False Positives: Wenn sich die IT-Sicherheit irrt
False Positives: Harmlose Dateien und Mails gelöscht
Nicht jede scheinbare Schadsoftware und nicht jede vermeintliche Spam-Mail sind wirklich eine Bedrohung. Denn Fehlalarme sind auch in der Datensicherheit möglich.
Die Folgen können massiv sein, abhängig von den Einstellungen in den IT-Sicherheitslösungen und von den Reaktionen der Nutzer und Administratoren.
Bei falscher Reaktion können Dateien und Mails gelöscht oder Programme, Nutzer und Datenverbindungen blockiert werden, obwohl dazu kein Anlass besteht.
Der Schaden kann zum Beispiel sein
- Datenverlust,
- Mail-Verlust und
- Verlust an Arbeitszeit und Produktivität.
Betriebssystem-Datei und kein Virus
Es kann zudem zu einem kompletten Systemausfall kommen: Statt einen Virus zu beseitigen, verschiebt eine Sicherheitslösung fälschlicherweise eine zentrale Windows-Funktion in den Quarantäne-Ordner, und schon funktioniert das Betriebssystem nicht mehr richtig.
Solche False Positives passieren, wenn angebliche Viren-Signaturen auch auf harmlose Programme zutreffen. Oder ein Anti-Malware-Programm eine Aktion falsch interpretiert, die eine andere Anwendung vornehmen möchte, und eingreift.
So ist es schon vorgekommen, dass eine Sicherheitslösung ein anderes Sicherheitswerkzeug oder eine andere wichtige Anwendung kalt gestellt hat.
Kunden-Mail statt Spam
Während ein False Positive bei Anti-Malware-Lösungen oder einem anderen Abwehrprogramm zu Systemausfällen führen kann, sind Fehlalarme bei Spam-Filtern scheinbar harmloser.
Allerdings trügt der Schein: Wird eine wichtige Kunden-Mail als Spam eingestuft und landet sie im lokalen Spam-Filter statt im Posteingang, kann ein Auftrag verloren gehen.
False Positive Rate
Wie viele Falschmeldungen eine Sicherheitslösung bringt, ist an der sogenannten False Positive Rate eines Herstellers ersichtlich. Ist sie nicht angegeben, sollte der Einkauf unbedingt nachfragen.
Lassen Sie sich allerdings nicht von den niedrigen Werten blenden. Eine False Positive Rate von 0,2 Prozent klingt erst einmal wenig.
Macht man sich aber klar, dass in diesem Fall von jeweils 1.000 E-Mails, die ein Unternehmen bekommt, zwei Mails fälschlich als Spam eingestuft werden, sieht man schnell, dass bei vielen Unternehmen ein solcher Fehler jeden Tag passieren dürfte.
Falschmeldungen des Spam-Filters können teuer sein: Schäden entstehen
- durch die regelmäßig notwendige Kontrolle des Spam-Ordners, ob nicht doch wichtige Mails darin enthalten sind,
- durch Störungen im Betriebsablauf durch liegen gebliebene Mails und
- durch verärgerte Kunden.
False Positives im Datensicherheitskonzept berücksichtigen
Unternehmen sollten nicht einfach damit „leben“, dass es False Positives gibt. Sie müssen handeln, indem zum Beispiel die Nutzer für das Thema sensibilisiert werden. Denn eine Auswirkung der False Positives wird gern übersehen: das sinkende Risikobewusstsein bei den Mitarbeitern.
Kommt es öfter vor, dass eine Virus-Warnung oder die Einstufung als Spam nicht stimmt, vertrauen die Mitarbeiterinnen und Mitarbeiter den Sicherheitslösungen nicht mehr. Das kann sogar so weit gehen, dass sie die Warnungen der Sicherheitssysteme nicht mehr ernst nehmen.
Das bringt personenbezogene Daten in Gefahr. Denn Nutzer übergehen dann Viren-Warnungen unter Umständen ebenso wie Spam-Hinweise.
Maßnahme 1: Falschmeldungen erklären
- Es ist wichtig, dass die Mitarbeiter False Positives generell verstehen. Unterstreichen Sie dabei, dass die Nutzer trotz möglicher Fehlalarme die Warnungen einer Sicherheitslösung beachten müssen.
- Administratoren sollten mögliche False Positives an den Hersteller der Sicherheitslösung melden und über eine Änderung der Einstellungen bei Spam-Filter, Intrusion-Detection-System oder Firewall möglichst reduzieren.
Nicht nur unerkannte Viren und Spam-Mails (False Negatives) sind somit ein Thema für die Datenschutzkontrolle, sondern auch die False Positives. Denn sie können die Mitarbeiter-Sensibilisierung, den Betriebsablauf und die Kundenbeziehung stören.
Maßnahme 2: False Positives minimieren
Eine neue Entwicklung in der IT-Sicherheit hilft gegen die Folgen von False Positives:
- Um einen möglichen Fehlalarm nicht überzubewerten, verschieben verschiedene Lösungen scheinbare Malware zunächst automatisch in Quarantäne.
- Dann wird geprüft, ob der Alarm wirklich seine Berechtigung hatte.
- Ist dem nicht so, werden die „unschuldigen“ Dateien aus der Quarantäne entlassen.
Das vermeidet einen Datenverlust durch eine unnötige Datenlöschung. Und der Nutzer muss sich nicht um die „Entlassung“ der betroffenen Dateien kümmern. Das läuft automatisch.
Andere Schutzprogramme melden ihre möglichen Virenfunde zuerst an Cloud-Dienste des Anbieters:
- Dort wird die Sicherheitswarnung überprüft, ob zum Beispiel bekannt ist, dass es sich um eine Falschmeldung handelt. Im Prinzip nutzt die Sicherheitssoftware die Reputation eines möglichen Virenfunds.
- Ist die Entdeckung nicht als False Positive bekannt, wird der Fund als echte Malware eingestuft.
Zusätzlich zu modernen technischen Lösungen als Schutz vor den Auswirkungen der False Positives ist es unumgänglich, dass der Datenschutzbeauftragte die Mitarbeiterinnen und Mitarbeiter schult. Nur das stellt sicher, dass die Kollegen weder überreagieren noch eine Warnung vernachlässigen.
Oliver Schonschek