Whitelisting

Im Gegensatz zum Blacklisting beinhaltet die Whitelist für ein IT-Netzwerk oder Steuernetz alle Operationen und Kommunikationsmuster, die autoristiert und somit erlaubt sind. Die Whitelist stellt eine Positivliste dar, gegen die die Kommunikation im Netzwerk oder an deren Perimeter abgeglichen wird. Passiert ein Datenpaket die Netzwerkgrenzen, das auf der Whitelist verzeichnet ist, wird dieses akzeptiert und kann ausgeführt werden. Nicht aufgeführte Datenpakete oder Funktionen (z. B. bei Softwareprogrammen) können entsprechend nicht ausgeführt werden oder werden direkt geblockt. Im Bereich von Emails wird diese Funktion über die Möglichkeit abgedeckt, bestimmte Adressen als vertrauenswürdig einzustufen (z. B. über die Funktion "Absender nie sperren"). Adressen auf der Whitelist werden vom Mailprogramm somit unabhängig von den Inhalten der einzelnen Emails immer akzeptiert und angezeigt. Das gleiche gilt für Domains im Internet. Der Vorteil gegenüber dem Blacklisting ist, dass mit dieser Methode potentiell auch Bedrohungen oder Angriffe abgeblockt werden können, die noch unbekannt - also auf keiner IT-Blacklist - verzeichnet sind. Jedoch hängt dieser Sicherheitsaspekt stark von der konkret eingesetzten Technologie und deren Analysetiefe ab. In der Regel werden die Datenpakete nur anhand ihrer Metadaten (Sender, Empfänger, Domain) analysiert, ohne die Inhalte des Datenpakets zu betrachten. Kompromittierte, aber freigegebene Emailkonktakte oder Webseiten können somit ungehindert die Netzwerkgrenzen passieren, selbst wenn sich in der Email oder auf der Webseite eine Schadsoftware versteckt. Eine lückenlose Anomalieerkennung ist mit diesem Ansatz nicht möglich. Hierfür ist eine Deep Packet Inspection notwendig, die auch die Inhalte eines Datenpakets gezielt analysiert und abgleicht.