Falsch Positiv (False Positive)

Was ist ein Falsch Positiv?

Bei Spam-Filtern ist ein False Positive zum Beispiel eine legitime Nachricht, die die Software unkorrekt als Ausschuss deklariert hat. Die Bezeichnung dafür ist auch Bulk-Mail, Junk-Mail oder einfach Spam. Kennzeichnet der Filter eine Nachricht als Spam, wird sie möglicherweise vom Server oder dem Spam-Filter auf einem Computer abgewiesen und zum Sender als Bounce-E-Mail zurückgesendet. Dabei macht es keinen Unterschied, ob das korrekt oder nicht korrekt ist.

Die Konfiguration von Spam-Filtern ist das Wandeln auf dünnem Eis. Sind sie sehr streng eingestellt, sind sie effektiv. Allerdings gibt es auch eine hohe Chance, dass es zu vielen False Positives kommt. Möglicherweise blockiert die Software wichtige Nachrichten. Aus diesem Grund sehen viele Firmen davon ab, Spam-Filter oder Anti-Spam-Mechanismen einzusetzen.

False Positives sind auch bei Security-Systemen bekannt. Ein HIPS (Host Intrusion Prevention System) sieht sich zum Beispiel nach Anomalien um. Das können Abweichungen bei Bandbreite, Protokollen und Ports sein. Weicht die entsprechende Aktivität zu sehr von der Norm ab, dann könnte es sich um einen Einbruch handeln. Ein Beispiel wäre, wenn eine Remote-Anwendung plötzlich versucht, einen normalerweise geschlossenen Port zu öffnen. Gibt es allerdings bei der Bandbreitennutzung eine Spitzenlast, muss das nicht unbedingt ein Angriff sein. Aus diesem Grund setzen Administratoren an der Stelle auf eine begründete Vermutung, wissen aber, dass die Chance eines False Positives hoch sein kann.

False Positives sind das Gegenteil von False Negatives. Hier prüft die Software, ob ein bestimmter Zustand nicht gegeben ist und ein False Negative würde entsprechend durch den Filter schlüpfen.