Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Whitelist und Blacklist – Wie diese Listen die eigenen Systeme schützen!

M.Sc. Jan Hörnemann

Die Whitelist und Blacklist dienen dem Schutz von Systemen im IT-Umfeld. Es handelt sich um eine Positivliste (white) und eine Negativliste (black). Die Positivliste lässt nur bestimmte Webadressen zu, die Negativliste sperrt bestimmte Adressen. Damit verfolgen die beiden Listen jeweils gegensätzliche Strategien, die sich für unterschiedliche Bereiche eignen.

Laden Sie jetzt unsere kostenfreien ISO 27001:2022 Vorlagen herunter

Über 40 Vorlagen die Sie für den Aufbau Ihres Informationssicherheitsmanagementsystems nutzen können.

Kostenfrei. Jetzt anfordern

Grundsätzlicher Schutz durch die Black- und Whitelist

Beide Listen liefern einen grundsätzlichen Schutz vor Bedrohungen und unerwünschten Aktionen wie Spam. Die Ansätze der Whitelist und Blacklist sind freilich genau entgegengesetzt. Je nach Anwendungsbereich eignet sich die eine oder die andere Liste besser. Die mögliche Anwendungsfelder in der IT sind der Spamschutz, Regeln für Firewalls, der Virenschutz sowie das Erlauben oder Verbieten des Besuchs von bestimmten Webseiten. Letzteres dient beispielsweise dem Jugendschutz, kann aber auch in Firmen installiert werden, damit die Beschäftigten nicht am Rechner während der Arbeitszeit Seiten aus dem Freizeitbereich aufrufen.

Das Konzept der Whitelist

Diese Liste verfolgt den Ansatz, grundsätzlich alles zu verbieten, was nicht explizit eingetragen wurde. Damit ist die Whitelist sehr restriktiv und dementsprechend schwer zu führen: Sie verbietet alles außer den vertrauenswürdigen und erwünschten Einträgen. Wer damit operiert, kann Webseiten und Nachrichten (E-Mail-Adressen) von bestimmten Personen, Institutionen, Medien und weiteren Anbietern aufführen.

Web- oder E-Mail­-Adressen, die nicht eingetragen wurden, lässt das eigene Programm nicht zu. Es lässt sich damit zentral steuern, welche Interaktionen das IT-System und seine Anwender durchführen können. Da diese inklusive der betreffenden Webadressen genau definiert sein müssen, ist der Aufwand zum Führen einer Whitelist enorm. Unbekannte Anwendungen unterliegen einem generellen Verbot.

Das Konzept der Blacklist

Diese Liste ist etwas leichter zu führen, weil sie mit Ausschlüssen arbeitet: Sie erlaubt alles, was nicht in ihr enthalten ist. Als Negativliste führt sie diejenigen Programme, Ziele oder Adressen auf, welche als nicht vertrauenswürdig gelten oder aus anderen Gründen (siehe oben) nicht zulässig sind. Mit einer Blacklist schließen die Nutzer bestimmte Anwendungen oder Kommunikationsziele aus.

Einsatzgebiete der Whitelist und Blacklist

In IT-Landschaften werden beide Listen vielfältig eingesetzt. Das Whitelist-Konzept eignet sich beispielsweise für die Konfiguration einer Firewall: Sie lässt nur die vorab in der Liste definierten Kommunikationsziele zu. Dasselbe gilt für den Schutz von Endgeräten, für die nur ganz bestimmte Applikationen in die Positivliste eingetragen werden. Den Jugendschutz haben wir vorn schon erwähnt, er ist das bekannteste Beispiel für die weiße Liste.

E-Mail-Systeme lassen sich ebenfalls ausgezeichnet darüber steuern. Das E-Mail-Konto empfängt dann nur Nachrichten von gelisteten, vertrauenswürdigen Absendern. Das vermeidet auf jeden Fall jegliche Art von Spam. Natürlich hat die Positivliste auch Schwächen. Den hohen Aufwand zum Führen haben wir schon erwähnt. Neue Ziele, Kontakte und Anwendungen müssen permanent eingepflegt werden. Allerdings gibt es hierfür auch automatische Verfahren, welche den Administrator entlasten.

Diesen sehr hohen Aufwand gibt es mit der Blacklist nicht, weil man prinzipiell davon ausgehen kann, dass es viel mehr vertrauenswürdige als schädliche Kontakte gibt. Blacklisting ist darüber hinaus auch ein gängiges Konzept von Virenschutzprogrammen, die automatisch verdächtige Adressen sperren. Dennoch müssen Anwender*innen, die sich beispielsweise vor Spam schützen wollen, auch ihre Negativliste etwas nachpflegen.

Empfehlung des BSI zur Blacklist und Whitelist

Das BSI empfiehlt grundsätzlich das Application Whitelisting. Hierfür haben die Experten gute Gründe. Sie gehen davon aus, dass sich verdächtige Programme immer häufiger tarnen und es daher eine Weile dauern kann, bis sie nicht nur durch den Anwender, sondern auch durch gängige Virenschutzprogramme als potenziell gefährlich erkannt werden. Daher gibt es inzwischen sogar Virenschutzprogramme auf der Basis von Whitelisting, die mit einer feingliedrigen Application-Control arbeiten. Das Funktionsprinzip lautet: Alles, was der Anwender für seinen Job benötigt, ist erlaubt. Alles andere wird ausgeschlossen.

Das ist für einen Rechner, der allein für die Arbeit oder andere eng definierte Anwendungen (zum Beispiel Gaming) benötigt wird, ein brauchbares Konzept. Für universell genutzte Rechner ist es wie oben beschrieben höchst aufwendig. Immerhin wehrt Application Whitelisting jede Schadsoftware automatisch und zuverlässig ab, wobei die Malware den Schutz auch durch ständige Modifikationen nicht überwinden kann. Die Prüfmethode beim Application Whitelisting basiert auf Hashes. Daher ist es nicht möglich, durch ein kryptografisches Verfahren einen Virus oder Trojaner mit dem Hash einer vertrauenswürdigen Software zu schreiben.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Umgehung von Malwareanpassungen

Schadprogramme enthalten seit einigen Jahren gezielte Anpassungen, mit denen sie lange unentdeckt bleiben können. Das schränkt die Wirksamkeit einiger klassischer Virenscanner enorm ein, wie jüngere Tests seit 2018 gezeigt haben. Sie basieren ausschließlich auf Blacklisting und können nur das ausschließen, was schon bekannt ist. Zwar setzen die Scanner künstliche Intelligenz ein und erkannten daher nicht nur Codes von Schadsoftware, sondern auch bestimmte, typische Verhaltensmuster von Viren und Trojanern. Doch die Kriminellen sind ebenfalls sehr kreativ.

Sie ändern permanent die Codes und auch das Verhalten. Im Jahr 2021 ist erwiesen, dass täglich mehrere Hundert Netzwerke weltweit infiziert werden, die eigentlich ein Blacklist-Virenscanner schützt. Auf diesen müssen Anwender*innen natürlich nicht verzichten, bestimmte Bedrohungen wehrt er immer noch zuverlässig ab. Dennoch empfiehlt das BSI, in kritischen Geschäftsbereichen auf jeden Fall und sogar vorrangig auf den Schutz durch Application Whitelisting zu setzen.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen