Allowlist (Whitelist)
IT-Administratoren verwenden eine Allowlist (Whitelist) als schnelle und einfache Möglichkeit, Computer und Netzwerke vor potenziell schädlichen Bedrohungen in lokalen Netzwerken oder im Internet zu schützen.
Eine Allowlist basiert auf einem strengen Regelwerk und wird von einem IT-Administrator verwaltet. Wenn der Administrator sich über die Zugriffsberechtigungen im Klaren ist, ist bei der Verwendung einer Allowlist kein zusätzliches Wissen über die nicht zulässigen Komponenten erforderlich, da diese standardmäßig verweigert werden.
Administratoren stellen eine Liste der zulässigen Quellen, Ziele oder Anwendungen zusammen, auf die Benutzer Zugriff benötigen. Diese Liste wird dann auf eine Netzwerkanwendung, Desktop- oder Serversoftware oder Betriebssysteme angewendet. Nach der Anwendung überwacht das Netzwerkgerät oder der Server die Benutzer-, Geräte- oder Anwendungsanfragen und erlaubt den Zugriff auf die Dienste der Whitelist. Alle anderen angeforderten Dienste werden verweigert. Während die Allowlist den Zugriff oder die Kommunikation mit bestimmten genehmigten Anwendungen oder Diensten erlaubt, werden Anfragen von Standorten oder Diensten, die die folgenden Kriterien erfüllen, abgelehnt:
- entweder Software oder bösartigen Code enthalten, wie zum Beispiel. Malware, Advanced Persistent Threats (APTs) oder Ransomware;
- Material enthalten, das nicht mit den Internetnutzungsrichtlinien des Unternehmens übereinstimmt;
- dazu führen könnten, dass sensible Informationen an die Öffentlichkeit gelangen; und
- in unangemessener Weise die Nutzung von Schatten-IT
Beispiele für Allowlists
E-Mail-Spam-Filter. Diese Filter sollen verhindern, dass die meisten unerwünschten E-Mail-Nachrichten (Spam) in den Postfächern der Abonnenten landen. Manchmal schlüpft jedoch geschickt gestalteter Spam durch, während wichtige, relevante E-Mails blockiert werden. Die meisten E-Mail-Benutzer tolerieren die gelegentliche unerwünschte E-Mail-Werbung, sind aber besorgter, wenn wichtige Nachrichten nicht empfangen werden. Die Allowlist-Option innerhalb des Spam-Filterdienstes legt die Macht der ausdrücklichen Erlaubnis in die Hände der Mailbox-Benutzer.
Zugriffskontrolllisten (Access Control Lists, ACLs). ACLs, die auf eine Netzwerk-Router-Schnittstelle angewendet werden, können so konfiguriert werden, dass sie den Zugriff auf einzelne oder Blöcke von IP-Adressen erlauben. ACLs werden von oben nach unten abgearbeitet, mit einem impliziten „deny any“ am Ende der Liste. Das bedeutet, dass die Ziel-IP-Adressen mit der Zugriffsliste abgeglichen werden, und wenn die IP-Adresse nicht in der Liste enthalten ist, wird das Paket verworfen.
Was bedeutet es, auf eine Allowlist gesetzt zu werden?
Oft fordert ein Benutzer oder eine Abteilung den Zugriff auf eine bestimmte genehmigte Anwendung oder auf einen entfernten Server oder Dienst an, auf den von Unternehmensgeräten oder dem Unternehmensnetzwerk aus nicht zugegriffen werden kann. Wenn ein Ziel oder eine Anwendung auf eine Allowlist gesetzt wird, gilt sie als sicher, und der Zugriff auf das entfernte Ziel, die Anwendung oder den Dienst wird gewährt.
Allowlist (Whitelist) vs. Blocklist (Blacklist)
Während eine Allowlist eine Liste von Anwendungen oder Diensten ist, die ausdrücklich erlaubt sind, werden Anwendungen oder Dienste, die auf einer Blacklist oder Blocklist stehen, ausdrücklich verweigert. Es gibt Situationen, in denen das Führen einer Blocklist gegenüber einer Allowlist vorzuziehen ist. Wenn beispielsweise die Anzahl der Elemente, Orte oder Anwendungen, die zugelassen werden müssen, größer ist als die der zu blockierenden, ist es einfacher, eine Blocklist zu erstellen. Aus diesem Grund bevorzugen Inhaltsfilter und Anti-Malware-Anwendungen in der Regel die Verwendung von Blocklists.
Best Practices für Allowlists
Im Folgenden finden Sie einige bewährte Verfahren für die Pflege und Implementierung von Whitelists:
- alle Objekte auf der Whitelist zu dokumentieren und zu kategorisieren;
- bei der Erstellung eines Whitelist-Objekts so spezifisch wie möglich zu sein;
- Überprüfungen der Whitelists durchzuführen, um Anwendungen oder Dienste hinzuzufügen oder zu entfernen, und die Liste auf dem neuesten Stand zu halten; und
- Whitelists effizient anwenden, indem Benutzer in Zugriffsgruppen eingeteilt werden und jeder Gruppe spezifische Whitelists auf der Grundlage ihrer Funktion zugewiesen werden.
