Kaspersky beantragt Patent auf Fehlalarm-Bremse

Eugene Kaspersky erklärt in seinem Blog, dass die Schutzprogramme seines Unternehmens seit kurzem immer zuerst Zuhause nachfragen, ehe sie den Nutzer über einen Virenfund informieren. Dadurch will das Unternehmen Falscherkennungen, die sogenannten False Positives, reduzieren.

Bevor die Virenwarnung erscheint, sendet die Kaspersky-Software Informationen über die verdächtige Datei sowie der für den Fund verantwortlichen Signatur an das sogenannte Kaskersky Security Network. Der Cloud-Dienst überprüft dann, ob sich die Datei auf einer Whitelist befindet und ob die Signatur bekanntermaßen für Fehleinschätzungen sorgt. Bislang wurden diese Information in Form von Signaturupdates an die Clients verteilt, was zu mehrstündigen Verzögerung führen kann.

Darüber hinaus schreibt Kaspersky, dass sein Unternehmen mit "silent detections", also stillen Erkennungen arbeite. Damit teste Kaspersky Labs besonders komplexe Virensignaturen im Stillen – schlägt das Schutzprogramm aufgrund einer solchen Signatur an, wird der Nutzer nicht darüber informiert. So kann das Unternehmen vorab Virensignaturen erkennen, die auf den System der Nutzer massenhaft für False Positives sorgen würden.

Wie problematisch Fehlalarme sein können, zeigt sich am Beispiel Avira, die vor kurzem unter anderem Windows-Systemprozesse als verdächtig einstuften. Dadurch wurden die betroffenen Rechner praktisch lahm gelegt. Kaspersky hat nach eigenen Angaben ein Patent auf die cloud-basierte Fehlalarmunterdrückung beantragt. Ob das Verfahren tatsächlich so neuartig ist, lässt sich schwer beurteilen. Allerdings ist Kaspersky "einer der wenigen Hersteller, die Cloud Computing endlich intelligent zur Malware-Bekämpfung nutzen.", erklärt Andreas Marx vom Antivirentestlabor AV-Test. (rei)