Whitelisting

Whitelisting bezeichnet die Selektion vertrauenswürdiger Quellen und Applikationen in der digitalen Kommunikation und der IT-Sicherheit. Eine Whitelist (deutsch: Positivliste) ist eine Sammlung von Daten, die mit Personen, Unternehmen oder Software-Produkten assoziiert werden und als vertrauenswürdige Quellen die Zustellung von Emails, die Ausführung von Programmen und Apps sowie die Darstellung von Online Werbung erlauben. Jeder Datensatz der Whitelist hat dabei die Aufgabe, einen Sender, Empfänger oder eine Quelle als autorisierten Zugriff zu definieren. Die Gesamtheit der Datensätze wird von einem System (zum Beispiel Endgerät, Server oder Addon) anschließend geprüft. Das Ziel besteht darin, schadhafte Software und Spam dauerhaft auszuschließen und die Sicherheit des Systems zu gewährleisten. Whitelisting wird im Email Marketing, der IT-Sicherheit und der Online Werbung vielfältig eingesetzt – mitunter in Kombination mit Blacklisting.

Funktionsweise

Im Gegensatz zum Blacklisting, das bestimmte Ressourcen ausschließt, werden beim Whitelisting positive Beispiele für vertrauenswürdige Quellen herangezogen, um den Zugang zu einem Dienst, die Anzeige eines Werbemittels oder die Zustellung einer Mail zu ermöglichen und alle anderen Ressourcen auszuschließen. Dies wird auch als Default-Deny-Approach (Standard-Ablehnung) bezeichnet: alle Ressourcen, die sich nicht in der Positivliste befinden, werden abgelehnt.^[1] In der Regel findet bei erstmaliger Anmeldung eine Prüfung statt, um die Aufnahme in die Whitelist sowie den Zugang zu regulieren. Die Kriterien, um in eine Whitelist aufgenommen zu werden, können je nach Anbieter, Organisation oder Software sehr unterschiedlich ausfallen. Es kann zwischen folgenden Arten von Positivlisten unterschieden werden:

kommerzielle Whitelists, bei denen die Kooperationspartner einen bestimmten Betrag an den Versender oder Internetprovider bezahlen. Kommerzielle Whitelists sind rechtlich teilweise umstritten.^[2]
nicht-kommerzielle Whitelists, die spezifische Eigenschaften in der Serverkonfiguration, feste IP-Adressen und weitere Prüfmethoden verwenden.

Email Whitelisting

Email-Clients können dazu benutzt werden, eine Whitelist auf Nutzerseite anzulegen. Der User pflegt die Whitelist, indem er Mailversender manuell hinzufügt. Die meisten Mailprogramme, wie beispielsweise Mozilla Thunderbird, Microsoft Outlook oder Apple Mail, bieten solche Funktionalitäten und Filtermöglichkeiten an. Dies wird als clientseitiges Whitelisting bezeichnet. Filterkriterien können sein:

Emailadressen und Teile dieser.
Bestimmte Keywords, die auf Spam hindeuten.
Zertifikate, die an Personen oder Server gekoppelt sind.

Im Rahmen von Kooperationen wie der Certified Senders Alliance, der Spamhaus Whitelist oder der Initiative ReturnPath kommen Whitelists zum Einsatz, um den Versand von Newslettern zu reglementieren sowie störende Werbung und Pishing zu verhindern. Die Zustellbarkeit von Newslettern im Rahmen des Email Marketings wird dadurch sichergestellt, dass die Versender an den oben genannten Kooperationen teilnehmen – woraufhin ein Internet Service Provider (kurz: ISP; deutsch Internetanbieter) den Versand von Newslettern durch einen Email Service Provider (kurz: ESP; deutsch: Emailanbieter) mithilfe seiner Infrastruktur erlaubt. Der Nutzer kann diese Art des Emailversands lediglich mit einer clientseitigen Blacklist im Email-Programm unterbinden.^[3]

Application Whitelisting

In den Bereichen Software, Server und Werbung kommen Positivlisten ebenfalls zum Einsatz. Das Prinzip ist ähnlich, jedoch wird Application Whitelisting nicht unbedingt so implementiert, dass der Endanwender Zugriff darauf hat. Das jeweilige Endgerät besitzt diesen Schutzmechanismus, weil der Hersteller oder Systemadministrator dies in der Programm- und Systemlogik vorgesehen hat.^[4] Oder der Nutzer muss ein Addon oder Plug-in auf seinem Endgerät installieren, das auf Whitelisting und anderen Schutzmechanismen basiert (zum Beispiel einen Werbeblocker). Wenn eine Anwendung auf einem System ausgeführt werden soll, wird zunächst geprüft, ob die Positivliste diese enthält. Falls dies nicht der Fall ist, wird das Ausführen der Anwendung verhindert. Folgende Filter- und Prüfkriterien werden beim Application Whitelisting verwendet:^[5]

Zertifikate und digitale Signaturen zur Überprüfung der Reputation der Anbieter von Programmen, Werbemitteln und Infrastrukturen.
Pfadangaben für autorisierte Zugriffe von Administratoren und Webdesignern.
Hashfunktionen, um zu überprüfen, ob die Einträge in der Whitelist den auszuführenden Programmen entsprechen.

Auf der Ebene von Servern, IP-Adressen, Domains oder IP-Clustern wird das Whitelisting als serverseitiges Whitelisting beschrieben. Jeder Internet Service Provider (kurz: ISP; deutsch: Internetanbieter) betreibt eine eigene Whitelist, um vertrauenswürdigen Quellen den Zugang zur eigenen Infrastruktur zu erlauben. ISPs und ESPs gehen auch teilweise Kooperationen zu einer bestimmten Art der Datenübertragung ein. Bei IT-Infrastrukturen mit hohen Sicherheitsanforderungen wird Whitelisting zum Schutz vor Zero-Day-Exploits angewendet, da das Blacklisting vor Angriffen, die noch nie vorgekommen sind, keinen effektiven Schutz darstellt.^[6]

Vorteile/Nachteile

Whitelisting ist je nach Einsatzzweck eine Praxis, die von unterschiedlichen Seiten kritisiert wird. Zwei Beispiele:

Application Whitelisting erfordert die Pflege der Datensätze, also dynamische Listen. In Anbetracht der Vielzahl von Programmen, Apps, Betriebssystemen und Servern kann sich die Verwaltung von Application Whitelists als schwierig herausstellen. Der Aufwand lohnt sich offenbar nur für Anbieter von Anti-Virus-Software, Firewalls und weiteren Schutzmaßnahmen.^[7]
Im Bereich der Werbung nutzen verschiedene Websites und Initiativen Whitelisting, um die Zustellung von Werbemails oder die Anzeige von Werbung zu gewährleisten. Ob und inwiefern dies rechtlich zulässig ist, wenn es sich um kommerzielle Whitelists handelt, muss noch abschließend geklärt werden (Stand: 10.08.2016).

Bedeutung für das Online Marketing

Whitelisting wird im Online Marketing in verschiedenen Bereichen praktiziert, um den Empfang von Newslettern und die Anzeige von Werbung zu erlauben oder die Sicherheit eines Systems zu erhöhen. Email Marketing Kampagnen können beide Ansätze realisieren, um die Zustellbarkeit von Emails sicherzustellen: Bestimmte Ressourcen, auf denen keine Werbung erscheinen soll, werden ausgeschlossen, während andere Ressourcen durch Whitelisting bevorzugt behandelt werden. Dadurch ist die Steuerung der Zustellbarkeit beziehungsweise der Darstellung von Werbemitteln möglich. Funktionalitäten wie Frequency Capping, Double Opt-in und bewährte Prinzipien des Permission Marketings sollten im Rahmen solcher Kampagnen ebenfalls Beachtung finden, damit der Versender oder Werbetreibende nicht auf einer Blacklist landet. Ähnliche Best-Practise-Beispiele gelten für die Online-Werbung.

Einzelnachweise

↑ Das wunderbare Whitelisting (im Gegensatz zum Blacklisting) blog.kaspersky.de. Abgerufen am 10.08.2016
↑ Kommerzielles „Whitelisting“ von Adblock Plus unzulässig troeber.de. Abgerufen am 10.08.2016
↑ Der Weg ins Postfach: Zustellbarkeit im E-Mail-Marketing blog.inxmail.de. Abgerufen am 10.08.2016
↑ application whitelisting searchsecurity.techtarget.com. Abgerufen am 10.08.2016
↑ Default Deny All Applications (Part 2) windowsecurity.com. Abgerufen am 10.08.2016
↑ Top 10 Common Misconceptions About Application Whitelisting resources.infosecinstitute.com. Abgerufen am 10.08.2016
↑ Default Deny All Applications (Part 1) windowsecurity.com. Abgerufen am 10.08.2016

Weblinks

[1] Das wunderbare Whitelisting (im Gegensatz zum Blacklisting) blog.kaspersky.de. Abgerufen am 10.08.2016

[2] Kommerzielles „Whitelisting“ von Adblock Plus unzulässig troeber.de. Abgerufen am 10.08.2016

[3] Der Weg ins Postfach: Zustellbarkeit im E-Mail-Marketing blog.inxmail.de. Abgerufen am 10.08.2016

[4] tion whitelisting searchsecurity.techtarget.com. Abgerufen am 10.08.2016

[5] Default Deny All Applications (Part 2) windowsecurity.com. Abgerufen am 10.08.2016

[6] Top 10 Common Misconceptions About Application Whitelisting resources.infosecinstitute.com. Abgerufen am 10.08.2016

[7] Default Deny All Applications (Part 1) windowsecurity.com. Abgerufen am 10.08.2016

[1]

[2]

[3]

[4]

[5]

[6]

[7]