Whitelist

Was ist eine Whitelist, welche Beispiele gibt es und wo liegen Vorteile bzw. Nachteile?

Whitelist Definition – Das dokumentiere Vertrauen

Eine Whitelist ist ein Hilfsmittel für Organisationen, um gleichartige Elemente – also bspw. Unternehmen, Personen, Produkte, Services – aufzulisten, denen die Organisation Vertrauen schenkt. Eine Liste mit Partnern oder empfohlenen Unternehmen ist bspw. eine Whitelist. Oder eine Liste mit Softwaretools, die nach entsprechender Prüfung durch eine zentrale Unternehmensinstanz als „für den Gebrauch geeignet“ gekennzeichnet wurden. Basis für eine solche Auflistung ist die Erfüllung von definierten Kriterien; diese werden von Organisationen individuell vorgegeben und überprüft.

Whitelisting und Konsequenzen

Durch das Whitelisting – also dem Prozess zur Erstellung und Pflege einer entsprechenden Liste – ergeben sich meist direkte Konsequenzen: Produkte oder Services, die nicht gelistet sind, dürfen in Organisationen nicht verwendet werden. Und mit Unternehmen oder Personen, die nicht auf der Whitelist geführt werden, dürfen Organisationen keine Geschäfte machen. Eine Whitelist legt also fest, WER oder WAS als „positiv“ erachtet wird; daher wird alternativ auch von Positivliste gesprochen. Weitere Synonyme sind Weißliste, weiße Liste oder auch Ausnahmeliste.

Natürlich steht es Organisationen frei, Whitelists als Empfehlungen ohne bindenden Charakter zu verstehen; in einem solchen Fall entfallen die genannten Konsequenzen.

Whitelist Beispiel

Das Gegenteil der Whitelist: die Blacklist

Die Synonyme Positivliste und Ausnahmeliste drücken gemeinsam das Wesen entsprechender Listen aus: Eine Positivliste suggeriert im übertragenen Sinne positive und somit gute, zu empfehlende Einträge. Eine Ausnahmeliste beinhaltet die Ausnahmen von der Regel, d. h. alles ist grundsätzlich verboten, was nicht konkret aufgelistet wurde.

Eine Backlist ist das genaue Gegenteil einer Whitelist: Alles ist erlaubt, sofern es nicht auf der Liste auftaucht. Während also Unternehmen versuchen, sich selbst bzw. ihre Produkte und Dienstleistungen auf die Positivliste eines gewünschten Auftraggebers oder Partners zu bringen, werden sie bei einer Blacklist alles daran setzen, dort nicht aufzutauchen.

Whitelists in der Praxis

Beispiele für Whitelists bzw. Blacklists

In der IT gibt es sehr viele Einsatzgebiete für Whitelists bzw. Blacklists. Hier finden Sie einige „technische“ Beispiele:

  • Spamfilter bieten Möglichkeiten, IP-Adressen, E-Mail-Adressen oder Domainnamen von Absendern in eine Whitelist einzutragen, um ihre E-Mails davor zu schützen, abgewiesen oder in einen Junkmail-Ordner geschickt zu werden.
  • Firewalls verwenden Whitelists bzw. Blacklists.
  • Content Management Systeme bieten Möglichkeiten, Kommentargeber zu sperren oder freizugeben und entsprechend in Listen zu verwalten.
  • Adblocker verfügen über Features, um Werbeanzeigen von definierten Quellen zuzulassen.

Darüber hinaus gibt es in Unternehmen individuelle Listen, die nicht unmittelbar zu einer technischen „Sperre“ führen, sondern durch organisatorische Maßnahmen – bspw. per Inventur – überprüft werden müssen:

  • Eine Liste von Lieferanten, mit denen man zusammenarbeitet.
  • Eine Liste von Programmen, die in einem Bereich eingesetzt werden dürfen. Alternativ wird diese auch Application Whitelist genannt.
  • Eine Liste von Produkten (Smartphones, Laptops etc.), die Mitarbeiter für ihre Arbeit verwenden dürfen.

Auch außerhalb der IT gibt es zahlreiche Beispiele für Whitelists:

  • Der PETA Deutschland e.V. listet verschiedene Positivlisten, u. a. für Wasch- und Putzmittel oder Lebensmittelhersteller ohne Tierversuche.
  • PHINEO – ein gemeinnütziges Analyse- und Beratungshaus für wirkungsvolles gesellschaftliches Engagement – vergibt ein Wirkt-Siegel. Ziel ist es gemeinnützige Organisationen zu fördern. Explizit weißt Phineo darauf hin, dass es keine Blacklist mit Unternehmen gibt, die vergeblich versucht haben, das Siegel zu erlangen.
  • Der Zentralausschuss der Deutschen Landwirtschaft führt eine Positivliste für Einzelfuttermittel.
  • Und Deutsche Bundesbehörden führen verstärkt Bieterwettbewerbe durch, bei dem die Sieger in einem Pool möglicher Lieferanten landen (in anderen Worten: in einer Whitelist), die im Anschluss beim Abruf einzelner Leistungen in einem beschleunigten Verfahren um konkrete Angebote gebeten werden.

 

Die Kriterien zur Erstellung einer Positivliste

Wie die verschiedenen Beispiele zeigen, werden weiße Listen in vielen Bereichen eingesetzt. Je nach Bereich und Inhalt variieren natürlich auch die Kriterien, die dazu führen, dass Organisation, Produkte oder Services entsprechend positiv gelistet werden. Unternehmen, die bspw. mit anderen Unternehmen ins Geschäft kommen wollen, müssen möglicherweise

  • Audits durchlaufen,
  • Nachweise erbringen,
  • Haftungs- oder Gewährleistungsregelungen akzeptieren,
  • Zahlungszielen zustimmen,
  • Reaktionszeiten garantieren,
  • Quellcode in Bankschließfächern hinterlegen,
  • oder Zugang zu Büroräumen ermöglichen.

Für Application Whitelists könnte es bspw. notwendig sein,

  • digitale Signaturen oder
  • kryptographische Hashs zu verwenden,
  • die Ausführung auf definierte Netzwerkbereiche zu beschränken,
  • ein Monitoring von Bibliotheken, Skripten, Makros, Browser-Plug-ins, Add-ons, Konfigurationsdateien oder Registrierungseinträgen zu unterstützen.

In der Praxis gibt es beim Application Whitelisting zwei Vorgehensweisen:

  1. Die Verwendung von Informationen von Herstellern, die als vertrauenswürdig gelten, ergänzt durch eigene Erkenntnisse.
  2. Die technische Überprüfung von Applikationen und bei „sauberem“ Betrieb das Festlegen einer Baseline.

Die größte Sicherheit dürfte die Kombination beider Vorgehensweisen bieten.

Es empfiehlt sich, eine Whitelist zu versionieren, so dass allen Beteiligten klar ist, ab welchem Zeitpunkt welcher Stand der Liste aktuell und verbindlich ist.

Vorteile der Whitelist

Folgende Vorteile bietet eine Whitelist:

  • Klarheit über erlaubte Produkte, Programme oder Services bzw. über vertrauenswürdige Unternehmen, Organisationen oder Personen.
  • Verbindlichkeit bei der Auswahl und dem Einsatz von Produkten, Services oder Unternehmen.
  • Sicherheit, dass die Produkte und Services definierte Kriterien erfüllen und sich somit zur Problemlösung eignen.
  • Beschleunigung von Auswahlprozessen, da die gelisteten Produkte, Services oder Unternehmen eine Vorab-Selektion darstellen.

 

Nachteile beim Whitelisting

Den Vorteilen stehen aber auch einige Nachteile gegenüber:

  • Die Definition und die Überprüfung der Kriterien ist aufwändig.
  • Die Pflege ist eine kontinuierliche Aufgabe und daher ebenfalls sehr aufwändig.
  • Whitelists suggerieren eine Vollständigkeit, die aber nicht gegeben sein kann, da es immer neue Anbieter und Lösungen geben kann/wird, die möglicherweise noch besser geeignet wären, jedoch noch nicht gelistet wurden.
  • Sie sind bürokratisch, nicht flexibel und erlauben keinerlei Abweichung. Das führt in Organisation oftmals zur Verwendung von nicht autorisierten Tools, da Mitarbeiter „ihre“ beste Lösung nutzen wollen und nicht eine, die von einer zentralen Stelle im Unternehmen als geeignet eingestuft wurde.

 

Herausforderungen für Unternehmen

Unklare Kriterien einer Whitelist

Häufig wird auch angeführt, dass die Kriterien, die für die Aufnahme in eine Whitelist erfüllt sein müssen, unklar sind. Dieses Problem gibt es in Unternehmen, es ist jedoch an sich weniger ein Problem der Positivliste, sondern eher ein Problem beim Whitelisting, das Verbesserungsmöglichkeiten im Handling und in der Kommunikation offenbart. Beim Application Whitelisting gibt es darüber hinaus ein Problem mit den zahlreichen Updates und Upgrades von Programmen. Eine gute gepflegte Liste nennt nicht nur ein Produkt X von Hersteller Y, sondern definiert die exakte Versionsnummer, denn nur so lässt sich bestmögliche Sicherheit herstellen. In anderen Worten: Version 7.2.3 von Produkt X von Hersteller Y ist gelistet, neuere Versionen aber nicht. Das führt oftmals dazu, dass gerade in größeren Organisationen mit älteren Produktversionen gearbeitet wird, denn der Test und damit die Freigabe einer neuen Version sind sehr aufwändig.

Impuls zum Diskutieren:

Ist es im Sinne einer nicht diskriminierenden Sprache  sinnvoll, die Begriffe Whitelist und Blacklist durch Allowlist und Blocklist zu ersetzen?

Hinweise:

Hier finden Sie ergänzende Informationen aus unserem Blog:

t2informatik Blog: Hallo, Service?!

Hallo, Service?!

t2informatik Blog: Der Wert eines Unternehmens

Der Wert eines Unternehmens

t2informatik Blog: Der Kunde hinter der IP-Adresse

Der Kunde hinter der IP-Adresse