Allowlist und Blocklist: Zugriffskontrolle in der IT-Sicherheit
Allowlists und Blocklists sind grundlegende Mechanismen der Zugriffskontrolle. Dieser Artikel erklärt Funktionsweise, Einsatzbereiche wie E-Mail-Filterung, Firewalls und Application Control, vergleicht beide Ansätze und zeigt den Zusammenhang mit Zero-Trust-Strategien.
Inhaltsverzeichnis (6 Abschnitte)
Eine Allowlist (früher: Whitelist) ist eine Liste explizit erlaubter Entitäten - alles, was nicht auf der Liste steht, wird abgewiesen. Eine Blocklist (früher: Blacklist) ist das Gegenteil: Sie enthält explizit verbotene Entitäten - alles, was nicht auf der Liste steht, wird zugelassen. Beide Konzepte sind fundamentale Bausteine der Zugriffskontrolle und kommen in nahezu allen Bereichen der IT-Sicherheit vor.
Begriffsklärung: Whitelist/Blacklist zu Allowlist/Blocklist
Die Branche hat sich in den letzten Jahren weitgehend von den Begriffen "Whitelist" und "Blacklist" verabschiedet. Viele Organisationen - darunter große Technologieunternehmen und das NIST - bevorzugen die neutralen Bezeichnungen "Allowlist" und "Blocklist" (oder "Denylist"). Die zugrundeliegenden technischen Konzepte sind identisch. In der Praxis sind folgende Synonyme gebräuchlich: Allowlist = Whitelist = Positivliste = Permit-List; Blocklist = Blacklist = Negativliste = Deny-List = Denylist.
Funktionsweise
Allowlist-Prinzip
Eine Allowlist folgt dem Grundsatz "deny all, permit some" (alles verbieten, einiges erlauben). Standardmäßig ist jede Aktion, jede Verbindung und jede Anwendung verboten. Nur was explizit auf der Allowlist eingetragen ist, wird zugelassen. Eine typische Firewall-Regel nach diesem Prinzip erlaubt eingehend TCP-Port 443 aus dem gesamten Internet sowie TCP-Port 22 aus dem Management-Netz, während alles andere standardmäßig verweigert wird.
Der Aufwand für eine Allowlist ist hoch: Jede legitime Nutzung muss vorab bekannt und eingetragen sein. Neue Anforderungen erfordern eine bewusste Änderung der Liste. Der Sicherheitsgewinn ist dafür maximal: Unbekanntes ist per Definition ausgeschlossen.
Blocklist-Prinzip
Eine Blocklist folgt dem Grundsatz "permit all, deny some" (alles erlauben, einiges verbieten). Standardmäßig ist alles zugelassen - nur was explizit auf der Blocklist steht, wird abgewiesen. Ein typischer E-Mail-Spam-Filter sperrt bekannte Spam-Absender und Phishing-Domains, lässt aber alles andere durch.
Der Pflegeaufwand einer Blocklist ist geringer, weil legitime Nutzung nicht explizit definiert werden muss. Die Schwäche: Neues Schädliches ist zunächst unbekannt und passiert die Liste ungehindert.
Einsatzbereiche
E-Mail-Filterung
E-Mail-Systeme verwenden beide Konzepte nebeneinander. Auf Blocklist-Seite kommen RBLs (Real-time Blackhole Lists) wie Spamhaus ZEN oder die Barracuda Reputation Block List zum Einsatz, ergänzt durch Domain-Blocklisten für bekannte Phishing- und Malware-Domains sowie manuell gesperrte Absenderadressen. Allowlists kommen für vertrauenswürdige Absender, die Spam-Filter umgehen dürfen, für Partner-Domains mit hohem Kommunikationsvolumen und für interne Dienste wie Monitoring-Alerts oder CI/CD-Benachrichtigungen zum Einsatz.
Application Control (Anwendungssteuerung)
Application Control ist einer der wirksamsten Einsatzbereiche von Allowlists. Das BSI empfiehlt Application Whitelisting explizit als Schutzmaßnahme, weil es Schadsoftware strukturell verhindert - unabhängig davon, ob die Malware bekannt ist oder nicht. Das Funktionsprinzip basiert auf dem kryptografischen Hash jeder erlaubten Anwendung: Soll ein Programm ausgeführt werden, wird sein Hash gegen die Allowlist geprüft. Ein bekannter Hash erlaubt die Ausführung; ein unbekannter Hash wird verweigert und löst einen Alarm aus. Gegenüber Signatur-basiertem Schutz hat das den Vorteil, dass bekannte Malware mit geändertem Hash ebenso geblockt wird wie vollständig unbekannte Zero-Day-Malware.
Windows bietet mit AppLocker und Windows Defender Application Control (WDAC) integrierte Mechanismen für Application Allowlisting. Kommerzielle Lösungen wie Carbon Black oder Airlock Digital bieten erweiterte Funktionen.
Netzwerk-ACLs und Firewall-Regeln
Netzwerkzugriffskontrolllisten (ACLs) und Firewall-Regeln folgen typischerweise dem Allowlist-Prinzip für kritische Systeme. Ein Allowlist-basiertes Firewall-Regelwerk für einen Webserver erlaubt eingehend HTTPS und HTTP-Redirects aus dem gesamten Internet sowie SSH nur aus dem internen Netz, während alle anderen Verbindungen geblockt werden. Ausgehend erlaubt es nur die Verbindungen zur internen Datenbank und für externe API-Calls.
Outbound-Filtering mit Allowlist-Ansatz reduziert die Möglichkeiten von Malware zur Kommunikation mit externen Servern erheblich.
DNS-Filtering
DNS-Blocking kann sowohl nach Allowlist- als auch nach Blocklist-Prinzip arbeiten.
DNS-Blockliste: bekannte Malware- und Phishing-Domains werden gesperrt, alles andere ist erlaubt.
DNS-Allowlist: nur explizit eingetragene Domains sind auflösbar - alle anderen werden gesperrt. Dieser extrem restriktive Ansatz wird selten genutzt, findet sich aber in hochsicheren Umgebungen (z. B. industrielle Steuernetze).
Software-Repository-Kontrolle
In Unternehmensumgebungen können Paket-Manager auf genehmigte Repositories beschränkt werden. Eine npm-Allowlist über eine private Registry leitet alle Pakete über eine interne Registry, die von Admins vor der Aufnahme geprüft werden. Typosquatting-Angriffe mit gefälschten npm-Paketnamen werden dadurch strukturell blockiert.
Vergleich: Allowlist vs. Blocklist
| Eigenschaft | Allowlist (Positivliste) | Blocklist (Negativliste) |
|---|---|---|
| Grundprinzip | Alles verboten, Ausnahmen explizit | Alles erlaubt, Ausnahmen explizit |
| Sicherheitsniveau | Sehr hoch (Unknown = geblockt) | Moderat (Unknown = erlaubt) |
| Pflegeaufwand | Hoch | Geringer |
| Reaktion auf neue Bedrohungen | Automatisch geblockt (da unbekannt) | Erst nach Aufnahme in Liste geblockt |
| Reaktion auf neue legitime Nutzung | Manuelle Freigabe nötig | Kein Aufwand |
| False Positives | Hoch (legitimes geblockt) | Gering |
| False Negatives | Gering (Schädliches durch) | Hoch (Schädliches durch) |
| Typische Einsatzgebiete | Kritische Systeme, Application Control, Hochsicherheitsbereiche | Spam-Filter, Virenschutz, Allgemeine Websperren |
| Empfehlung BSI | Bevorzugt für Application Control | Ergänzend |
Best Practices
Hybride Strategie
In der Praxis werden beide Konzepte kombiniert. Kein produktives System fährt ausschließlich mit einer Allowlist - der Pflegeaufwand wäre zu hoch. Stattdessen gilt die Allowlist für das Kritischste: Application Control auf Servern und privilegierten Arbeitsstationen, Firewall-Regeln für Netzwerksegmente, API-Zugriffskontrolle. Die Blocklist kommt für das Breite zum Einsatz: Spam-Filter, Antivirus, DNS-Blocking für bekannte Malware-Domains.
Regelmäßige Überprüfung
Allowlists akkumulieren über Zeit Einträge, die nicht mehr benötigt werden - veraltete Anwendungsversionen, abgelöste Dienste, ehemalige Partner. Regelmäßige Reviews (mindestens quartalsweise) halten die Listen aktuell.
Automatisierung
Manuelle Pflege von Allowlists ist fehleranfällig und langsam. Moderne Ansätze nutzen verschiedene Automatisierungsmethoden: Code-Signing zur automatischen Aufnahme nur signierter Anwendungen, CI/CD-Integration zum automatischen Hashen neuer Software-Releases für die genehmigte Allowlist, automatische Aktualisierung von Blocklists durch Threat-Intelligence-Feeds (STIX/TAXII-Feeds) und die Verwaltung von Netzwerk-ACLs als Infrastructure as Code (Terraform, Ansible) statt manueller Pflege in Firewalls.
Ausnahmemanagement
Für Ausnahmen sollte ein definierter Prozess existieren:
Zeitlich begrenzte Ausnahmen: Temporäre Freigaben für Tests oder einmalige Aktivitäten mit automatischem Ablaufdatum.
Dokumentation: Jede Ausnahme ist begründet und nachvollziehbar - wer hat wann warum eine Ausnahme eingetragen?
Vier-Augen-Prinzip: Kritische Änderungen an Allowlists erfordern eine zweite Genehmigung.
Zero Trust und der Wandel zur Allowlist-Strategie
Zero-Trust-Sicherheitsmodelle basieren konzeptionell auf dem Allowlist-Prinzip: Kein Zugriff ist per Default erlaubt, jede Verbindung muss explizit autorisiert werden. Der Unterschied zur klassischen Allowlist liegt in der Mehrdimensionalität der Prüfung: Statt "Diese IP darf auf Port 443" lautet das Zero-Trust-Kriterium, dass ein verifizierter Nutzer (per MFA) mit einem compliant Gerät (aktuelle Patches) aus einem risikoarmen Kontext auf eine intern klassifizierte Ressource innerhalb der Geschäftszeiten mit read-only-Berechtigung zugreifen darf.
Application Allowlisting ist eine der effektivsten Einzelmaßnahmen gegen Malware. Das BSI-Grundschutz-Kompendium führt es als eigenständige Maßnahme. In Kombination mit Blocklists für bekannte Bedrohungen und einem Zero-Trust-Zugriffsmodell entsteht eine mehrschichtige Verteidigungsstrategie, die auch unbekannte Angriffe strukturell erschwert.
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking - Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
