FalsePositive

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Als „False Positive“ (FP) wird eine unkorrekte Erkennung von Schadsoftware (Computervirus, Trojaner etc.) durch einen Virenscanner bezeichnet. Im Bereich IDS wird der Begriff ebenfalls bei der unkorrekten Erkennung von Angriffsmustern verwendet.

Situation

Der Virenscanner meldet bei einem False Positive den Fund einer Schadsoftware in einem Objekt (Datei, Arbeitsspeicher, Bootstruktur etc.), in dem real keine Schadsoftware vorhanden ist. Üblicherweise basiert diese Falschidentifikation auf der Verwendung einer nicht ausreichend getesteten Erkennungsroutine des Virenscanners. Die Hersteller von Virenscannern testen ihre Erkennungsroutinen (oft vereinfachend als Signatur oder Suchpattern bezeichnet), vor Veröffentlichung ausführlich. Bedingt durch den Druck, neue Schadsoftware zeitnah beim bedrohten Anwender zu erkennen, wird die Qualitätssicherung auf eine vordefinierte Software-Menge beschränkt.

Dabei werden die Erkennungsroutinen zur Vermeidung von FP gegen Standard-Software geprüft und dann freigegeben. Nach der Freigabe erfolgen dann weitere Tests gegen veraltete Softwareprodukte, selten eingesetzte Komponenten und „Exoten-Software“. Im Ereignisfall kann es passieren, dass der Virenscanner dann in einer noch nicht durch den Virenscanner-Hersteller getesteten Softwareumgebung anschlägt und einen FP produziert. Dies kann auch vorkommen, wenn der Hersteller eine generische Schadsoftware-Erkennung nutzt, um eine neue, höchst bedrohliche Schadsoftware zu erkennen.


Probleme

Grundsätzlich ist ein FP nicht geschäftsgefährdend für den betroffenen Anwender bzw. das Unternehmen (es ist ja eine Fehl-Erkennung – keine Schadsoftware hat das IT-System infiziert). Ein Problem entsteht aber, wenn Automatismen greifen, welche die vermeintliche Infektion bekämpfen sollen. Viele Virenscanner bieten die Option an, ein infiziertes Objekt zu löschen oder zu cleanen (dabei wird die Schadsoftware aus dem Objekt entfernt). Wird durch den FP eine Systemdatei gemeldet und der Virenscanner löscht diese Datei, kann dadurch das Betriebssystem und/oder eine Anwendung irreparabel geschädigt werden. Die Beeinträchtigung der Systemintegrität kann sich dann wie folgt darstellen:

  • Das IT-System kann nicht mehr gestartet (Booten) werden
  • Die Netzanbindung ist gestört, das System kann nicht mehr zentral administriert werden
  • Betriebliche Anwendungen können nicht mehr gestartet werden, da Dateien fehlen
  • Der Zugriff auf gemeinsame Arbeitsbereiche ist nicht möglich

Diese Beeinträchtigungen können auch auftreten, wenn der Virenscanner versucht die FP-Datei zu cleanen. Denn im Bestreben die Datei von der Schadsoftware zu säubern wird ggf. eine System- und/oder Anwendungsdatei kaputt repariert.

In der Vergangenheit wurden einige wenige sogenannte Zombie-Viren gesichtet, die nur aus eingebetteten Virensignaturen bestehen und erst über das automatisierte Reparieren der Virenscanner einen Schaden verursachen. Beschrieben wurden solche "Viren" mindestens schon seit dem Jahr 1993 (mit dem Begriff Phantom-Viren, siehe Literatur)


Vorsichtsmaßnahmen

Glücklicherweise kommen FP-Erkennung recht selten vor und werden meistens auch zeitnah durch den Virenscanner-Hersteller erkannt und behoben. Zur Vermeidung von FPs bzw. zur Minimierung des Risikos bieten sich mehrere Strategien an:

  1. Prüfen von neuen Erkennungsroutinen (Signaturpattern) im eignen Umfeld auf einem einzelnen System, bevor diese für den Einsatz freigegeben werden
  2. Keine Nutzung von Automatismen, die infizierte Objekte automatisch löschen oder cleanen
  3. Verzögerter Einsatz von neuen Erkennungsroutinen bis zu 12h, in der Hoffnung, dass FPs bis dahin (durch andere Nutzer) bereits entdeckt wurden

Eine generelle Empfehlung kann nicht ausgesprochen werden, da jede Strategie auch Nachteile mit sich bringt. Der verzögerte Einsatz von neuen Erkennungsroutinen (1 und 3) erhöht das Risiko, dass sich eine neue Schadsoftware bereits im Umfeld ausbreitet und die eigenen IT-Systeme attackiert. Die Vermeidung von Automatismen (2) erhöht den Aufwand für den Anwender und ggf. das Administrationspersonal, da jede Schadsoftware-Infektion manuell bearbeitet werden muss.


Weblinks

Übersicht zu FPs in den letzten Jahren


Literatur

Dombach, Ralph: Viren und Eulenspiegeleien; KES 3/1993, S.36-40


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 7. April 2017 um 12:26 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl und Ralph Dombach.

Anzeigen