab oder versucht es bösartig zu sein, ist nur die Sandbox betroffen. Ein Klick, und die Sandbox samt allem darin ist gelöscht. Das System dahinter bleibt unberührt.

Wo Sandboxes heute überall stecken

Sandboxes sind keine exotische Spezialtechnik mehr. Sie sind in fast jedem Gerät, das jemand im Büro benutzt, eingebaut – oft ohne dass es jemandem auffällt.

Browser-Sandbox

Jeder moderne Browser – Chrome, Edge, Firefox, Safari – läuft jeden Tab in einer eigenen Sandbox. Das ist der Grund, warum ein gehacktes Werbebanner auf einer einzelnen Seite nicht den ganzen Rechner übernimmt. Der Tab darf rendern, anzeigen, Skripte ausführen, aber nicht in das Dateisystem schreiben oder andere Programme starten. Funktioniert seit ungefähr 15 Jahren so und ist der Hauptgrund, warum Browser-Sicherheit heute so robust ist.

Smartphone-Apps

iOS und Android sperren jede installierte App in eine eigene Sandbox. Eine Taschenlampen-App kann nicht auf die Fotos der Kamera-App zugreifen, eine Spiele-App nicht auf die WhatsApp-Datenbank. Möchte eine App doch etwas außerhalb ihrer Box, muss sie ausdrücklich fragen – das sind die bekannten Dialogfenster "Diese App möchte auf Ihre Kontakte zugreifen".

Windows Sandbox

Windows 10 Pro und 11 Pro bringen eine fertige Sandbox direkt mit. Einmal in den Windows-Features aktiviert, gibt es im Startmenü den Eintrag Windows Sandbox. Ein Klick, und nach wenigen Sekunden öffnet sich ein zweites, frisches Windows in einem Fenster – komplett leer, ohne Spuren, ohne Verbindung zum Hauptsystem. Genau richtig, um einen verdächtigen E-Mail-Anhang zu öffnen oder eine unbekannte EXE-Datei zu testen. Sobald das Fenster geschlossen wird, ist die Sandbox samt allem darin spurlos verschwunden.

Container und Docker

In der Server-Welt heißt Sandbox meist Container. Werkzeuge wie Docker oder Podman packen eine Anwendung samt allen Abhängigkeiten in eine Box und starten sie isoliert vom Wirtssystem. Hunderte solcher Container können nebeneinander auf einem Server laufen, ohne sich gegenseitig zu stören. Praktisch jede moderne Cloud-Anwendung – auch die Werkzeuge, die wir selbst betreiben – läuft heute in Containern.

KI-Agenten

Auch dieser Blogartikel wurde in einer Sandbox geschrieben. Wenn ein KI-Agent Code ausführen, Dateien anlegen oder im Internet recherchieren darf, läuft er in einer abgesperrten Umgebung mit klar definierten Rechten. Schreibt der Agent eine fehlerhafte Datei, landet sie nur im Sandbox-Verzeichnis, nicht auf dem produktiven Server. Versucht er versehentlich ein System-Verzeichnis zu löschen, blockiert die Sandbox den Zugriff. Diese Bauweise ist gerade bei agentischen Werkzeugen Pflicht – sonst wäre der Schaden bei einem fehlerhaften Befehl schnell groß.

Sandbox vs. virtuelle Maschine

Beide Konzepte trennen einen Bereich vom Rest des Systems, aber sie arbeiten unterschiedlich tief.

Sandbox	Virtuelle Maschine
Isoliert einen einzelnen Prozess oder eine Anwendung	Simuliert einen vollständigen zweiten Rechner
Startet in Sekundenbruchteilen	Braucht oft Minuten zum Hochfahren
Nutzt den Kernel des Wirtssystems mit	Bringt eigenen Kernel und eigenes Betriebssystem mit
Wenige Megabyte Speicher	Mehrere Gigabyte Speicher
Leichte Isolation für den Alltag	Schwere Isolation für Test-Labore, Hosting, Forensik

Im Alltag reicht die Sandbox fast immer. Eine virtuelle Maschine ist sinnvoll, wenn ein komplettes zweites System gebraucht wird – etwa für die Analyse echter Schadsoftware oder wenn ein Altsystem auf modernen Rechnern weiterlaufen soll.

Wann eine Sandbox im Büro sinnvoll ist

Drei typische Situationen aus unserer Praxis:

Verdächtige E-Mail-Anhänge. Eine Rechnung kommt von einem unbekannten Absender, die Endung ist .pdf, aber das Bauchgefühl warnt. Statt sie direkt zu öffnen, wird der Anhang in die Windows Sandbox kopiert und dort geöffnet. Selbst wenn die Datei eine Schadsoftware enthält, ist nur die Sandbox infiziert – und die wird beim Schließen ohnehin gelöscht.

Unbekannte Software testen. Ein Mitarbeiter möchte ein neues Werkzeug ausprobieren, das jemand auf einer Konferenz empfohlen hat. Der Hersteller ist unbekannt, der Installer kommt von einer privaten Webseite. In der Sandbox installiert, getestet, bewertet – ohne Risiko fürs Hauptsystem. Erst wenn das Werkzeug überzeugt und der Anbieter geprüft ist, wandert es auf den richtigen Rechner.

Verdächtige Webseiten besuchen. Eine Recherche führt auf eine Seite mit zweifelhaftem Inhalt. Der Browser ist zwar selbst gesandboxt, aber wer ganz sicher gehen will, öffnet eine zweite Sandbox-Instanz und besucht die Seite dort. Cookies, Skripte, Tracker – alles bleibt im Sandkasten.

Grenzen einer Sandbox

Eine Sandbox ist kein magischer Schutzschild. Es gibt Wege, wie eine geschickt geschriebene Schadsoftware aus einer Sandbox ausbrechen kann – Sicherheitsforscher nennen das einen Sandbox Escape. Solche Lücken werden meist schnell von den Herstellern geschlossen, aber sie tauchen immer wieder auf. Wer auf Nummer sicher gehen will, kombiniert Sandbox mit aktueller Software, einem ordentlichen Virenscanner und gesundem Menschenverstand.

Außerdem gilt: Wer freiwillig persönliche Daten in eine Sandbox eintippt – etwa Passwörter oder Bankzugänge – riskiert, dass eine darin laufende Schadsoftware diese Daten abgreift. Die Sandbox schützt das Hauptsystem, nicht das, was bewusst in sie hineingetragen wird.

Sandbox außerhalb der IT

Der Begriff ist mittlerweile auch in anderen Bereichen angekommen.

Regulatory Sandbox nennt sich der geschützte Rahmen, in dem Banken neue Finanzprodukte oder Behörden neue Verwaltungsverfahren testen dürfen, ohne sofort die volle Regulierung tragen zu müssen. Die EU plant unter dem AI-Act ähnliche Sandboxes für KI-Anwendungen.

Sandbox Games sind Computerspiele ohne festen Spielverlauf – Minecraft ist das bekannteste Beispiel. Der Spieler bekommt Werkzeuge und eine Welt, was er damit anfängt, bleibt ihm überlassen.

Test-Sandbox heißt im Software-Entwicklungsalltag eine Vorab-Umgebung, in der neue Funktionen ausprobiert werden, bevor sie in die produktive Welt gehen. Bei uns nennen wir das eher Staging, gemeint ist dasselbe.

So aktivieren Sie die Windows Sandbox

Für alle, die direkt loslegen möchten – sofern Windows 10 Pro oder 11 Pro im Einsatz ist:

Über das Startmenü "Windows-Features aktivieren oder deaktivieren" öffnen.
Den Eintrag Windows-Sandbox aktivieren (Häkchen setzen).
Mit "OK" bestätigen und den Rechner neu starten.
Im Startmenü erscheint Windows Sandbox als neuer Eintrag – einmal klicken, fertig.

Wer Windows Home nutzt, hat die Sandbox nicht eingebaut. In diesem Fall sind freie Alternativen wie Sandboxie-Plus eine pragmatische Lösung, oder eine schlanke virtuelle Maschine mit VirtualBox. Wir richten beides regelmäßig bei Kunden ein – in der Regel per Fernwartung, innerhalb einer halben Stunde.

Zusammenfassung

Eine Sandbox ist ein abgegrenzter Bereich, in dem Software laufen darf, ohne den Rest des Systems erreichen zu können. Browser, Smartphones und Windows bringen Sandboxes bereits mit, oft unbemerkt. Für den bewussten Einsatz – verdächtige Anhänge, unbekannte Software, kritische Webseiten – ist die Windows Sandbox in Pro-Versionen das einfachste Werkzeug. Für tiefere Isolation gibt es Container und virtuelle Maschinen. Und außerhalb der IT bezeichnet der Begriff alle Räume, in denen experimentiert werden darf, ohne dass der Fehler gleich teuer wird.

Wer eine Sandbox-Strategie für das eigene Büro aufsetzen möchte – mit klar definierten Regeln, wann welche Sandbox zu verwenden ist – wir richten das gern ein. Per Fernwartung, bundesweit, ohne Termin vor Ort.

Sandbox einrichten lassen

Wir richten Windows-, Browser- und Container-Sandboxes per Fernwartung ein. Inklusive schriftlichem Protokoll, was wie konfiguriert wurde und wann welche Sandbox sinnvoll ist.

Jetzt anfragen

Weiterlesen — verwandte Artikel

Sicherheit

Zertifikatsfehler auf allen Seiten: 6 Ursachen in richtiger Reihenfolge

Wenn Google, Bank und Wikipedia plötzlich unsicher wirken: Uhrzeit, Antivirus, DNS, Router und Root-Zertifikate richtig prüfen.

Sicherheit

NordProtect: Identitätsdiebstahl erkennen und verhindern

Identitätsdiebstahl ist real und teuer. Dark Web Monitoring und Versicherungsschutz bis M.

Sicherheit

NordPass Business: Passwörter im Unternehmen sicher verwalten

Warum Excel-Listen mit Passwörtern gefährlich sind und wie NordPass Business das löst.

Häufig gestellte Fragen

Was ist eine Sandbox in der IT?

Eine Sandbox ist ein abgegrenzter Bereich innerhalb eines Systems, in dem ein Programm laufen darf, ohne auf den Rest des Computers zugreifen zu können. Stürzt das Programm ab oder enthält es Schadcode, bleibt der Schaden in der Sandbox eingesperrt.

Wofür braucht man eine Sandbox?

Für drei klassische Fälle: unbekannte Dateien testen, neue Software ausprobieren ohne das Hauptsystem zu verändern, und potenziell gefährliche Programme analysieren (etwa Anhänge aus verdächtigen E-Mails).

Habe ich auf meinem Rechner schon eine Sandbox?

Wahrscheinlich ja. Jeder moderne Browser läuft jeden Tab in einer eigenen Sandbox. iOS und Android sperren jede App in eine Sandbox ein. Windows 10 Pro und 11 Pro haben eine eingebaute "Windows Sandbox", die sich per Klick öffnen lässt.

Was ist der Unterschied zwischen Sandbox und virtueller Maschine?

Eine virtuelle Maschine simuliert einen kompletten zweiten Computer mit eigenem Betriebssystem. Eine Sandbox ist schlanker: sie isoliert nur einen Prozess oder eine Anwendung, ohne ein zweites Betriebssystem zu starten. Virtuelle Maschinen sind das schwere Werkzeug, Sandboxes das leichte.

Sind Sandboxes wirklich sicher?

Sehr sicher, aber nicht unfehlbar. Sicherheitsforscher finden gelegentlich Schwachstellen, mit denen sich aus einer Sandbox ausbrechen lässt ("Sandbox Escape"). Hersteller schließen solche Lücken meist schnell. Für den Alltag bieten Sandboxes einen sehr hohen Schutzgrad.

Wo wird der Begriff noch verwendet?

Auch außerhalb der reinen Technik. Banken und Behörden sprechen von einer "Regulatory Sandbox", in der neue Finanz- oder Verwaltungsprodukte unter Aufsicht getestet werden dürfen. Spieleentwickler nennen offene Spielwelten "Sandbox Games", weil der Spieler frei darin gestalten darf.

Können Sie eine Sandbox für mein Unternehmen einrichten?

Ja. Wir richten Browser-Sandboxes, Windows-Sandboxes und Container-Umgebungen ein, in denen Ihre Mitarbeiter verdächtige Anhänge öffnen, neue Software testen oder unbekannte Webseiten betrachten können, ohne dass das Hauptsystem in Gefahr gerät. Fernwartung genügt.

Brauche ich dafür teure Software?

Nein. Die Windows Sandbox ist in Windows 10/11 Pro bereits enthalten, ohne Aufpreis. Browser-Sandboxes sind sowieso aktiv. Für tiefere Isolation gibt es freie Werkzeuge wie Sandboxie-Plus oder Container-Lösungen wie Docker. Die Lizenzfrage stellt sich selten.