27. Januar 2011 - False Positives

Fehlalarm! Wenn die Anti-Viren-Software zum Risiko wird

Nicht jeder scheinbar erkannte Trojaner und nicht jede als Spam eingestufte Mail sind wirklich eine Bedrohung. Ein Fehlalarm, also ein sogenannter False Positive, ist auch in der Datensicherheit möglich. Finden Sie sich jedoch nicht mit häufigen False Positives ab. Denn sie stellen eine Bedrohung für den Datenschutz dar.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Kein Internetnutzer sollte auf eine Anti-Viren-Software verzichten, die regelmäßig aktualisiert wird.

Doch manchmal kann das Update der Sicherheitssoftware selbst zur Bedrohung werden. So stufte zum Beispiel eine weit verbreitete Anti-Viren-Software im April 2010 eine zentrale Funktion von Windows XP SP3 als Schadprogramm ein.

Ohne Verbindung zum Internet kein Update

Eine der Folgen war, dass die betroffenen Nutzer keine Verbindung mehr zum Internet aufbauen konnten. Das war besonders fatal, da sie die korrigierte Fehlerbehebung des Anti-Viren-Herstellers über ein Online-Update nicht direkt einspielen konnten. Dazu brauchten sie einen Rechner ohne das betreffende Sicherheitsprogramm, mussten dort die geänderte Fehlerbehebung herunter laden und via USB-Stick auf den betroffenen Computer installieren.

Dies kostete weltweit viel Zeit und Nerven bei den Anwendern.

False Positive: Fehlalarm mit Folgen

Ursache dieser Systemstörung war ein False Positive der betreffenden Anti-Malware-Lösung, also ein falscher Alarm. Statt einen Virus zu beseitigen, verschob die Sicherheitslösung eine zentrale Windows-Funktion in den Quarantäne-Ordner.

Solche False Positives passieren, wenn die Sicherheitslösungen unzureichend getestet werden und angebliche Viren-Signaturen auch auf harmlose Programme zutreffen. Oder aber ein Anti-Malware-Programm interpretiert eine Aktion falsch, die eine andere Anwendung vornehmen möchte, und greift ein.

So ist es auch schon vorgekommen, dass eine Sicherheitslösung ein anderes Sicherheitswerkzeug kalt gestellt hat.

Kunden-Mail statt Spam

Während ein False Positive bei Anti-Malware-Lösungen, bei einer Web Application Firewall oder einem anderen Abwehrprogramm durchaus zu Systemausfällen führen kann, sind Fehlalarme bei Spam-Filtern scheinbar harmloser.

Allerdings trügt der Schein. Wenn eine wichtige Kunden-Mail als Spam eingestuft wird und im lokalen Spam-Filter landet statt im Posteingang, kann schon einmal ein Auftrag verloren gehen.

Mehr False Positives als man denkt

Wie viele Falschmeldungen eine Sicherheitslösung bringt, sehen Sie insbesondere an der False Positive Rate des Herstellers. Ist sie nicht angegeben, sollte der Einkauf unbedingt nachfragen.

Allerdings sollte man sich nicht von den niedrigen Werten blenden lassen. Eine False Positive Rate von 0,2 Prozent klingt erst einmal wenig. Wenn man sich aber klar macht, dass in diesem Fall von jeweils 1.000 E-Mails, die ein Unternehmen bekommt, zwei Mails fälschlich als Spam eingestuft werden, sieht man schnell, dass bei vielen Unternehmen ein solcher Fehler jeden Tag passieren dürfte.

Zeitverlust, Kosten und Risiko für Awareness

Nach einer Studie von BoxSentry kostet eine Falschmeldung des Spam-Filters pro Jahr und Mitarbeiter stolze 700 US-Dollar. Diese Kosten entstehen

  • durch die regelmäßige Kontrolle des Spam-Ordners, ob nicht doch wichtige Mails darin enthalten sind
  • durch Störungen im Betriebsablauf aufgrund liegengebliebener Mails
  • durch verärgerte Kunden

Noch eine andere Auswirkung der False Positives wird gerne übersehen: das sinkende Risikobewusstsein bei den Mitarbeitern.

Wer dreimal lügt …

Wenn es öfter vorkommt, dass eine Virus-Warnung oder die Einstufung als Spam nicht stimmt, werden die Mitarbeiter den Sicherheitslösungen nicht mehr richtig vertrauen. Es kann sogar so weit gehen, dass die Warnungen der Sicherheitssysteme nicht mehr ernst genommen werden.

Dadurch geraten dann personenbezogene Daten in Gefahr. Denn Viren-Warnungen werden unter Umständen ebenso übergangen wie Spam-Hinweise.

Falschmeldungen erklären und minimieren

Es ist deshalb wichtig, dass die Möglichkeit von False Positives den Mitarbeiter generell verständlich gemacht wird. Dabei sollten Sie aber unterstreichen, dass sie trotzdem den Warnungen einer Sicherheitslösung Beachtung schenken müssen.


Download:


Mögliche False Positives sollten die Administratoren an den Hersteller der Sicherheitslösung melden und über eine Änderung der Einstellungen bei Spam-Filter, Intrusion Detection System oder Firewall möglichst reduzieren.

Nutzen Sie unsere Checkliste, um möglichst alle Schwachstellen auszuschalten.

Beides ist riskant: False Positives und False Negatives

Nicht nur unerkannte Viren und Spam-Mails (False Negatives) sind somit ein Thema für die Datenschutzkontrolle, sondern auch die False Positives, die insbesondere

  • die Mitarbeitersensibilisierung,
  • den Betriebsablauf und
  • die Kundenbeziehung

stören könnten.

Oliver Schonschek

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln