Whitelist
Inhaltsverzeichnis: Definition – Gegenteil einer Whitelist – Beispiele – Kriterien zur Erstellung – Vorteile und Nachteile – Hinweise
Wissen kompakt: Eine Whitelist listet Produkte oder Organisationen, die definierte Kriterien erfüllen, als vertrauenswürdig gelten und sich zum Einsatz oder für eine Zusammenarbeit eignen.
Whitelist – das dokumentiere Vertrauen
Eine Whitelist ist ein Hilfsmittel für Organisationen, um gleichartige Elemente – also bspw. Unternehmen, Personen, Produkte, Services – aufzulisten, denen die Organisation Vertrauen schenkt. Eine Liste mit Partnern oder empfohlenen Unternehmen ist bspw. eine Whitelist. Oder eine Liste mit Softwaretools, die nach entsprechender Prüfung durch eine zentrale Unternehmensinstanz als „für den Gebrauch geeignet“ gekennzeichnet wurden.
Basis für eine solche Auflistung ist die Erfüllung von definierten Kriterien; diese werden von Organisationen individuell vorgegeben und überprüft.
Durch das Whitelisting – also den Prozess zur Erstellung und Pflege einer entsprechenden Liste – ergeben sich meist direkte Konsequenzen¹: Produkte oder Services, die nicht gelistet sind, dürfen in Organisationen nicht verwendet werden. Und mit Unternehmen oder Personen, die nicht auf der Whitelist geführt werden, dürfen Organisationen keine Geschäfte machen. Eine Whitelist legt also fest, WER oder WAS als „positiv“ erachtet wird; daher wird alternativ auch von Positivliste gesprochen. Weitere Synonyme sind Weißliste, weiße Liste oder auch Ausnahmeliste.²
Das Gegenteil der Whitelist: die Blacklist
Die Synonyme Positivliste und Ausnahmeliste drücken gemeinsam das Wesen entsprechender Listen aus: Eine Positivliste suggeriert im übertragenen Sinne positive und somit gute, zu empfehlende Einträge. Eine Ausnahmeliste beinhaltet die Ausnahmen von der Regel, d. h. alles ist grundsätzlich verboten, was nicht konkret aufgelistet wurde.
Eine Backlist ist das genaue Gegenteil einer Whitelist: Alles ist erlaubt, sofern es nicht auf der Liste auftaucht. Während also Unternehmen versuchen, sich selbst bzw. ihre Produkte und Dienstleistungen auf die Positivliste eines gewünschten Auftraggebers oder Partners zu bringen, werden sie bei einer Blacklist alles daran setzen, dort nicht aufzutauchen.
Beispiele für Whitelists bzw. Blacklists
In der IT gibt es sehr viele Einsatzgebiete für Whitelists bzw. Blacklists. Hier finden Sie einige „technische“ Beispiele:
- Spamfilter bieten Möglichkeiten, IP-Adressen, E-Mail-Adressen oder Domainnamen von Absendern in eine Whitelist einzutragen, um ihre E-Mails davor zu schützen, abgewiesen oder in einen Junkmail-Ordner geschickt zu werden.
- Firewalls verwenden Whitelists bzw. Blacklists.
- Content Management Systeme bieten Möglichkeiten, Kommentargeber zu sperren oder freizugeben und entsprechend in Listen zu verwalten.
- Adblocker verfügen über Features, um Werbeanzeigen von definierten Quellen zuzulassen.
Darüber hinaus gibt es in Unternehmen individuelle Listen, die nicht unmittelbar zu einer technischen „Sperre“ führen, sondern durch organisatorische Maßnahmen – bspw. per Inventur – überprüft werden müssen:
- Eine Liste von Lieferanten, mit denen man zusammenarbeitet.
- Eine Liste von Programmen, die in einem Bereich eingesetzt werden dürfen. Alternativ wird diese auch Application Whitelist genannt.
- Eine Liste von Produkten (Smartphones, Laptops etc.), die Mitarbeiter für ihre Arbeit verwenden dürfen.
Auch außerhalb der IT gibt es zahlreiche Beispiele für Whitelists:
- Der PETA Deutschland e.V. listet verschiedene Positivlisten, u. a. für Wasch- und Putzmittel oder Lebensmittelhersteller ohne Tierversuche.
- PHINEO – ein gemeinnütziges Analyse- und Beratungshaus für wirkungsvolles gesellschaftliches Engagement – vergibt ein Wirkt-Siegel. Ziel ist es gemeinnützige Organisationen zu fördern. Explizit weißt PHINEO darauf hin, dass es keine Blacklist mit Unternehmen gibt, die vergeblich versucht haben, das Siegel zu erlangen.
- Der Zentralausschuss der Deutschen Landwirtschaft führt eine Positivliste für Einzelfuttermittel.
- Und Deutsche Bundesbehörden führen verstärkt Bieterwettbewerbe durch, bei dem die Sieger in einem Pool möglicher Lieferanten landen (in anderen Worten: in einer Whitelist), die im Anschluss beim Abruf einzelner Leistungen in einem beschleunigten Verfahren um konkrete Angebote gebeten werden.
Die Kriterien zur Erstellung einer Whitelist
Wie die verschiedenen Beispiele zeigen, werden weiße Listen in vielen Bereichen eingesetzt. Je nach Bereich und Inhalt variieren natürlich auch die Kriterien, die dazu führen, dass Organisation, Produkte oder Services entsprechend positiv gelistet werden. Unternehmen, die bspw. mit anderen Unternehmen ins Geschäft kommen wollen, müssen möglicherweise
- Audits durchlaufen,
- Nachweise erbringen,
- Haftungs- oder Gewährleistungsregelungen akzeptieren,
- Zahlungszielen zustimmen,
- Reaktionszeiten garantieren,
- Quellcode in Bankschließfächern hinterlegen,
- oder Zugang zu Büroräumen ermöglichen.
Für Application Whitelists könnte es bspw. notwendig sein,
- digitale Signaturen oder
- kryptographische Hashs zu verwenden,
- die Ausführung auf definierte Netzwerkbereiche zu beschränken,
- ein Monitoring von Bibliotheken, Skripten, Makros, Browser-Plug-ins, Add-ons, Konfigurationsdateien oder Registrierungseinträgen zu unterstützen.
In der Praxis gibt es beim Application Whitelisting zwei Vorgehensweisen:
- Die Verwendung von Informationen von Herstellern, die als vertrauenswürdig gelten, ergänzt durch eigene Erkenntnisse.
- Die technische Überprüfung von Applikationen und bei „sauberem“ Betrieb das Festlegen einer Baseline.
Die größte Sicherheit dürfte die Kombination beider Vorgehensweisen bieten.
Es empfiehlt sich, eine Whitelist zu versionieren, so dass allen Beteiligten klar ist, ab welchem Zeitpunkt welcher Stand der Liste aktuell und verbindlich ist.
Vorteile und Nachteile der Whitelist
Folgende Vorteile bietet eine Whitelist:
- Klarheit über erlaubte Produkte, Programme oder Services bzw. über vertrauenswürdige Unternehmen, Organisationen oder Personen.
- Verbindlichkeit bei der Auswahl und dem Einsatz von Produkten, Services oder Unternehmen.
- Sicherheit, dass die Produkte und Services definierte Kriterien erfüllen und sich somit zur Problemlösung eignen.
- Beschleunigung von Auswahlprozessen, da die gelisteten Produkte, Services oder Unternehmen eine Vorab-Selektion darstellen.
Den Vorteilen stehen aber auch einige Nachteile gegenüber:
- Die Definition und die Überprüfung der Kriterien ist aufwändig.
- Die Pflege ist eine kontinuierliche Aufgabe und daher ebenfalls sehr aufwändig.
- Whitelists suggerieren eine Vollständigkeit, die aber nicht gegeben sein kann, da es immer neue Anbieter und Lösungen geben kann/wird, die möglicherweise noch besser geeignet wären, jedoch noch nicht gelistet wurden.
- Sie sind bürokratisch, nicht flexibel und erlauben keinerlei Abweichung. Das führt in Organisation oftmals zur Verwendung von nicht autorisierten Tools, da Mitarbeiter „ihre“ beste Lösung nutzen wollen und nicht eine, die von einer zentralen Stelle im Unternehmen als geeignet eingestuft wurde.
Häufig wird auch angeführt, dass die Kriterien, die für die Aufnahme in eine Whitelist erfüllt sein müssen, unklar sind. Dieses Problem gibt es in Unternehmen, es ist jedoch an sich weniger ein Problem der Positivliste, sondern eher ein Problem beim Whitelisting, das Verbesserungsmöglichkeiten im Handling und in der Kommunikation offenbart.
Beim Application Whitelisting gibt es darüber hinaus ein Problem mit den zahlreichen Updates und Upgrades von Programmen. Eine gute gepflegte Liste nennt nicht nur ein Produkt X von Hersteller Y, sondern definiert die exakte Versionsnummer, denn nur so lässt sich bestmögliche Sicherheit herstellen. In anderen Worten: Version 7.2.3 von Produkt X von Hersteller Y ist gelistet, neuere Versionen aber nicht. Das führt oftmals dazu, dass gerade in größeren Organisationen mit älteren Produktversionen gearbeitet wird, denn der Test und damit die Freigabe einer neuen Version sind sehr aufwändig.
Impuls zum Diskutieren
Wann ist es für Unternehmen sinnvoll, sowohl eine Whitelist als auch eine Blacklist zu verwenden?
Hinweise:
Wenn Ihnen der Beitrag gefällt, teilen Sie ihn gerne in Ihrem Netzwerk. Und falls Sie sich für Tipps aus der Praxis interessieren, dann testen Sie unseren beliebten Newsletter mit neuen Beiträgen, Downloads, Empfehlungen und aktuellem Wissen. Vielleicht wird er auch Ihr Lieblings-Newsletter.
[1] Natürlich steht es Organisationen frei, Whitelists als Empfehlungen ohne bindenden Charakter zu verstehen; in einem solchen Fall entfallen die genannten Konsequenzen.
[2] Im Sinne einer nicht diskriminierenden Sprache kann es sinnvoll sein, die Begriffe Whitelist und Blacklist durch Positivliste oder Allowlist und Blocklist zu ersetzen.
Gemäß § 9 Abs. 8 GlüStV 2021 veröffentlicht die Gemeinsame Glücksspielbehörde der Länder im Internet eine gemeinsame amtliche Liste, in der die Veranstalter und Vermittler von Glücksspielen aufgeführt werden, die über eine Erlaubnis oder Konzession nach dem GlüStV 2021 verfügen.
Der genaue Ursprung des Begriffs Whitelist ist unklar. Eine der frühesten dokumentierten Verwendungen im Zusammenhang mit Computersicherheit geht auf die frühen 1990er Jahre zurück. In einem Papier mit dem Titel „Firewall Design: Consistency, Completeness, and Compactness“, das 1992 veröffentlicht wurde, verwendeten die Forscher Steve Bellovin und Bill Cheswick den Begriff für eine Liste von vertrauenswürdigen Hosts oder Netzwerken, die auf ein bestimmtes Netzwerk oder einen bestimmten Dienst zugreifen durften.
Hier finden Sie ergänzende Informationen aus unserer Rubrik Wissen kompakt: