Der Vorteil von Whitelists im Vergleich zu Blacklists liegt im Hinblick auf Computerschädlinge auf der Hand. Unbekannte Schadprogramme – auch wenn es sich nur um eine geringfügige Modifizierung handelt – kommen schlicht nicht ins System. Und auch die Probleme, die signaturbasierte Virenscanner im Wettlauf mit der Zeit zunehmend haben, sind hier umschifft.
Weil Whitelisting nichts anderes als eine signaturbasierte Erkennung ist – nur andersherum – geht es für Firmen, die eine solche Lösung einsetzen, erst einmal darum, die “guten” Programme zu identifizieren. “Dafür werden in der Regel zunächst erst einmal alle Anwendungen gescannt, die auf den Firmenrechnern laufen. Danach muss entschieden werden, welche freigegeben werden und welche nicht”, sagt Wiedemeyer. Nach seiner Erfahrung dauert der Überwachungsmodus rund vier bis sechs Wochen, noch einmal sechs Wochen können vergehen bis das System zuverlässig läuft.
Dazu gehören natürlich auch ständige Updates, ein Thema, dass beim Whitelisting kontrovers diskutiert wird. Wiedemeyer sieht hier für die Lumension-Lösung keine Probleme. “Patches und Updates werden automatisch über Windows Server Update Service (WSUS) ausgeführt, mit Patchlink Update bieten wir aber auch eine eigene Lösung an, die unabhängig von Betriebssystem oder Anwendung ist.”
Klingt also so, als würden Firmen, die auf Whitelists vertrauen in einer “heilen Welt” leben, gerade in punkto Sicherheit. Doch der Ansatz funktioniert nur, wenn eindeutig definiert werden kann, welche Software an welchem Rechner erlaubt ist. Das mag bei kleinen und mittleren Firmen funktionieren, Konzerne setzen das Konzept nicht umsonst meist erst einmal nur in Teilbereichen um.
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…
“Amplify Digital and Green Transformation” hieß die zentrale Botschaft des europäischen Flagship-Events „Huawei Connect“ in…
Deutscher Bio-Lebensmittel-Einzelhändler schließt die Migration von Blue Yonder Category Management-Lösungen in die Cloud ab.
Die meisten Markenbotschaften bleiben ungehört. Wie schaffen es Unternehmen wie Siemens, SAP oder Deutsche Telekom,…
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
View Comments
Dipl.-Inform.
Whitelisting ist zwar generell eine gute Idee, vollständige Sicherheit bietet sie aber trotzdem nicht. Insbesondere erlaubte Programm mit Fehlern sind das Problem. Beispielsweise schützt sie nicht vor manipulierten Word und PDF-Dokumenten, die via Buffer-Overflow ihre Anzeigeprogramme Word und den Adobe Reader mißbrauchen um eigenen Code auszuführen.
Virenscanner dadurch unnötig
Verstehe ich nicht! Dann kann der Shellcode vom Acrobat Reader von mir aus seine .EXE irgendwo ablegen, das is mir doch erstmal total wurscht. Er solls nur nicht ausführen können, das ist das einzig wichtige. Ich habe selbst schon Shellcodes mit endlosen NOP Rutschen und ähnlichem programmiert. Glauben Sie mir, nur mit dem Shellcode alleine richten sie nichts interessantes aus.
Warum müssen Sicherheitsspezialisten (ausser mir selbst) nur immer sich auf absolute Sicherheit fixiert sein? Die kann es nicht geben! Es ist viel wichtiger die ausnutzbaren Bedrohungen zu schließen als die rein theoretischen.
Solage nicht wirklich bereits über den Shellcode direkte Angriffe ohne weitere ausführbare Dateien im Umlauf sind, ist ein Virenscanner nach Whitelisting genauso unnötig wie ein Virenscanner (für nicht existerende Viren) unter Linux.