Microsoft will Falschmeldungen von Windows Defender reduzieren

Microsoft will in Zusammenarbeit mit Partnern und Entwicklern die Zahl von Falschmeldungen seiner Sicherheitslösung Windows Defender Advanced Threat Protection (ATP) reduzieren. Unter anderem sollen Regeln Softwareanbietern helfen, deren Anwendungen versehentlich als schädlich eingestuft wurden.

Die sogenannten False Positives sind ein Problem aller Sicherheitslösungen. Es sei ein Kompromiss eines intelligenten und skalierbaren Ansatzes zur Erkennung von Malware, dass besonders aggressive Kriterien dazu führten, dass normale Dateien in Ausnahmefällen als bösartig erkannt würden. „Obwohl False Positives im Vergleich zu der großen Anzahl von Malware, die wir korrekt identifizieren (True Positives) und vor der wir unsere Kunden schützen, sehr selten sind, sind wir uns der Auswirkungen bewusst, die falsch klassifizierte Dateien haben können. Die Minimierung von Fehlalarmen ist eine ebenso wichtige Qualitätskennzahl, an deren Verbesserung wir kontinuierlich arbeiten“, schreibt Michael Johnson, Windows Defender Research, in einem Blogeintrag.

Die von ihm bevorzugte Lösung ist jedoch für viele Softwareentwickler nicht geeignet. „Die Veröffentlichung von Apps im Microsoft Store ist der beste Weg für Anbieter und Entwickler sicherzustellen, dass ihre Programme nicht falsch eingestuft werden.“ Als Alternative rät er zur digitalen Signierung der Installationsdateien. Sie garantiere die Integrität der Software.

Microsoft bewerte aber auch den Ruf der mit einem Zertifikat signierten Dateien. „Um einen positiven Ruf bei mehreren Programmen und Dateien zu erlangen, signieren Entwickler Dateien mit einem digitalen Zertifikat mit positivem Ruf“, ergänzte Johnson. Werde allerdings eine der zu einem Zertifikat gehörenden Dateien als Malware erkannt, gelte der „schlechte Ruf“ auch für alle anderen Dateien. Das solle vor allem vor einem Missbrauch von vertrauenswürdigen Zertifikaten schützen.

Darüber hinaus mahnt Microsoft an, nur übliche Installationsverzeichnisse sowie Dateinamen zu verwenden, die dem Zweck der Software entsprechen. Auch sollten Entwickler nicht kommerzielle Pack-Programme meiden. Ein False Positive werden unter Umständen aber auch durch Programme ausgelöst, die zusammen mit der Hauptanwendung installiert würden. „Wenn ein Programm ein anderes Programm oder Dateien installiert, die einen schlechten Ruf haben, dann geht der schlechte Ruf auf dieses Programm über“, heißt es weiter in dem Blogeintrag.

Darüber hinaus bleibt Anbietern und Entwicklern die Möglichkeit, fälschlicherweise als Malware erkannte Dateien über das Windows Defender Security Intelligence Portal zur Prüfung einzureichen.

Im Test des unabhängigen Prüfinstituts AV-Test hatte die Consumer-Variante von Windows Defender zuletzt eine Top-Bewertung erhalten. Unter anderem wurde nur eine normale Software fälschlicherweise als Malware erkannt. Der Branchendurchschnitt liegt laut AV-Test bei elf False Positives auf mehr als 1,66 Millionen Samples.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago