Antiviren-Programme und andere Sicherheitsvorkehrungen dienen unserem Schutz. Was passiert jedoch, wenn das eigene Sicherheitssystem selbst zur Bedrohung wird? Der IT-Sicherheitsverband Tabidus Technology hat sich mit dieser Problematik beschäftigt, erklärt die Zusammenhänge und wie Katastrophen verhindert werden können.

Meldungen über PC-Crashes häufen sich in den letzten Stunden weltweit: In Australien mussten Supermärkte schließen, nachdem PC-Kassen den Geist aufgaben. Beim Chip-Hersteller Intel soll nach Zeugenaussagen in ganzen Abteilungen der Betrieb zum Erliegen gekommen sein. Forschungseinrichtungen wie die amerikanische National Science Foundation erlebten den Totalausfall ihrer Rechner, mindestens ein Polizei-Netzwerk in den USA gab den Geist auf. In einigen Krankenhäusern wurden Operationen verschoben und Patienten ohne akute Traumata abgewiesen. Am Ausbildungskrankenhaus der Universität Michigan sollen 8.000 von rund 25.000 Rechner den Dienst quittiert haben.“ (Quelle: CNet)

Szenen wie diese klingen nach einer filmreifen Inszenierung aus Hollywood, aber waren bereits bittere Realität. Der Auslöser für diese Katastrophe: Ein Fehlalarm (False-Positive) durch das Antiviren-System eines renommierten Sicherheitsanbieters.

Wie kann das passieren?

False-Positives sind keine Seltenheit und auch kein Problem eines einzelnen Sicherheitsanbieters. Vielmehr handelt es sich um einen Nebeneffekt, der bei der Bekämpfung von Cyberbedrohungen auftritt.

Jeder Sicherheitsanbieter steht vor der Herausforderung „Gut“ von „Böse“ zu unterscheiden, um Bedrohungen identifizieren und bekämpfen zu können. Wann handelt es sich um eine legitime Datei und wann um einen Schadcode? So trivial das klingen mag ist es allerdings nicht. Die Datenmenge, die dafür täglich untersucht werden muss, ist enorm und verschiedenste Techniken sind erforderlich, um die immer komplexeren und gut getarnten Bedrohungen aufzuspüren. Neben vielen Analysten, die in den Antiviren-Laboren der Hersteller beschäftigt werden, übernehmen daher Maschinen einen Großteil dieser Arbeit. Abhängig vom jeweiligen Sicherheitsansatz wie Heuristik, Sandboxing oder Machine-Learning, finden solche automatisierten Malware-
Erkennungen auch teils direkt bei den Kunden vor Ort statt.

Die Möglichkeit, sich bei der Einstufung einer Bedrohung zu irren, ist jedem Hersteller bewusst. Qualitätssicherung wird deshalb bei allen Anbietern großgeschrieben und ebenfalls meist maschinell durchgeführt. Eine der wichtigsten Hilfsmittel sind dabei Vergleiche mit bekannten Dateien von namhaften Softwareherstellern (Whitelists), aber auch Testläufe mit Referenzsystemen werden häufig genutzt, um potentielle Fehlalarme aufzuspüren.

Wie kann es dann passieren, dass False-Positives auf Kundensystemen auftreten? Neben menschlichem Versagen liegt der Hauptgrund darin begründet, dass kein Hersteller seine Sicherheitsmaßnahmen gegen jegliche, weltweite Software prüfen kann. Zum anderen kann eine Prüfung nur zum Auslieferungszeitpunkt stattfinden und Veränderungen des Softwarestandes erst nachträglich, in Form von Korrekturen, berücksichtigt werden. Im Falle von autonomen Sicherheitstechniken, die bei Kunden vor Ort stattfinden, ist eine vorab Überprüfung sogar unmöglich, da diese nicht im unmittelbaren Einflussbereich des Anbieters stattfinden. Ein weiterer Aspekt sind unterschiedliche Standpunkte bei der Frage was eine Bedrohung ist. Während ein Hersteller eine Datei als legitim betrachtet, kann ein anderer Hersteller die gegenteilige Meinung vertreten und diese als bösartig einstufen.

Welche Konsequenzen hat ein False-Positive?

Wie schlimm sich ein Fehlalarm auswirkt ist von Fall zu Fall unterschiedlich. Globale Katastrophen, wie einleitend beschrieben, treten zum Beispiel dann ein, wenn Teile des Betriebssystems betroffen sind. Wird eine Systemdatei fälschlicherweise als Bedrohung eingestuft und automatisch gesäubert, kann es schnell zu weltweiten Computerabstürzen kommen. In anderen Fällen beschränkt sich der Zwischenfall auf einzelne Softwareprodukte und führt zu deren Absturz, Löschung und potentiellem Datenverlust sowie Funktionsstörungen. Besonders anfällig sind dafür Eigenentwicklungen und spezifische Softwaretools. In jedem Fall hat ein False-Positive für die Betroffenen sehr unangenehme Konsequenzen. Beginnend bei einem hohen Arbeitsaufwand zur Beseitigung des Vorfalls, bis hin zu finanziellen Schäden durch Produktionsausfälle und möglichem Reputationsverlust.

Wie kann das vermieden werden?

Ein Fehlalarm bei einem Sicherheitsanbieter kann niemals zur Gänze ausgeschlossen werden. Was jedoch verhindert werden kann, sind die negativen Auswirkungen eines False-Positives. Diese entstehen durch die automatischen Aktionen (z.B. löschen oder verschieben einer Datei), die eine Bedrohungserkennung auslöst. Wie bisherige Beobachtungen jedoch zeigen ist die Wahrscheinlichkeit, dass zwei unabhängige Hersteller, zum gleichen Zeitpunkt, bei der gleichen Datei, einen Fehlalarm produzieren, verschwindend gering.

Tabidus Technology verfolgt daher den Ansatz zwei oder mehr unabhängige Sicherheitsanbieter gleichzeitig einzusetzen und die automatischen Aktionen von deren Übereinstimmung abhängig zu machen. Eine Datei soll zum Beispiel nur dann gelöscht werden, wenn mindestens zwei unterschiedliche Hersteller bestätigen, dass es sich um eine Malware handelt. Würde nur ein einzelner Anbieter eine Bedrohung melden, genügt vielleicht ein einfacher Alarm. Diese Vorgehensweise erlaubt negative Auswirkungen eines False-Positives abzufangen und potentielle Katastrophen zu verhindern.

Der agile Einsatz von mehreren Sicherheitsanbietern kann jedoch nicht nur unerwünschte Auswirkungen von Fehlalarmen verhindern. Erfahren Sie darüber mehr in unserem Whitepaper „Schützen Sie Ihre Daten: Optimale Erkennung von Cyber-Bedrohungen für Unternehmen“. Laden Sie hier Ihr kostenloses Whitepaper herunter:

Schützen Sie Ihre Daten: Optimale Erkennung von Cyber-Bedrohungen für Unternehmen

Antiviren-Programme und andere Sicherheitsvorkehrungen dienen unserem Schutz. Was passiert jedoch, wenn das eigene Sicherheitssystem selbst zur Bedrohung wird? Der IT-Sicherheitsverband Tabidus Technology hat sich mit dieser Problematik beschäftigt, erklärt die Zusammenhänge und wie Katastrophen verhindert werden können.

Meldungen über PC-Crashes häufen sich in den letzten Stunden weltweit: In Australien mussten Supermärkte schließen, nachdem PC-Kassen den Geist aufgaben. Beim Chip-Hersteller Intel soll nach Zeugenaussagen in ganzen Abteilungen der Betrieb zum Erliegen gekommen sein. Forschungseinrichtungen wie die amerikanische National Science Foundation erlebten den Totalausfall ihrer Rechner, mindestens ein Polizei-Netzwerk in den USA gab den Geist auf. In einigen Krankenhäusern wurden Operationen verschoben und Patienten ohne akute Traumata abgewiesen. Am Ausbildungskrankenhaus der Universität Michigan sollen 8.000 von rund 25.000 Rechner den Dienst quittiert haben.“ (Quelle: CNet)

Szenen wie diese klingen nach einer filmreifen Inszenierung aus Hollywood, aber waren bereits bittere Realität. Der Auslöser für diese Katastrophe: Ein Fehlalarm (False-Positive) durch das Antiviren-System eines renommierten Sicherheitsanbieters.

Wie kann das passieren?

False-Positives sind keine Seltenheit und auch kein Problem eines einzelnen Sicherheitsanbieters. Vielmehr handelt es sich um einen Nebeneffekt, der bei der Bekämpfung von Cyberbedrohungen auftritt.

Jeder Sicherheitsanbieter steht vor der Herausforderung „Gut“ von „Böse“ zu unterscheiden, um Bedrohungen identifizieren und bekämpfen zu können. Wann handelt es sich um eine legitime Datei und wann um einen Schadcode? So trivial das klingen mag ist es allerdings nicht. Die Datenmenge, die dafür täglich untersucht werden muss, ist enorm und verschiedenste Techniken sind erforderlich, um die immer komplexeren und gut getarnten Bedrohungen aufzuspüren. Neben vielen Analysten, die in den Antiviren-Laboren der Hersteller beschäftigt werden, übernehmen daher Maschinen einen Großteil dieser Arbeit. Abhängig vom jeweiligen Sicherheitsansatz wie Heuristik, Sandboxing oder Machine-Learning, finden solche automatisierten Malware-
Erkennungen auch teils direkt bei den Kunden vor Ort statt.

Die Möglichkeit, sich bei der Einstufung einer Bedrohung zu irren, ist jedem Hersteller bewusst. Qualitätssicherung wird deshalb bei allen Anbietern großgeschrieben und ebenfalls meist maschinell durchgeführt. Eine der wichtigsten Hilfsmittel sind dabei Vergleiche mit bekannten Dateien von namhaften Softwareherstellern (Whitelists), aber auch Testläufe mit Referenzsystemen werden häufig genutzt, um potentielle Fehlalarme aufzuspüren.

Wie kann es dann passieren, dass False-Positives auf Kundensystemen auftreten? Neben menschlichem Versagen liegt der Hauptgrund darin begründet, dass kein Hersteller seine Sicherheitsmaßnahmen gegen jegliche, weltweite Software prüfen kann. Zum anderen kann eine Prüfung nur zum Auslieferungszeitpunkt stattfinden und Veränderungen des Softwarestandes erst nachträglich, in Form von Korrekturen, berücksichtigt werden. Im Falle von autonomen Sicherheitstechniken, die bei Kunden vor Ort stattfinden, ist eine vorab Überprüfung sogar unmöglich, da diese nicht im unmittelbaren Einflussbereich des Anbieters stattfinden. Ein weiterer Aspekt sind unterschiedliche Standpunkte bei der Frage was eine Bedrohung ist. Während ein Hersteller eine Datei als legitim betrachtet, kann ein anderer Hersteller die gegenteilige Meinung vertreten und diese als bösartig einstufen.

Welche Konsequenzen hat ein False-Positive?

Wie schlimm sich ein Fehlalarm auswirkt ist von Fall zu Fall unterschiedlich. Globale Katastrophen, wie einleitend beschrieben, treten zum Beispiel dann ein, wenn Teile des Betriebssystems betroffen sind. Wird eine Systemdatei fälschlicherweise als Bedrohung eingestuft und automatisch gesäubert, kann es schnell zu weltweiten Computerabstürzen kommen. In anderen Fällen beschränkt sich der Zwischenfall auf einzelne Softwareprodukte und führt zu deren Absturz, Löschung und potentiellem Datenverlust sowie Funktionsstörungen. Besonders anfällig sind dafür Eigenentwicklungen und spezifische Softwaretools. In jedem Fall hat ein False-Positive für die Betroffenen sehr unangenehme Konsequenzen. Beginnend bei einem hohen Arbeitsaufwand zur Beseitigung des Vorfalls, bis hin zu finanziellen Schäden durch Produktionsausfälle und möglichem Reputationsverlust.

Wie kann das vermieden werden?

Ein Fehlalarm bei einem Sicherheitsanbieter kann niemals zur Gänze ausgeschlossen werden. Was jedoch verhindert werden kann, sind die negativen Auswirkungen eines False-Positives. Diese entstehen durch die automatischen Aktionen (z.B. löschen oder verschieben einer Datei), die eine Bedrohungserkennung auslöst. Wie bisherige Beobachtungen jedoch zeigen ist die Wahrscheinlichkeit, dass zwei unabhängige Hersteller, zum gleichen Zeitpunkt, bei der gleichen Datei, einen Fehlalarm produzieren, verschwindend gering.

Tabidus Technology verfolgt daher den Ansatz zwei oder mehr unabhängige Sicherheitsanbieter gleichzeitig einzusetzen und die automatischen Aktionen von deren Übereinstimmung abhängig zu machen. Eine Datei soll zum Beispiel nur dann gelöscht werden, wenn mindestens zwei unterschiedliche Hersteller bestätigen, dass es sich um eine Malware handelt. Würde nur ein einzelner Anbieter eine Bedrohung melden, genügt vielleicht ein einfacher Alarm. Diese Vorgehensweise erlaubt negative Auswirkungen eines False-Positives abzufangen und potentielle Katastrophen zu verhindern.

Der agile Einsatz von mehreren Sicherheitsanbietern kann jedoch nicht nur unerwünschte Auswirkungen von Fehlalarmen verhindern. Erfahren Sie darüber mehr in unserem Whitepaper „Schützen Sie Ihre Daten: Optimale Erkennung von Cyber-Bedrohungen für Unternehmen“. Laden Sie hier Ihr kostenloses Whitepaper herunter:

Schützen Sie Ihre Daten: Optimale Erkennung von Cyber-Bedrohungen für Unternehmen