Was ist eigentlich "unerwünschte Software"?
False-Positive-Problem bei weitem nicht gelöst
Kleine, lokale und mitunter selbst erstellte Software-Pakete tauchen selten in einer "weißen Liste" auf
Von Richard Werner, Regional Solution Manager bei Trend Micro
(05.03.15) - VirusTotal, vielen als kostenloser Web-Dienst zur Überprüfung von Dateien auf Malware bekannt, hat nun Unternehmen aufgefordert, auch legale Software zur Erstellung sogenannter "Whitelists" einzureichen. Dies soll verhindern, dass die "übereifrige" Heuristik von AV-Lösungen legale Software fälschlicherweise als Malware identifiziert und so unbeabsichtigt mehr Schaden als Nutzen verursacht. Zunächst wird diese Liste mit den großen Software-Herstellern bestückt, später mit den kleineren. Grundsätzlich ist dieser Ansatz sehr löblich. Neu ist er allerdings nicht. Und das eigentliche Problem löst er auch nicht.
Alle größeren Sicherheitsunternehmen besitzen eigene "weiße Listen", um der Thematik Herr zu werden. Weil diese Listen mit den weit verbreiteten Software-Lösungen angefangen haben, gehören die wirklich großen False-Positive-Probleme, die beispielsweise Microsoft-Betriebssysteme angehen, weitgehend der Vergangenheit an. Da Trend Micros Datenbank derzeit etwas über 500 Millionen White-List-Einträge enthält, haben wir einen pragmatischen Weg eingeschlagen und legen "Standardsoftware" wie beispielsweise sämtliche Microsoft-Produkte in Listen kategoriebasiert sowie mit ihrer Versionsnummer ab. Damit ermöglichen wir es IT-Verantwortlichen in Unternehmen, sich in kurzer Zeit einen Überblick darüber zu verschaffen, ob die eingesetzte Software ihren Richtlinien entspricht, und diese Richtlinien damit auch durchzusetzen. Unbekannte Software wie beispielsweise eigenentwickelte Programme werden extra ausgewiesen und können entweder in die Listen aufgenommen oder auf den Systemen geblockt werden. Und zu guter Letzt kann im "Lockdown-Modus" auf einem System ausschließlich bekannte Software eingesetzt und nichts anderes zugelassen werden.
Dennoch ist das False-Positive-Problem bei weitem nicht gelöst. Es hat nämlich zwei Herausforderungen.
Zum einen sind es gerade die kleinen, lokalen und mitunter selbst erstellten Software-Pakete, die selten in einer "weißen Liste" auftauchen, dann aber wiederum für falsche Alarme sorgen und den Betrieb behindern. Zum anderen ist das Erstellen und Pflegen einer solchen Liste gerade bei kleinen Software-Bereichen nicht ohne Probleme. Dafür gibt es zu viele unterschiedliche Software-Lösungen auf der Welt, die zudem sehr oft aktualisiert werden. Google (seit 2012 Besitzer von VirusTotal) fordert deshalb gerade Ersteller "unerwünschter" Software-Pakete auf, nichts einzusenden. Hier stellen sich zwei Fragen: Wer entscheidet eigentlich, was unerwünschte Software oder legal ist? Und nach welchen Kriterien?
Letztlich steht zu befürchten, dass nur weit verbreitete Software namhafter Hersteller in diesen Listen auftaucht. Und das löst das Problem ja gerade eben nicht.
Über Richard Werner
Als "Regional Solution Manager" verantwortet Richard Werner bei Trend Micro die Produkteinführung der Endpunkt-Lösungen von Trend Micro. Davor hatte Werner, der seit 2000 bei dem japanischen IT-Sicherheitsanbieter arbeitet, verschiedene leitende Positionen im Vertrieb inne, insbesondere im Post- und Pre-Sales-Support.
(Trend Micro: ra)
Trend Micro: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.