Falsch Positiv (False Positive)
Was ist ein Falsch Positiv?
Bei Spam-Filtern ist ein False Positive zum Beispiel eine legitime Nachricht, die die Software unkorrekt als Ausschuss deklariert hat. Die Bezeichnung dafür ist auch Bulk-Mail, Junk-Mail oder einfach Spam. Kennzeichnet der Filter eine Nachricht als Spam, wird sie möglicherweise vom Server oder dem Spam-Filter auf einem Computer abgewiesen und zum Sender als Bounce-E-Mail zurückgesendet. Dabei macht es keinen Unterschied, ob das korrekt oder nicht korrekt ist.
Die Konfiguration von Spam-Filtern ist das Wandeln auf dünnem Eis. Sind sie sehr streng eingestellt, sind sie effektiv. Allerdings gibt es auch eine hohe Chance, dass es zu vielen False Positives kommt. Möglicherweise blockiert die Software wichtige Nachrichten. Aus diesem Grund sahen viele Unternehmen in der Vergangenheit davon ab, Spam-Filter oder Anti-Spam-Mechanismen einzusetzen. Die Lösungen sind hinsichtlich der Falsch-Positiv-Rate immer weiter verbessert worden, auch wenn das ebenso für die Fähigkeiten der Angreifer gilt.
False Positives sind auch bei Security-Systemen bekannt. Ein HIPS (Host Intrusion Prevention System) sieht sich zum Beispiel nach Anomalien um. Das können Abweichungen bei Bandbreite, Protokollen und Ports sein. Weicht die entsprechende Aktivität zu sehr von der Norm ab, dann könnte es sich um einen Einbruch handeln. Ein Beispiel wäre, wenn eine Remote-Anwendung plötzlich versucht, einen normalerweise geschlossenen Port zu öffnen. Gibt es allerdings bei der Bandbreitennutzung eine Spitzenlast, muss das nicht unbedingt ein Angriff sein. Aus diesem Grund setzen Administratoren an der Stelle auf eine begründete Vermutung, wissen aber, dass die Chance eines False Positives hoch sein kann.
Die Risiken von Falsch-Positiv-Meldungen
Schlagen Sicherheitssysteme Alarm, kann dies vielfältige Gründe haben und muss nicht unbedingt ein Sicherheitsproblem sein. Dann spricht man auch von einem Falsch Positiv. Treten zu viele dieser Falsch-Positiv-Meldungen auf bindet dies einerseits Ressourcen im IT-Team und fördert andererseits die Alarmmüdigkeit (Alert Fatigue). Eine zu hohe Anzahl an Warnmeldungen ohne ernsthaften Hintergrund können beispielsweise daraufhin deuten, dass die Systeme nicht optimal auf die Umgebung abgestimmt sind. Wenn ein Security-Analyst zu viel Zeit damit verbringt, herauszufinden, reduziert dies die Zeit, die man für echte Bedrohungen aufwenden kann. Andererseits besteht die Gefahr, dass manche Meldungen nicht ernst genug genommen werden und wirkliche Vorfälle übersehen werden.
In der IT-Sicherheit wird die Falsch-Positiv-Rate häufig als wichtige Kennzahl betrachtet. Fällt diese niedrig aus, wird davon ausgegangen, dass die Erkennung von Bedrohungen gut funktioniert. Allerdings wird durchaus diskutiert, wie aussagekräftig dies ist.
False Positives sind das Gegenteil von False Negatives. Hier prüft die Software, ob ein bestimmter Zustand nicht gegeben ist und ein False Negative würde entsprechend durch den Filter schlüpfen.
