Whitelist

Was ist eine Whitelist, welche Beispiele gibt es und wo liegen Vorteile bzw. Nachteile?

Das dokumentiere Vertrauen

Eine Whitelist ist ein Hilfsmittel für Organisationen, um gleichartige Elemente – also bspw. Unternehmen, Personen, Produkte, Services – aufzulisten, denen die Organisation Vertrauen schenkt. Eine Liste mit Partnern oder empfohlenen Unternehmen ist bspw. eine Whitelist. Oder eine Liste mit Softwaretools, die nach entsprechender Prüfung durch eine zentrale Unternehmensinstanz als „für den Gebrauch geeignet“ gekennzeichnet wurden. Basis für eine solche Auflistung ist die Erfüllung von definierten Kriterien; diese werden von Organisationen individuell vorgegeben und überprüft.

Durch das Whitelisting – also dem Prozess zur Erstellung und Pflege einer entsprechenden Liste – ergeben sich meist direkte Konsequenzen: Produkte oder Services, die nicht gelistet sind, dürfen in Organisationen nicht verwendet werden. Und mit Unternehmen oder Personen, die nicht auf der Whitelist geführt werden, dürfen Organisationen keine Geschäfte machen. Eine Whitelist legt also fest, WER oder WAS als „positiv“ erachtet wird; daher wird alternativ auch von Positivliste gesprochen. Weitere Synonyme sind Weißliste, weiße Liste oder auch Ausnahmeliste.

Natürlich steht es Organisationen frei, Whitelists als Empfehlungen ohne bindenden Charakter zu verstehen; in einem solchen Fall entfallen die genannten Konsequenzen.

Das Gegenteil der Whitelist: die Blacklist

Die Synonyme Whitelist und Ausnahmeliste drücken gemeinsam das Wesen entsprechender Listen aus: Eine Whitelist suggeriert weiße und somit im übertragenen Sinne reine, saubere, gute Einträge. Eine Ausnahmeliste beinhaltet die Ausnahmen von der Regel, d. h. alles ist grundsätzlich verboten, was nicht konkret aufgelistet wurde.

Eine Backlist ist das genaue Gegenteil einer Whitelist: Alles ist erlaubt, sofern es nicht auf der Liste auftaucht. Während also Unternehmen versuchen, sich selbst bzw. ihre Produkte und Dienstleistungen auf die Whitelist eines gewünschten Auftraggebers oder Partners zu bringen, werden sie bei einer Blacklist alles daran setzen, dort nicht aufzutauchen.

Beispiele für Whitelists bzw. Blacklists

In der IT gibt es sehr viele Einsatzgebiete für Whitelists bzw. Blacklists. Hier finden Sie einige „technische“ Beispiele:

  • Spamfilter bieten Möglichkeiten, IP-Adressen, E-Mail-Adressen oder Domainnamen von Absendern in eine Whitelist einzutragen, um ihre E-Mails davor zu schützen, abgewiesen oder in einen Junkmail-Ordner geschickt zu werden.
  • Firewalls verwenden Whitelists bzw. Blacklists.
  • Content Management Systeme bieten Möglichkeiten, Kommentargeber zu sperren oder freizugeben und entsprechend in Listen zu verwalten.
  • Adblocker verfügen über Features, um Werbeanzeigen von definierten Quellen zuzulassen.

Darüber hinaus gibt es in Unternehmen individuelle Listen, die nicht unmittelbar zu einer technischen „Sperre“ führen, sondern durch organisatorische Maßnahmen – bspw. per Inventur – überprüft werden müssen:

  • Eine Liste von Lieferanten, mit denen man zusammenarbeitet.
  • Eine Liste von Programmen, die in einem Bereich eingesetzt werden dürfen. Alternativ wird diese auch Application Whitelist genannt.
  • Eine Liste von Produkten (Smartphones, Laptops etc.), die Mitarbeiter für ihre Arbeit verwenden dürfen.

Auch außerhalb der IT gibt es zahlreiche Beispiele für Whitelists:

  • Der PETA Deutschland e.V. listet verschiedene Positivlisten, u. a. für Wasch- und Putzmittel oder Lebensmittelhersteller ohne Tierversuche.¹
  • PHINEO – ein gemeinnütziges Analyse- und Beratungshaus für wirkungsvolles gesellschaftliches Engagement – vergibt ein Wirkt-Siegel. Ziel ist es gemeinnützige Organisationen zu fördern. Explizit weißt Phineo darauf hin, dass es keine Blacklist mit Unternehmen gibt, die vergeblich versucht haben, das Siegel zu erlangen.²
  • Der Zentralausschuss der Deutschen Landwirtschaft führt eine Positivliste für Einzelfuttermittel.³
  • Und Deutsche Bundesbehörden führen verstärkt Bieterwettbewerbe durch, bei dem die Sieger in einem Pool möglicher Lieferanten landen (in anderen Worten: in einer Whitelist), die im Anschluss beim Abruf einzelner Leistungen in einem beschleunigten Verfahren um konkrete Angebote gebeten werden.

Die Kriterien zur Erstellung einer Whitelist

Wie die verschiedenen Beispiele zeigen, werden weiße Listen in vielen Bereichen eingesetzt. Je nach Bereich und Inhalt variieren natürlich auch die Kriterien, die dazu führen, dass Organisation, Produkte oder Services entsprechend positiv gelistet werden. Unternehmen, die bspw. mit anderen Unternehmen ins Geschäft kommen wollen, müssen möglicherweise

  • Audits durchlaufen,
  • Nachweise erbringen,
  • Haftungs- oder Gewährleistungsregelungen akzeptieren,
  • Zahlungszielen zustimmen,
  • Reaktionszeiten garantieren,
  • Quellcode in Bankschließfächern hinterlegen,
  • oder Zugang zu Büroräumen ermöglichen.

Für Application Whitelists könnte es bspw. notwendig sein,

  • digitale Signaturen oder
  • kryptographische Hashs zu verwenden,
  • die Ausführung auf definierte Netzwerkbereiche zu beschränken,
  • ein Monitoring von Bibliotheken, Skripten, Makros, Browser-Plug-ins, Add-ons, Konfigurationsdateien oder Registrierungseinträgen zu unterstützen.

In der Praxis gibt es beim Application Whitelisting zwei Vorgehensweisen:

  1. Die Verwendung von Informationen von Herstellern, die als vertrauenswürdig gelten, ergänzt durch eigene Erkenntnisse.
  2. Die technische Überprüfung von Applikationen und bei „sauberem“ Betrieb das Festlegen einer Baseline.

Die größte Sicherheit dürfte die Kombination beider Vorgehensweisen bieten.

Vorteile und Nachteile der Whitelist

Folgende Vorteile bietet eine Whitelist:

  • Klarheit über erlaubte Produkte, Programme oder Services bzw. über vertrauenswürdige Unternehmen, Organisationen oder Personen.
  • Verbindlichkeit bei der Auswahl und dem Einsatz von Produkten, Services oder Unternehmen.
  • Sicherheit, dass die Produkte und Services definierte Kriterien erfüllen und sich somit zur Problemlösung eignen.
  • Beschleunigung von Auswahlprozessen, da die gelisteten Produkte, Services oder Unternehmen eine Vorab-Selektion darstellen.

Demgegenüber stehen aber auch einige Nachteile:

  • Die Definition und die Überprüfung der Kriterien ist aufwändig.
  • Die Pflege ist eine kontinuierliche Aufgabe und daher ebenfalls sehr aufwändig.
  • Whitelists suggerieren eine Vollständigkeit, die aber nicht gegeben sein kann, da es immer neue Anbieter und Lösungen geben kann/wird, die möglicherweise noch besser geeignet wären, jedoch noch nicht gelistet wurden.
  • Sie sind bürokratisch, nicht flexibel und erlauben keinerlei Abweichung. Das führt in Organisation oftmals zur Verwendung von nicht autorisierten Tools, da Mitarbeiter „ihre“ beste Lösung nutzen wollen und nicht eine, die von einer zentralen Stelle im Unternehmen als geeignet eingestuft wurde.

Häufig wird auch angeführt, dass die Kriterien, die für die Aufnahme in eine Whitelist erfüllt sein müssen, unklar sind. Dieses Problem gibt es in Unternehmen, es ist jedoch an sich weniger ein Problem der Whitelist, sondern eher ein Problem beim Whitelisting, das Verbesserungsmöglichkeiten im Handling und in der Kommunikation offenbart. Beim Application Whitelisting gibt es darüber hinaus ein Problem mit den zahlreichen Updates und Upgrades von Programmen. Eine gute gepflegte Liste nennt nicht nur ein Produkt X von Hersteller Y, sondern definiert die exakte Versionsnummer, denn nur so lässt sich bestmögliche Sicherheit herstellen. In anderen Worten: Version 7.2.3 von Produkt X von Hersteller Y ist gelistet, neuere Versionen aber nicht. Das führt oftmals dazu, dass gerade in größeren Organisationen mit älteren Produktversionen gearbeitet wird, denn der Test und damit die Freigabe einer neuen Version sind sehr aufwändig.

Whitelist Beispiel

Hinweise:

Es empfiehlt sich, eine Whitelist zu versionieren, so dass allen Beteiligten klar ist, ab welchem Zeitpunkt welcher Stand der Liste aktuell und verbindlich ist.

[1] Die offizielle Liste von PETA Deutschland e.V.
[2] Wirkt-Siegel von Phineo
[3] DLG: Facharbeit im Bereich Tierhaltung: Positivliste für Einzelfuttermittel

Dienstleister gesucht?
Softwareentwicklung aus Berlin