Was ist in der Sicherheitserkennung schlimmer: ein False Positive oder ein False Negative?
Kurzantwort
Aus rein sicherheitstechnischer Sicht ist ein False Negative meist schlimmer: Es bedeutet, dass ein echter Angriff unentdeckt blieb, also gibt es keine Reaktion, keine Eindämmung, und der Vorfall kann unentdeckt schwelen. Aber False Positives sind nicht harmlos — in großer Zahl verursachen sie Alert-Fatigue, bei der Analysten beginnen, Alarme zu ignorieren und den echten zu verpassen. Die richtige Antwort nennt den Kompromiss, nicht nur einen Gewinner.
Diese Frage sieht so aus, als wolle sie einen Ein-Wort-Gewinner. Die Falle ist, mit absoluter Sicherheit in eine der beiden Richtungen zu antworten — der Interviewer prüft, ob Sie über den Kompromiss wie ein Detection Engineer nachdenken können.
Definieren Sie zuerst die Begriffe
- Ein False Positive ist ein harmloses Ereignis, das als bösartig markiert wird — ein verschwendeter Alarm.
- Ein False Negative ist ein bösartiges Ereignis, das nicht markiert wurde — ein Versäumnis.
Warum False Negatives meist schlimmer sind
Ein False Negative bedeutet, dass ein Angriff ohne Erkennung und ohne Reaktion durchrutschte. Es gibt keine Untersuchung, keine Eindämmung, und der Angreifer kann verweilen, eskalieren und exfiltrieren, während Sie sich sicher wähnen. Die Kosten eines einzigen übersehenen Vorfalls können die Kosten des Triagierens vieler Fehlalarme bei Weitem übersteigen. Aus reiner Risikosicht ist der unentdeckte Angriff das Albtraumszenario.
Warum man False Positives nicht abtun kann
Hier ist die Feinheit, die starke Kandidaten unterscheidet: zu viele False Positives verursachen Alert-Fatigue. Analysten, die in Rauschen ertrinken, beginnen, Alarme abzunicken oder zu ignorieren — und verpassen dann den echten. Ein Übermaß an False Positives erzeugt also False Negatives. Die beiden Fehlermodi sind verknüpft, nicht unabhängig. Der Ablenker, der sagt „Tuning beseitigt beide“, ignoriert, dass jede Erkennungsschwelle das eine gegen das andere abwägt.
Die reife Antwort
Sagen Sie, dass ein False Negative meist schlimmer ist, und räumen Sie dann sofort ein, dass ungebremste False Positives die Erkennungsfähigkeit untergraben und faktisch False Negatives erzeugen. Erwähnen Sie Tuning, risikobasierte Priorisierung und Kontext (eine übersehene Ransomware-Bake ist weit schlimmer als ein übersehener Scan geringer Schwere).
Worauf Interviewer achten
Die Rahmung als Kompromiss, der Bezug zur Alert-Fatigue und die Weigerung, ein kontextloses Absolutum zu geben.
Wahrscheinliche Anschlussfragen
- Wie verursacht Alert-Fatigue durch False Positives indirekt False Negatives?
- Wie würden Sie eine laute Erkennungsregel tunen, ohne blinde Flecken zu schaffen?
- Wann würden Sie bewusst mehr False Positives tolerieren?