Schwarze, weiße und nun auch noch graue Listen

Um die Ausführung unerwünschter Programme zu verhindern, gibt es unterschiedliche Ansätze. Antivirus-Programme basieren im Wesentlichen auf dem Modell der schwarzen Listen - alles ist erlaubt, was nicht verboten ist. Der umgekehrte Ansatz, weiße Listen, verbietet hingegen alles, was nicht ausdrücklich erlaubt ist. Dr. Todd Brennan, Technikchef von Bit9, bringt nun auch noch graue Listen ins Spiel.

In einer Kolumne für das Sicherheitsportal Security Focus propagiert Brennan ein Sicherheitsmodell, in dem alle neu installierten Programme automatisch auf eine graue Liste gesetzt werden. Über Sicherheitsrichtlinien können Administratoren festlegen, wie mit diesen Programmen umgegangen werden soll.

Verbietet die Richtlinie die Ausführung unbekannter Programme, werden sie blockiert und bleiben zunächst auf der grauen Liste. Die Administratoren gewinnen so Zeit und können die Dateien bei Bedarf untersuchen und neu bewerten. Handelt es sich etwa um ein Update für ein legitimes Programm, kann es auf die weiße Liste verschoben werden. Stellt sich nach Aktualisierung der Antivirus-Software heraus, dass es sich um einen neuen Schädling handelt, landet er auf der schwarzen Liste.

Der von Brennan als "Greylisting" bezeichnete Ansatz soll Schutz vor neu auftauchenden Schädlingen bieten. Jede neue Programmdatei wird zunächst in Quarantäne gesteckt, bis sie untersucht und bewertet werden kann. Administratoren können auch festlegen, nach welcher Frist (zum Beispiel 30 Tage) das Programm automatisch aus der grauen Liste entfernt wird und was dann damit geschehen soll. So kann es etwa automatisch auf die schwarze Liste gesetzt werden, falls es sich nicht als legitime, erwünschte Anwendung erweist.

Wenig überraschend ist, dass Brennans Firma mit der Software "Bit9 Parity" eine Lösung im Angebot hat, die genau diesen Ansatz verfolgt. (PC-Welt/mec)