False Positive ist ein Sicherheitsalarm, der durch eine harmlose Aktivität ausgelöst wird. Das System meldet einen Vorfall, obwohl kein tatsächlicher Angriff oder Regelverstoß vorliegt.
False Positives sind eines der größten operativen Probleme in der Informationssicherheit. Zu viele Fehlalarme führen zu Alert Fatigue: Das Security-Team stumpft ab und übersieht echte Vorfälle im Rauschen. Die Feinabstimmung (Tuning) von IDS/IPS-Regeln, SIEM-Korrelationen und DLP-Richtlinien ist ein kontinuierlicher Prozess. Das Gegenstück ist der False Negative — ein echter Angriff, der nicht erkannt wird. Ein gutes Security-Monitoring findet die Balance zwischen beiden.