Erfahren Sie, wie Sie eine Browser-Sandbox in Windows 11 und 10 einrichten, um Downloads, Links und Webseiten sicher zu testen und Ihr System schützen.
Die Browser-Sandbox schützt Ihr System effektiv vor Schadsoftware, Tracking und gefährlichen Webseiten. In Windows 11 und Windows 10 steht Ihnen dafür die integrierte Windows-Sandbox kostenlos zur Verfügung – vorausgesetzt, Sie verwenden eine Pro-, Enterprise- oder Education-Edition.
Außerdem gibt es nützliche Drittanbieter-Tools wie Sandboxie-Plus. Dieser Leitfaden erklärt Schritt für Schritt, wie Sie eine sichere, isolierte Surfumgebung einrichten.
Was ist eine Browser-Sandbox und warum brauchen Sie sie?
Eine Sandbox ist eine abgeschottete Umgebung, in der Programme – darunter auch Browser – vollständig vom Rest des Betriebssystems getrennt laufen. Alles, was innerhalb der Sandbox geschieht, bleibt dort. Schadsoftware, die über eine kompromittierte Webseite eingeschleust wird, kann deshalb keinen Schaden am eigentlichen System anrichten.
Besonders sinnvoll ist das Browser-Sandboxing in folgenden Szenarien:
- Online-Banking auf fremden oder unsicheren Geräten
- Öffnen verdächtiger Links aus E-Mails oder Nachrichten
- Testen unbekannter Webseiten ohne Risiko für das Hauptsystem
- Privates Surfen, ohne Cookies oder Verlauf dauerhaft zu hinterlassen
- Recherche sensibler Themen, bei denen Tracking unerwünscht ist
Moderne Browser wie Google Chrome, Mozilla Firefox und Microsoft Edge verfügen zwar über eine eigene, integrierte Prozess-Isolation. Diese schützt jedoch primär vor Angriffen zwischen einzelnen Tabs – nicht vor einer vollständigen Kompromittierung des Systems. Deshalb empfiehlt sich eine zusätzliche Systemsandbox für risikoreiche Surfvorgänge.
Variante 1: Windows-Sandbox – die eingebaute Lösung von Microsoft
Die Windows-Sandbox ist seit Windows 10 Version 1903 Teil des Betriebssystems und steht in Windows 11 ebenfalls vollumfänglich zur Verfügung. Dabei handelt es sich um eine leichtgewichtige virtuelle Maschine, die auf dem Microsoft-Hypervisor basiert. Jedes Mal, wenn Sie die Sandbox starten, erhalten Sie ein frisches, vollständig isoliertes Windows-System. Sobald Sie die Sandbox schließen, werden alle Daten, Einstellungen und installierten Programme restlos gelöscht.
Systemvoraussetzungen prüfen
Bevor Sie beginnen, sollten Sie sicherstellen, dass Ihr System die folgenden Mindestanforderungen erfüllt:
- Betriebssystem: Windows 10 Pro/Enterprise/Education (ab Build 18305) oder Windows 11 Pro/Enterprise/Education – Home-Editionen werden nicht unterstützt
- Prozessor: 64-Bit-CPU mit mindestens 2 Kernen; Intel VT-x oder AMD-V muss im BIOS/UEFI aktiviert sein
- Arbeitsspeicher: Mindestens 4 GB RAM (8 GB empfohlen)
- Speicherplatz: Mindestens 1 GB freier Speicher (SSD empfohlen)
- Virtualisierung: Hardware-Virtualisierung muss im BIOS/UEFI aktiviert sein
Falls Sie sich unsicher sind, ob Ihr Prozessor die Virtualisierung unterstützt, öffnen Sie den Task-Manager mit der Tastenkombination Strg + Umschalt + Esc, wechseln Sie zum Reiter „Leistung“ und klicken Sie auf „CPU“. Dort sehen Sie unter „Virtualisierung“, ob der Wert auf „Aktiviert“ steht.
Schritt-für-Schritt: Windows-Sandbox aktivieren
Schritt 1 – Optionale Features öffnen:
Drücken Sie die Tastenkombination Windows-Taste + R, geben Sie optionalfeatures ein und bestätigen Sie mit Enter. Alternativ tippen Sie im Startmenü „Windows-Features aktivieren oder deaktivieren“ ein.
Schritt 2 – Windows-Sandbox auswählen:
Scrollen Sie in der Liste nach unten, bis Sie den Eintrag „Windows-Sandbox“ finden. Setzen Sie ein Häkchen davor und klicken Sie auf „OK“.
Schritt 3 – System neu starten:
Windows installiert nun die erforderlichen Komponenten. Klicken Sie anschließend auf „Jetzt neu starten“, um den Vorgang abzuschließen.
Schritt 4 – Sandbox starten:
Nach dem Neustart öffnen Sie das Startmenü und tippen Sie „Windows Sandbox“ ein. Klicken Sie auf die App. Nach wenigen Sekunden erscheint ein separates Fenster mit einem frischen Windows-Desktop – Ihre isolierte Surfumgebung ist bereit.
Alternative Aktivierung per PowerShell:
Falls Sie die Aktivierung lieber über die Kommandozeile durchführen möchten, öffnen Sie PowerShell als Administrator und geben Sie folgenden Befehl ein:
Enable-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM" -AllAuch hier ist ein Neustart erforderlich, bevor die Sandbox genutzt werden kann.
Browser in der Windows-Sandbox nutzen
Nach dem Start der Sandbox finden Sie einen minimalen Windows-Desktop mit Microsoft Edge als vorinstallierten Browser. Deshalb empfiehlt es sich, Edge direkt für das sichere Surfen zu verwenden – er ist sofort einsatzbereit.
Möchten Sie jedoch einen anderen Browser wie Firefox oder Chrome nutzen, müssen Sie diesen innerhalb der Sandbox manuell herunterladen und installieren. Beachten Sie dabei: Alles, was Sie in der Sandbox installieren, ist nach dem Schließen verloren. Für den regelmäßigen Einsatz lohnt sich daher eine Konfigurationsdatei (.wsb), die den Prozess automatisiert.
Variante 2: Windows-Sandbox per .wsb-Konfigurationsdatei anpassen
Für eine komfortablere Nutzung unterstützt die Windows-Sandbox sogenannte WSB-Konfigurationsdateien (Windows Sandbox Configuration). Dabei handelt es sich um XML-Dateien mit der Endung .wsb, über die Sie unter anderem folgende Aspekte steuern können:
- Freigegebene Ordner zwischen Host und Sandbox
- Netzwerkzugriff aktivieren oder deaktivieren
- vGPU (virtualisierte Grafikkarte) ein-/ausschalten
- Startbefehle beim Hochfahren der Sandbox ausführen
Beispiel: Firefox automatisch in der Sandbox installieren und starten
Erstellen Sie zunächst eine Textdatei und benennen Sie diese beispielsweise browser-sandbox.wsb. Fügen Sie folgenden Inhalt ein:
<Configuration>
<vGPU>Enable</vGPU>
<Networking>Enable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\IhrBenutzername\Desktop\SandboxTransfer</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>explorer.exe https://www.mozilla.org/de/firefox/new/</Command>
</LogonCommand>
</Configuration>Ersetzen Sie dabei IhrBenutzername durch Ihren tatsächlichen Windows-Benutzernamen. Legen Sie zuvor den Ordner SandboxTransfer auf Ihrem Desktop an, um Dateien zwischen Host und Sandbox auszutauschen. Danach öffnen Sie die .wsb-Datei per Doppelklick – die Sandbox startet direkt mit den angegebenen Einstellungen.
Netzwerk deaktivieren für maximale Isolation:
Falls Sie eine Datei analysieren und dabei keinerlei Netzwerkverbindung wünschen, setzen Sie <Networking>Disable</Networking>. Dadurch ist die Sandbox vollständig vom Internet getrennt.
Variante 3: Sandboxie-Plus – Browser dauerhaft isoliert starten
Wer keine Pro-Edition von Windows besitzt oder eine flexiblere Lösung sucht, sollte Sandboxie-Plus in Betracht ziehen. Das Open-Source-Tool – ursprünglich von Sophos entwickelt und heute als Community-Projekt gepflegt – ermöglicht es, einzelne Anwendungen dauerhaft in einer isolierten Sandbox auszuführen, ohne dafür das gesamte System neu zu starten.
Sandboxie-Plus ist für Windows 10 und Windows 11 (64-Bit sowie ARM) verfügbar. Die aktuelle Version stammt aus dem Februar 2026 und wird aktiv weiterentwickelt. Für private Nutzer ist die Plus-Oberfläche kostenlos, einige erweiterte Funktionen erfordern jedoch ein kostenpflichtiges Unterstützer-Zertifikat.
Sandboxie-Plus installieren und Browser isoliert starten
Schritt 1 – Herunterladen:
Rufen Sie die offizielle Webseite sandboxie-plus.com auf und laden Sie die aktuelle Installationsdatei für Windows 10/11 (64-Bit) herunter.
Schritt 2 – Installieren:
Führen Sie die Installationsdatei aus und folgen Sie dem Assistenten. Wählen Sie dabei „Sandboxie Plus“ als Oberfläche (die modernere Variante gegenüber dem klassischen Interface).
Schritt 3 – Browser in der Sandbox starten:
Nach der Installation erscheint das Sandboxie-Plus-Symbol in der Taskleiste. Klicken Sie mit der rechten Maustaste darauf und wählen Sie „Browser in Sandbox starten“. Alternativ ziehen Sie das Browser-Symbol per Drag-and-Drop in das Sandboxie-Fenster.
Schritt 4 – Sandbox nach der Nutzung leeren:
Klicken Sie nach dem Surfen im Sandboxie-Fenster auf „Sandbox leeren“ oder „Sandbox-Inhalt löschen“, um alle Spuren zuverlässig zu entfernen.
Der wesentliche Vorteil von Sandboxie-Plus gegenüber der Windows-Sandbox: Der Browser läuft direkt auf Ihrem bestehenden System, ohne eine vollständige virtuelle Maschine zu starten. Das spart Ressourcen und ermöglicht eine nahtlosere Integration. Allerdings ist der Schutz dadurch etwas geringer als bei einer vollständigen Hypervisor-basierten Isolierung.
Variante 4: Die eingebaute Browser-Sandbox von Chrome, Firefox und Edge
Unabhängig von externen Tools bieten alle gängigen Browser eigene Sandbox-Mechanismen, die im Hintergrund aktiv sind:
Google Chrome nutzt seit Jahren eine mehrschichtige Prozess-Isolation. Jede Webseite, jedes Plugin und jeder Tab läuft in einem eigenen, abgesicherten Prozess. Zudem ist die Enhanced Safe Browsing-Funktion empfehlenswert, die gefährliche Webseiten in Echtzeit erkennt. Sie aktivieren sie unter Einstellungen → Datenschutz und Sicherheit → Sicherheit → Erweiterter Schutz.
Mozilla Firefox setzt auf seine eigene RLBox-Technologie, die einzelne Bibliotheken und Module innerhalb des Browsers zusätzlich voneinander isoliert. Außerdem können Sie in Firefox den Sandbox-Level manuell erhöhen: Geben Sie about:config in die Adressleiste ein, suchen Sie nach security.sandbox.content.level und setzen Sie den Wert auf 4 für maximale Isolation. Beachten Sie jedoch, dass ein hoher Sandbox-Level bei einigen Webseiten zu Kompatibilitätsproblemen führen kann.
Microsoft Edge verfügt über den sogenannten Application Guard, der Webseiten in einer vollständig isolierten Hyper-V-Umgebung öffnet. Dieser ist in den Enterprise-Editionen von Windows standardmäßig verfügbar, für den privaten Einsatz jedoch oft überdimensioniert.
Grundsätzlich gilt: Die eingebauten Browser-Sandboxen bieten soliden Basisschutz für den Alltag. Für risikoreiche Szenarien – etwa das Öffnen unbekannter Downloads oder sensible Finanzgeschäfte – sollten Sie zusätzlich die Windows-Sandbox oder Sandboxie-Plus einsetzen.
Empfohlene Vorgehensweise: Welche Methode passt zu Ihnen?
Die Wahl der richtigen Methode hängt von Ihrem System und Ihrem Einsatzzweck ab:
Windows 11/10 Pro, Enterprise oder Education → Windows-Sandbox
Die integrierte Lösung ist ideal für gelegentliches sicheres Surfen, Online-Banking und das Testen unbekannter Software. Sie ist kostenlos, einfach zu aktivieren und bietet dank Hypervisor-Technologie maximale Isolation. Für wiederkehrende Aufgaben empfiehlt sich eine .wsb-Konfigurationsdatei.
Windows 10/11 Home oder maximale Flexibilität → Sandboxie-Plus
Sandboxie-Plus funktioniert auf allen Windows-Editionen und erlaubt es, einzelne Browser dauerhaft isoliert zu starten, ohne eine vollständige virtuelle Maschine zu nutzen. Außerdem können mehrere unabhängige Sandboxen parallel betrieben werden. Wählen Sie dabei stets die aktuelle Version von sandboxie-plus.com.
Tägliches Surfen ohne besondere Risiken → Browser-eigene Sandbox
Für den normalen Alltag ist die eingebaute Sandbox von Chrome oder Firefox ausreichend. Aktivieren Sie zusätzlich den „Erweiterten Schutz“ in Chrome bzw. erhöhen Sie den security.sandbox.content.level in Firefox auf 4.
Häufige Probleme und Lösungen
Die Windows-Sandbox ist ausgegraut oder nicht verfügbar:
Zunächst sollten Sie prüfen, ob Sie tatsächlich eine Pro-, Enterprise- oder Education-Edition verwenden. Außerdem muss die Hardware-Virtualisierung im BIOS/UEFI aktiviert sein. Bei Intel-Prozessoren suchen Sie nach „Intel VT-x“ oder „Intel Virtualization Technology“, bei AMD nach „AMD-V“ oder „SVM Mode“. Stellen Sie sicher, dass der entsprechende Eintrag auf „Enabled“ gesetzt ist.
Die Sandbox startet nicht oder zeigt einen Fehler:
Deaktivieren und reaktivieren Sie Hyper-V über die optionalen Windows-Features. Falls das Problem weiterhin besteht, führen Sie folgenden PowerShell-Befehl als Administrator aus:
bcdedit /set hypervisorlaunchtype autoStarten Sie danach den Computer neu.
Sandboxie-Plus funktioniert nicht korrekt:
Stellen Sie sicher, dass Sie die aktuellste Version verwenden. Zudem kann es zu Konflikten mit anderen Sicherheitssoftwarelösungen kommen. Temporär deaktivieren und erneut versuchen. Bei UWP-Apps (Windows Store-Apps) funktioniert Sandboxie nicht – verwenden Sie dafür stattdessen die Windows-Sandbox.
Die Sandbox ist langsam:
Bei älteren Systemen oder Computern mit wenig RAM kann es zu Leistungseinbußen kommen. Empfehlenswert sind mindestens 8 GB RAM und eine SSD als Systemlaufwerk. Zudem können Sie in der .wsb-Konfigurationsdatei die vGPU deaktivieren (<vGPU>Disable</vGPU>), falls grafische Beschleunigung nicht benötigt wird – das reduziert den Ressourcenverbrauch.
Sicherheitshinweise für den Alltag
Auch bei der Nutzung einer Sandbox sollten Sie einige grundlegende Sicherheitsregeln beachten:
Dateien niemals unkontrolliert übertragen: Zwar können Sie über freigegebene Ordner Dateien zwischen Host und Sandbox austauschen. Laden Sie jedoch keine Dateien aus der Sandbox auf Ihr Hauptsystem herunter, deren Herkunft unklar ist – Schadsoftware könnte sonst trotzdem auf Ihren Computer gelangen.
Netzwerk bei Bedarf deaktivieren: Wenn Sie ausschließlich eine Datei testen möchten und keine Internetverbindung benötigen, deaktivieren Sie den Netzwerkzugriff in der .wsb-Konfigurationsdatei. Das verhindert, dass Schadsoftware Kontakt zu externen Servern aufnimmt.
Sandbox regelmäßig schließen und neu starten: Die Stärke der Windows-Sandbox liegt gerade darin, dass sie nach jedem Schließen vollständig zurückgesetzt wird. Deshalb sollten Sie die Sandbox nach jeder Nutzungssitzung konsequent schließen und beim nächsten Einsatz neu starten.
Browser und Windows aktuell halten: Selbst innerhalb einer Sandbox empfiehlt sich ein aktueller Browser. Sicherheitslücken, die den Sandbox-Schutz umgehen könnten, werden durch Updates rasch geschlossen. Firefox hat beispielsweise Anfang 2025 eine kritische Sandbox-Lücke (CVE-2025-2857) zügig durch ein Update behoben.
Häufige Fragen zur Browser-Sandbox
Was ist der Unterschied zwischen Browser-Sandbox und Windows-Sandbox?
Die Browser-Sandbox ist eine Schutzfunktion innerhalb des Browsers selbst, die einzelne Tabs und Prozesse voneinander trennt. Die Windows-Sandbox hingegen ist eine vollständige, vom Betriebssystem getrennte Umgebung, in der Sie einen ganzen Browser – oder beliebige andere Programme – vollständig isoliert betreiben können. Der Schutz der Windows-Sandbox ist folglich umfassender.
Funktioniert die Windows-Sandbox auch unter Windows 10 Home?
Nein, die Windows-Sandbox ist ausschließlich in den Pro-, Enterprise- und Education-Editionen von Windows 10 und Windows 11 verfügbar. Home-Nutzer können stattdessen Sandboxie-Plus verwenden, das auf allen Windows-Editionen läuft.
Werden meine Daten in der Windows-Sandbox gespeichert?
Grundsätzlich nicht. Alle Daten, Programme und Einstellungen, die Sie innerhalb der Sandbox anlegen, werden beim Schließen automatisch gelöscht. Eine Ausnahme gilt seit Windows 11 Build 22H2: Neustarts, die innerhalb der Sandbox initiiert werden, behalten den Zustand bei – das Schließen des Sandbox-Fensters löscht jedoch weiterhin alles.
Kann ich in der Sandbox auch Online-Banking sicher durchführen?
Ja, das ist einer der empfehlenswertesten Einsatzbereiche. Starten Sie dafür die Windows-Sandbox, öffnen Sie Microsoft Edge oder installieren Sie einen anderen Browser, und rufen Sie die Banking-Webseite auf. Da die Sandbox vollständig vom Rest des Systems getrennt ist, können Keylogger oder andere Schadsoftware auf Ihrem Haupt-System die Eingaben nicht mitlesen.
Wie viel Arbeitsspeicher verbraucht die Windows-Sandbox?
Die Windows-Sandbox teilt sich Ressourcen intelligent mit dem Host-System und ist deshalb effizienter als eine klassische virtuelle Maschine. Dennoch sollten Sie mit einem Mehrbedarf von ungefähr 1 bis 2 GB RAM rechnen. Microsoft empfiehlt mindestens 4 GB, besser 8 GB Gesamtarbeitsspeicher.
Kann ich Sandboxie-Plus kostenlos nutzen?
Ja, Sandboxie-Plus ist für den privaten Einsatz kostenlos verfügbar. Einige erweiterte Funktionen erfordern jedoch ein kostenpflichtiges Unterstützer-Zertifikat. Die Grundfunktionen – darunter das isolierte Starten von Browsern – sind jedoch ohne Bezahlung nutzbar.
Ist der Application Guard in Microsoft Edge eine gute Alternative?
Der Microsoft Defender Application Guard für Edge bietet ähnliche Isolation wie die Windows-Sandbox, ist jedoch primär für Unternehmensumgebungen konzipiert. Er öffnet nicht vertrauenswürdige Webseiten in einer Hyper-V-Container-Instanz. Für den privaten Heimanwender ist die Windows-Sandbox in der Regel die einfachere und flexiblere Wahl.
Was passiert, wenn ich in der Sandbox versehentlich Malware ausführe?
Das ist genau der Zweck der Sandbox: Schadsoftware, die innerhalb der Sandbox ausgeführt wird, kann das Hauptsystem nicht infizieren, da keine direkte Verbindung zum Host-System besteht. Sobald Sie die Sandbox schließen, wird die Schadsoftware zusammen mit allen anderen Daten gelöscht.
Kann ich die Windows-Sandbox innerhalb einer virtuellen Maschine nutzen?
Grundsätzlich ja, allerdings müssen Sie dafür die sogenannte Nested Virtualization (geschachtelte Virtualisierung) aktivieren. Für VirtualBox und Hyper-V ist das möglich, erfordert jedoch zusätzliche Konfigurationsschritte. Im Alltag empfiehlt sich diese Konstellation jedoch kaum, da sie deutlich mehr Ressourcen beansprucht.
Welcher Browser eignet sich am besten für die Windows-Sandbox?
Für die schnellste Nutzung empfiehlt sich Microsoft Edge, da dieser direkt in der Sandbox vorinstalliert ist und sofort gestartet werden kann. Wer mehr Kontrolle über Datenschutzeinstellungen wünscht, kann über eine .wsb-Konfigurationsdatei auch Firefox automatisch installieren lassen. Firefox bietet zudem eine flexiblere Konfiguration über eine policies.json-Datei.
Fazit
Die Windows-Sandbox ist für Nutzer von Windows 10 oder 11 Pro die empfohlene Methode, um einen Browser sicher und vollständig isoliert zu betreiben. Die Einrichtung dauert nur wenige Minuten. Zudem bietet Sandboxie-Plus eine gute Alternative für alle, die die Home-Edition nutzen oder mehr Flexibilität benötigen.
Beide Lösungen ergänzen die eingebauten Sicherheitsfunktionen moderner Browser sinnvoll und erhöhen den Schutz bei risikoreichen Surfvorgängen erheblich.