Die Whitelist und Blacklist dienen dem Schutz von Systemen im IT-Umfeld. Es handelt sich um eine Positivliste (white) und eine Negativliste (black). Die Positivliste lässt nur bestimmte Webadressen zu, die Negativliste sperrt bestimmte Adressen. Damit verfolgen die beiden Listen jeweils gegensätzliche Strategien, die sich für unterschiedliche Bereiche eignen.
Grundsätzlicher Schutz durch die Black- und Whitelist
Beide Listen liefern einen grundsätzlichen Schutz vor Bedrohungen und unerwünschten Aktionen wie Spam. Die Ansätze der Whitelist und Blacklist sind freilich genau entgegengesetzt. Je nach Anwendungsbereich eignet sich die eine oder die andere Liste besser. Die mögliche Anwendungsfelder in der IT sind der Spamschutz, Regeln für Firewalls, der Virenschutz sowie das Erlauben oder Verbieten des Besuchs von bestimmten Webseiten. Letzteres dient beispielsweise dem Jugendschutz, kann aber auch in Firmen installiert werden, damit die Beschäftigten nicht am Rechner während der Arbeitszeit Seiten aus dem Freizeitbereich aufrufen.
Das Konzept der Whitelist
Diese Liste verfolgt den Ansatz, grundsätzlich alles zu verbieten, was nicht explizit eingetragen wurde. Damit ist die Whitelist sehr restriktiv und dementsprechend schwer zu führen: Sie verbietet alles außer den vertrauenswürdigen und erwünschten Einträgen. Wer damit operiert, kann Webseiten und Nachrichten (E-Mail-Adressen) von bestimmten Personen, Institutionen, Medien und weiteren Anbietern aufführen.
Web- oder E-Mail-Adressen, die nicht eingetragen wurden, lässt das eigene Programm nicht zu. Es lässt sich damit zentral steuern, welche Interaktionen das IT-System und seine Anwender durchführen können. Da diese inklusive der betreffenden Webadressen genau definiert sein müssen, ist der Aufwand zum Führen einer Whitelist enorm. Unbekannte Anwendungen unterliegen einem generellen Verbot.
Das Konzept der Blacklist
Diese Liste ist etwas leichter zu führen, weil sie mit Ausschlüssen arbeitet: Sie erlaubt alles, was nicht in ihr enthalten ist. Als Negativliste führt sie diejenigen Programme, Ziele oder Adressen auf, welche als nicht vertrauenswürdig gelten oder aus anderen Gründen (siehe oben) nicht zulässig sind. Mit einer Blacklist schließen die Nutzer bestimmte Anwendungen oder Kommunikationsziele aus.
Einsatzgebiete der Whitelist und Blacklist
In IT-Landschaften werden beide Listen vielfältig eingesetzt. Das Whitelist-Konzept eignet sich beispielsweise für die Konfiguration einer Firewall: Sie lässt nur die vorab in der Liste definierten Kommunikationsziele zu. Dasselbe gilt für den Schutz von Endgeräten, für die nur ganz bestimmte Applikationen in die Positivliste eingetragen werden. Den Jugendschutz haben wir vorn schon erwähnt, er ist das bekannteste Beispiel für die weiße Liste.
E-Mail-Systeme lassen sich ebenfalls ausgezeichnet darüber steuern. Das E-Mail-Konto empfängt dann nur Nachrichten von gelisteten, vertrauenswürdigen Absendern. Das vermeidet auf jeden Fall jegliche Art von Spam. Natürlich hat die Positivliste auch Schwächen. Den hohen Aufwand zum Führen haben wir schon erwähnt. Neue Ziele, Kontakte und Anwendungen müssen permanent eingepflegt werden. Allerdings gibt es hierfür auch automatische Verfahren, welche den Administrator entlasten.
Diesen sehr hohen Aufwand gibt es mit der Blacklist nicht, weil man prinzipiell davon ausgehen kann, dass es viel mehr vertrauenswürdige als schädliche Kontakte gibt. Blacklisting ist darüber hinaus auch ein gängiges Konzept von Virenschutzprogrammen, die automatisch verdächtige Adressen sperren. Dennoch müssen Anwender*innen, die sich beispielsweise vor Spam schützen wollen, auch ihre Negativliste etwas nachpflegen.
Empfehlung des BSI zur Blacklist und Whitelist
Das BSI empfiehlt grundsätzlich das Application Whitelisting. Hierfür haben die Experten gute Gründe. Sie gehen davon aus, dass sich verdächtige Programme immer häufiger tarnen und es daher eine Weile dauern kann, bis sie nicht nur durch den Anwender, sondern auch durch gängige Virenschutzprogramme als potenziell gefährlich erkannt werden. Daher gibt es inzwischen sogar Virenschutzprogramme auf der Basis von Whitelisting, die mit einer feingliedrigen Application-Control arbeiten. Das Funktionsprinzip lautet: Alles, was der Anwender für seinen Job benötigt, ist erlaubt. Alles andere wird ausgeschlossen.
Das ist für einen Rechner, der allein für die Arbeit oder andere eng definierte Anwendungen (zum Beispiel Gaming) benötigt wird, ein brauchbares Konzept. Für universell genutzte Rechner ist es wie oben beschrieben höchst aufwendig. Immerhin wehrt Application Whitelisting jede Schadsoftware automatisch und zuverlässig ab, wobei die Malware den Schutz auch durch ständige Modifikationen nicht überwinden kann. Die Prüfmethode beim Application Whitelisting basiert auf Hashes. Daher ist es nicht möglich, durch ein kryptografisches Verfahren einen Virus oder Trojaner mit dem Hash einer vertrauenswürdigen Software zu schreiben.
Umgehung von Malwareanpassungen
Schadprogramme enthalten seit einigen Jahren gezielte Anpassungen, mit denen sie lange unentdeckt bleiben können. Das schränkt die Wirksamkeit einiger klassischer Virenscanner enorm ein, wie jüngere Tests seit 2018 gezeigt haben. Sie basieren ausschließlich auf Blacklisting und können nur das ausschließen, was schon bekannt ist. Zwar setzen die Scanner künstliche Intelligenz ein und erkannten daher nicht nur Codes von Schadsoftware, sondern auch bestimmte, typische Verhaltensmuster von Viren und Trojanern. Doch die Kriminellen sind ebenfalls sehr kreativ.
Sie ändern permanent die Codes und auch das Verhalten. Im Jahr 2021 ist erwiesen, dass täglich mehrere Hundert Netzwerke weltweit infiziert werden, die eigentlich ein Blacklist-Virenscanner schützt. Auf diesen müssen Anwender*innen natürlich nicht verzichten, bestimmte Bedrohungen wehrt er immer noch zuverlässig ab. Dennoch empfiehlt das BSI, in kritischen Geschäftsbereichen auf jeden Fall und sogar vorrangig auf den Schutz durch Application Whitelisting zu setzen.