Als „False Positive“ wird die fehlerhafte Erkennung von Schadsoftware (Viren, Trojaner etc.) durch einen Virenscanner bezeichnet. Im IDS-Bereich wird der Begriff auch für die falsche Erkennung von Angriffsmustern verwendet.
Bei einem False Positive meldet der Virenscanner den Fund einer Schadsoftware in einem Objekt (Datei, Arbeitsspeicher, Bootstruktur etc.), in dem sich tatsächlich keine Schadsoftware befindet. Diese Falscherkennung beruht in der Regel auf der Verwendung einer nicht ausreichend getesteten Erkennungsroutine des Virenscanners. Die Hersteller von Virenscannern testen ihre Erkennungsroutinen (oft vereinfachend als Signaturen oder Suchmuster bezeichnet) vor der Veröffentlichung ausgiebig. Aufgrund des Drucks, neue Schadsoftware zeitnah beim gefährdeten Anwender zu erkennen, beschränkt sich die Qualitätssicherung auf eine vordefinierte Menge an Software.
Dabei werden die Erkennungsroutinen zur Vermeidung von False Positive gegen Standardsoftware getestet und anschließend freigegeben. Nach der Freigabe erfolgen weitere Tests gegen veraltete Softwareprodukte, selten verwendete Komponenten und „Exotensoftware“. Im Ereignisfall kann es dann passieren, dass der Virenscanner in einer noch nicht vom Hersteller des Virenscanners getesteten Softwareumgebung anspricht und einen False Positive erzeugt. Dies kann auch passieren, wenn der Hersteller eine generische Malware-Erkennung verwendet, um eine neue, sehr gefährliche Malware zu erkennen.
Die Folgen von False Positive
Grundsätzlich ist ein False Positive für den betroffenen Anwender bzw. das betroffene Unternehmen nicht geschäftsgefährdend (es handelt sich ja um eine Fehlerkennung – keine Malware hat das IT-System infiziert). Ein Problem entsteht jedoch, wenn Automatismen in Gang gesetzt werden, die die vermeintliche Infektion bekämpfen sollen. Viele Virenscanner bieten die Möglichkeit, ein infiziertes Objekt zu löschen oder zu bereinigen (die Schadsoftware wird aus dem Objekt entfernt). Wenn der False Positive eine Systemdatei meldet und der Virenscanner diese Datei löscht, kann das Betriebssystem und/oder eine Anwendung irreparabel beschädigt werden. Die Beeinträchtigung der Systemintegrität kann dann wie folgt aussehen:
- Das IT-System lässt sich nicht mehr starten (booten).
- Die Netzwerkverbindung ist gestört, das System kann nicht mehr zentral administriert werden.
- Betriebliche Anwendungen können nicht mehr gestartet werden, da Dateien fehlen
- Der Zugriff auf gemeinsam genutzte Arbeitsräume ist nicht möglich.
Diese Beeinträchtigungen können auch auftreten, wenn der Virenscanner versucht, die False Positive-Datei zu bereinigen. Denn beim Versuch, die Datei von der Malware zu säubern, können System- und/oder Anwendungsdateien beschädigt werden. In der Vergangenheit wurden einige so genannte Zombie-Viren gesichtet, die nur aus eingebetteten Virensignaturen bestehen und erst durch die automatisierte Reparatur der Virenscanner Schaden anrichten. Solche „Viren“ werden mindestens seit 1993 beschrieben (unter dem Begriff Phantomviren).
Maßnahmen gegen False Positive
False Positives können zu unnötigen Unterbrechungen und Änderungen führen. Manchmal kann eine alte Version eines Virenscanners eine Datei fälschlicherweise als Malware markieren. Vergewissern Sie sich, dass Ihr Virenscanner und dessen Virendefinitionen auf dem neuesten Stand sind.
Einige Antivirenprogramme bieten die Möglichkeit, bestimmte Dateien oder Programme auf eine „weiße Liste“ zu setzen, so dass sie in Zukunft nicht mehr als Bedrohung angesehen werden.
Wenn Sie sicher sind, dass die Datei oder das Programm sicher ist, melden Sie den falsch-positiven Fund dem Hersteller Ihres Virenscanners. Häufig kann der Fehler in einem späteren Update behoben werden.
