it-begreifen-podcast-it-manager-ingo-luecker-it-laegue

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Heute dreht sich alles um das Thema: „Was ist eigentlich Application Whitelisting?“

                                                                                                                     

Beim Application Whitelisting handelt es sich um ein Verfahren, mit dem man die Ausführung nicht autorisierter oder schädlichen Applikationen auf einem IT-System oder in einem Netzwerk verhindert. Das erreicht man, indem man eine Positivliste, die sogenannten Whitelist erstellt. Auf dieser Whitelist werden alle Anwendungen aufgeführt, die auf einem Gerät oder einem System laufen dürfen. Sprich, solange eine Anwendung nicht explizit in der Whitelist eingetragen ist, ist jegliche Kommunikation oder Interaktion über diese Anwendung untersagt.

Grundsätzlich bestehen Whitelisting-Produkte aus zwei Komponenten:

  • Die erste Komponente ist ein Softwaremodul, der sogenannte Agent. Dieser wird auf allen Systemen installiert, die von der Whitelisting-Lösung geschützt werden sollen. Nach der Installation fängt der Agent alle Startversuche ab und prüft die betreffende Applikation anhand der Whitelist, ob diese in der Whitelist aufgeführt ist oder nicht. Um hier eine fälschungssichere Authentifizierung zu gewährleisten, setzt man ein Hash-Verfahren ein. Bei diesem Verfahren werden Prüfsumme ermittelt und miteinander verglichen. Beim Whitelisting generiert der Agent aus den Binärdaten der zu startenden Anwendungen einen Hash, sprich eine Prüfsumme. Diese Prüfsumme wird mit der Prüfsumme auf der Whitelist verglichen. Ist die Anwendung mit der dazugehörigen Prüfsumme nicht auf der Whitelist gelistet, wird die Ausführung der Software verweigert.
  • Die zweite Komponente ist eine Software, die zum Ausstellen von Anwendungs- und Richtlinien-Zertifikaten (sogenannten App-Certs) zuständig ist. App-Certs sind elektronische Ausweise für Software und Anwendungen. Sie analysieren, welche Komponenten zu welchen vertrauenswürdigen Applikationen gehören und ordnen diese entsprechend zu. Außerdem kann man mit ihnen Sicherheitsregeln definieren, die die Whitelisting-Software auf den zu schützenden Systemen anwenden soll.

Wo lassen sich nun Application-Whitelisting Produkte konkret einsetzen?

Application-Whitelisting Produkte kommen in den unterschiedlichsten Bereichen der IT zum Einsatz. Zu den  möglichen Einsatzszenarien zählen unter anderem:

  • Firewalls werden oftmals über eine Whitelist konfiguriert. So können nur die definierten und in der Whitelist aufgeführten Kommunikationsziele über die Firewall hinweg kommunizieren, alle anderen Verbindungswünsche werden unterbunden.
  • Ebenso kann Application-Whitelisting beim Endgeräteschutz eingesetzt werden. Hier können Endgeräte lediglich die Applikationen ausführen, die in der Whitelist aufgelistet sind.
  • Ein weiteres Anwendungsgebiet des Application- Whitelistings ist der Jugendschutz. Über die Whitelist lässt sich ein Internetzugang so konfigurieren, dass für bestimmte User nur die in der Liste geführten Ziele aufrufbar sind.
  • Auch E-Mail-Systeme können über eine Whitelist gesteuert werden. So können nur E-Mails von vertrauenswürdigen Absendern empfangen werden.

Allerdings werden die zuvor genannten Einsatzszenarien in der Praxis von unterschiedlichen Seiten kritisiert.

Beispielsweise erfordert das Application Whitelisting die Pflege von Datensätzen. Das bedeutet, die Whitelist muss dynamisch sein. In Anbetracht der Vielzahl von Programmen, Apps, Betriebssystemen und Servern kann sich die Verwaltung von Application Whitelists als schwierig erweisen.

Der Aufwand lohnt sich hauptsächlich für Anbieter von Antivirenprogramme, Firewalls und weiteren Sicherheitsprogrammen.

 

Nichtsdestotrotz kann Application Whitelisting bei folgenden Aspekten helfen:

  • Schutz vor Schadsoftware wie Viren, Trojanern oder Ransomware, dem
  • Schutz vor noch unbekannter Schadsoftware (Zero-Day-Exploits), dem
  • Schutz vor Schadsoftware, die über vorhandene Sicherheitslücken eingedrungen ist und
  • Schutz vor DLL-Injection Angriffen sowie
  • Schutz vor Angriffen durch eigenes Personal im internen Netz

Wir kommen nun zum Ende unseres Podcasts. Alles in allem kann man sagen, dass mit Application-Whitelisting-Lösung Ihre Systeme und Netzwerke nicht mehr mit Schadsoftware infiziert oder durch eigenes Personal angegriffen werden können. Die daraus resultierenden Schäden entfallen und auch aufwändige Neuinstallationen sind dann Schnee von gestern. Außerdem erfüllen Sie durch den Einsatz von Whitelisting-Produkten die gesetzlichen Anforderungen. Kurzum: Application Whitelisting reduziert Ausfälle, erhöht die Stabilität und Produktivität.