24. September 2012 - False Positives

False Positives: Neuer Schutz vor gefährlichen Falschmeldungen

Ein falscher Alarm der IT-Sicherheitslösung erzeugt nicht nur unnötigen Aufwand in der IT. Ein Fehlalarm kann auch zur Gefahr für Daten und Systeme werden. Neue Cloud-Dienste wollen bei der Prüfung helfen, ob eine Sicherheitswarnung richtig oder falsch ist.

neuer-schutz-vor-gefahrlichen-falschmeldungen.jpeg
Um Datenverluste durch False Positives zu vermeiden, sollten Sicherheitswarnungen auf ihre Richtigkeit geprüft werden. (Bild: Thinkstock)

Wenn die Mail im Spam untergeht

Im Durchschnitt laufen pro Tag trotz Filtersoftware rund neun Spam-Nachrichten in den privaten E-Mail-Postfächern der Deutschen ein, so eine aktuelle, repräsentative Umfrage im Auftrag des Hightech-Verbandes BITKOM. Spam-Filter übersehen aber nicht nur echte Spam-Nachrichten, sie stufen auch echte E-Mails als Spam ein. Durch solche Fehler kann schon einmal eine wichtige E-Mail im Spam-Ordner liegen bleiben.

Wenn die Anti-Malware-Lösung das Betriebssystem angreift

Noch gefährlicher für die Daten und IT-Systeme kann es werden, wenn sich eine Anti-Viren-Software irrt und zum Beispiel das eigene Betriebssystem attackiert. Datenverlust und Systemausfälle können die Folge sein, wenn man die Anti-Malware-Software bei falschem Alarm gewähren lässt.

Je nach Einstellung fragt die Anti-Malware-Software zwar, wie sie auf die entdeckte Bedrohung reagieren soll, doch als Anwender ist man meist überfragt und glaubt dem Schutzprogramm.

False Positives besser erkennen

Leider gibt es kaum Chancen auf eine fehlerfreie Erkennung von Spam oder Schadprogrammen. Umso wichtiger wäre es, dass man sogenannte False Positives, also falsche Sicherheitswarnungen, möglichst zuverlässig erkennen könnte. Verschiedene Sicherheitsanbieter wollen jetzt Cloud-Dienste verwenden, um die Unterscheidung von Freund und Feind in der IT-Sicherheit zu verbessern.

Hilfe aus der Cloud

IT-Sicherheitslösungen wie Panda Cloud Office Protection Advanced wollen die Auswirkungen falscher Sicherheitswarnungen verringern. Um einen möglichen Fehlalarm nicht über zu bewerten, verschiebt die Cloud-Lösung scheinbare Malware zuerst automatisch für sieben Tage in Quarantäne (Malware Freezer). In dieser Zeit wird geprüft, ob der Alarm wirklich seine Berechtigung hatte. Ist dem nicht so, werden die „unschuldigen“ Dateien aus der Quarantäne entlassen. Ein möglicher Datenverlust durch eine unnötige Datenlöschung wird so vermieden, der Nutzer muss sich nicht um die „Entlassung“ der betroffenen Dateien kümmern, dies läuft automatisch.

Das Wissen der anderen nutzen

Der IT-Sicherheitsanbieter Kaspersky geht einen anderen Weg: Dessen Schutzprogramme melden ihre möglichen Virenfunde zuerst an das Kaspersky Security Network. Dort wird die Sicherheitswarnung überprüft, ob zum Beispiel bekannt ist, dass es sich um eine Falschmeldung handelt. Im Prinzip nutzt die Sicherheitssoftware also die Reputation eines möglichen Virenfundes. Ist die Entdeckung nicht als False Positive bekannt, wird der Fund als echte Malware eingestuft.

Aber ohne aufgeklärte Nutzer geht es nicht

So nützlich solche Konzepte auch sind, um die gefährlichen Auswirkungen von False Positives zu vermindern, sie können das Problem der Falschmeldungen alleine nicht lösen: Zum einen bietet bei weitem nicht jede IT-Sicherheitssoftware solche Möglichkeiten wie zuvor beschrieben an, zum anderen wird es immer zu Falschmeldungen kommen, auf die der Anwender möglichst richtig reagieren muss. Zusätzlich zu modernen technischen Lösungen als Schutz vor den Auswirkungen der False Positives ist deshalb eine Sensibilisierung der Mitarbeiterinnen und Mitarbeiter unumgänglich.

Nutzen Sie dazu in Ihrer nächsten Datenschutzunterweisung am besten die Mitarbeiterinformation „Vorsicht falscher Alarm“, die Sie hier herunter laden können.


Download:


Tipp: Wenn Sie die Sensibilisierung der Anwender in Ihrem Unternehmen verbessern wollen, hilft Ihnen eine Praxislösung wie Datenschutzunterweisung kompakt.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln