Verhaltensbasiertes Whitelisting

Das Whitelisting von Verhaltensweisen oder Behaviour Whitelisting kann durch Sicherheitssoftware umgesetzt werden oder durch das Hinzufügen von Ausnahmen zu einer Liste mit nicht zugelassenen Aktionen.

Dieser Ansatz wird beispielsweise eingesetzt, um Websites, Dienste und Foren vor Bots und Hackern zu schützen. Oder auch um Systeme vor Schadsoftware und Angriffen zu bewahren, so zum Beispiel auch im Bereich E-Mail-Sicherheit und Spam. Und nicht zuletzt spielt das verhaltensbasierte Whitelisting zur Erkennung von Sicherheitsverletzungen (BDS, Breach Detection Systems) beim Schutz von Netzwerken eine Rolle.

Üblicherweise kommen bei der Abwehr von Spam-Nachrichten die inhaltsbasierte Filterung sowie Listen mit zu blockierenden IP-Adressen zum Einsatz. Da die Angreifer immer ausgefeilter bei ihren Angriffen vorgehen, kann das Blockieren aller Verhaltensweisen, die nicht auf einer Whitelist stehen, einen sehr wirksamen Schutz bieten. Dieser Ansatz erfordert jedoch Kenntnisse darüber, welche Aufgaben und Verbindungen ein System ausführen muss. Und diese müssen angepasst werden, wenn sich diese Anforderungen ändern.

Bei der Spam-Abwehr kann das Vorgehen mit Whitelisting sehr effektiv sein. So funktioniert die Vorgehensweise gut, wenn die Arten der gesendeten und empfangenen E-Mails nicht so unterschiedlich und unvorhersehbar sind, dass sie außerhalb einer Whitelist liegen, was zu falsch positiven Ergebnissen führt. Formelle E-Mail-Verfahren können diese Herangehensweise unterstützen. Die Whitelist spart in der Regel Ressourcen, da die Liste bei zulässigen Verhaltensweisen fast immer kleiner ist als bei einer Blacklist und daher weniger Aufwand beim Durchsuchen verursacht.

Wenn Whitelists unsachgemäß implementiert werden, können sie zu Sicherheitslücken führen. Whitelists sind am effektivsten, wenn die Anzahl der erforderlichen und zulässigen Funktionen überschaubar ist und die Sicherheitsanforderungen an die Systeme hoch sind, diese aber einfach zu erreichen sind. Eine Blacklist, die in einer solchen Situation eingesetzt sind, erfordert mehr Einrichtungszeit und Wartungsaufwand, um die große Anzahl unterschiedlicher Verhaltensweisen zu blockieren. Blacklists erfordern zudem ein umfassenderes und aktuelleres Wissen über Bedrohungen. Beide Methoden müssen gewissenhaft umgesetzt werden, um eine angemessene Sicherheit zu gewährleisten (siehe auch Verhaltensbasiertes Blacklisting).