Begriff
Whitelist vs. Blacklist
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Wie schützt du deine Party?
- Blacklist (Sperrliste): "Jeder darf rein, Außer Max und Moritz."
- Problem: Wenn Peter kommt und Stunk macht (aber nicht auf der Liste steht), kommt er rein. Du musst die Liste ständig erweitern. Unsicher ("Default Allow").
- Whitelist (Erlaubnisliste): "Niemand darf rein. Außer Anna und Bert."
- Peter kommt nicht rein. Max auch nicht.
- Wenn du Hans vergessen hast, kommt er auch nicht rein (obwohl er nett ist).
- Sicherer ("Default Deny"), aber mühsamer zu pflegen.
Moderne Sprache: Man sagt heute oft Allowlist und Denylist (inklusiver).
Merksatz: Ein Sicherheitskonzept, bei dem standardmäßig alles blockiert wird und nur explizit definierte Elemente (IPs, Programme, E-Mails) zugelassen werden.
Firewall:
- Schlecht: "Blockiere Port 80 aus Russland." (Hacker nutzt Proxies).
- Gut: "Blockiere ALLES. Erlaube NUR Port 443 von Cloudflare."
Email:
- Email-Spamfilter nutzen oft Blacklists (bekannte Spam-Server).
- Firmen nutzen Whitelists für Ausführbare Dateien ("Only signed by Microsoft").
1. Zero Trust = Ultimate Whitelisting
Zero Trust basiert auf Whitelisting. "Kein Gerät, kein User, kein Prozess darf irgendwas, es sei denn, eine Policy erlaubt es explizit." Das ist das Principle of Least Privilege.
2. Application Whitelisting (AppLocker)
Der beste Schutz gegen Ransomware.
Statt Viren zu erkennen (Antivirus/Blacklist), verbietet Windows einfach alle unbekannten Programme.
Nur Programme in C:\Program Files (wo nur Admins schreiben dürfen) dürfen starten.
Wenn der User virus.exe runterlädt, startet es nicht.
Nachteil: Schatten-IT (User können keine nützlichen Tools installieren).
3. Greylisting
Ein Mittelweg bei Email. "Ich kenne dich nicht (nicht auf Whitelist), aber du stehst auch nicht auf der Blacklist." Reaktion: "Versuch es in 5 Minuten nochmal (Temporary Error 450)." Echte Mailserver machen das. Spambots haben oft keine Geduld und geben auf.
1. WAF & IP-Sets
In der Cloud (AWS/Azure) pflegt man Whitelists oft über WAF IP Sets. Statt IP-Adressen manuell in eine Config-Datei zu schreiben, nutzt man Listen, die sich automatisch aktualisieren. Zum Beispiel: "Erlaube nur IPs der Google-Bot-Crawler". Google stellt diese Liste bereit, und dein System aktualisiert seine Whitelist stündlich via API. Das verhindert, dass echte Suchmaschinen plötzlich geblockt werden, wenn sie ihren Server-Pool ändern.
2. CIDR Notation in Whitelists
Hunderte Einzel-IPs zu verwalten ist ineffizient.
Experten nutzen CIDR (Classless Inter-Domain Routing).
Statt 192.168.1.1, 192.168.1.2, ... schreibt man 192.168.1.0/24.
Das /24 sagt dem Computer: "Die ersten 24 Bits (also die ersten drei Zahlen) müssen gleich sein, die letzte Zahl ist egal." So deckst du mit einer Zeile 256 Geräte ab. Fehleingaben hier können jedoch "Löcher" in deine Whitelist reißen, durch die Unbefugte schlüpfen können.
3. DNS-Whitelisting (SPF/DKIM)
Whitelist-Logik ist das Herz von Emails.
- SPF (Sender Policy Framework): Eine Whitelist im DNS, die sagt: "Nur diese Server dürfen Emails im Namen von
@mein-shop.desenden." - DKIM: Fügt eine digitale Unterschrift hinzu. Wenn dein Server eine Mail empfängt, prüft er diese Whitelists. Steht der Absender nicht drauf -> Ab in den Spam. Ohne diese Whitelist-Standards würde das Internet heute in Fake-Emails versinken.
Quick-Check
Warum ist Blacklisting gescheitert?
Weil es unendlich viele "Böse" gibt (Polymorphe Viren, wechselnde IPs). Man kann nicht alle kennen. Whitelisting ist endlich (man kennt seine eigenen Mitarbeiter).Wann ist Blacklisting okay?
Als erste Hürde, um "Rauschen" zu filtern (z. B. IP-Blocklisten, WAF-Signaturen). Aber niemals als einziger Schutz.Pflegeaufwand?
Whitelisting bricht oft Prozesse ("Hilfe, der neue Drucker geht nicht!"). Es erfordert einen guten Prozess ("Change Request"), um neue Ausnahmen hinzuzufügen. Sicherheit kostet Komfort.