Alle größeren Sicherheitsunternehmen besitzen eigene "weiße Listen", um der Thematik Herr zu werden. Weil diese Listen mit den weit verbreiteten Software-Lösungen angefangen haben, gehören die wirklich großen False-Positive-Probleme, die beispielsweise Microsoft-Betriebssysteme angehen, weitgehend der Vergangenheit an. Da Trend Micros Datenbank derzeit etwas über 500 Millionen White-List-Einträge enthält, haben wir einen pragmatischen Weg eingeschlagen und legen "Standardsoftware" wie beispielsweise sämtliche Microsoft-Produkte in Listen kategoriebasiert sowie mit ihrer Versionsnummer ab. Damit ermöglichen wir es IT-Verantwortlichen in Unternehmen, sich in kurzer Zeit einen Überblick darüber zu verschaffen, ob die eingesetzte Software ihren Richtlinien entspricht, und diese Richtlinien damit auch durchzusetzen. Unbekannte Software wie beispielsweise eigenentwickelte Programme werden extra ausgewiesen und können entweder in die Listen aufgenommen oder auf den Systemen geblockt werden. Und zu guter Letzt kann im "Lockdown-Modus" auf einem System ausschließlich bekannte Software eingesetzt und nichts anderes zugelassen werden.
Was ist eigentlich "unerwünschte Software"?
Dennoch ist das False-Positive-Problem bei weitem nicht gelöst. Es hat nämlich zwei Herausforderungen.
Zum einen sind es gerade die kleinen, lokalen und mitunter selbst erstellten Software-Pakete, die selten in einer "weißen Liste" auftauchen, dann aber wiederum für falsche Alarme sorgen und den Betrieb behindern. Zum anderen ist das Erstellen und Pflegen einer solchen Liste gerade bei kleinen Software-Bereichen nicht ohne Probleme. Dafür gibt es zu viele unterschiedliche Software-Lösungen auf der Welt, die zudem sehr oft aktualisiert werden. Google (seit 2012 Besitzer von VirusTotal) fordert deshalb gerade Ersteller "unerwünschter" Software-Pakete auf, nichts einzusenden. Hier stellen sich zwei Fragen: Wer entscheidet eigentlich, was unerwünschte Software oder legal ist? Und nach welchen Kriterien?
Letztlich steht zu befürchten, dass nur weit verbreitete Software namhafter Hersteller in diesen Listen auftaucht. Und das löst das Problem ja gerade eben nicht.
Über Richard Werner
Als "Regional Solution Manager" verantwortet Richard Werner bei Trend Micro die Produkteinführung der Endpunkt-Lösungen von Trend Micro. Davor hatte Werner, der seit 2000 bei dem japanischen IT-Sicherheitsanbieter arbeitet, verschiedene leitende Positionen im Vertrieb inne, insbesondere im Post- und Pre-Sales-Support.