Karriere bei keepbit

DNS-Whitelist

Eine DNS-Whitelist (auch DNS-Positivliste oder „Allowlist") ist ein Sicherheitsmechanismus, bei dem ausschließlich vorab freigegebene Domains aufgerufen werden dürfen. Jede DNS-Anfrage – also die Übersetzung eines Domainnamens wie keepbit.de in eine IP-Adresse – wird gegen diese Liste geprüft. Steht die Domain auf der Whitelist, wird sie aufgelöst und die Verbindung zugelassen. Alles, was nicht auf der Liste steht, wird automatisch blockiert.

Die DNS-Whitelist ist damit das Gegenstück zur DNS-Blacklist (Negativliste): Während eine Blacklist bekannte schädliche Domains sperrt und alles andere erlaubt, kehrt die Whitelist das Prinzip um – erlaubt ist nur, was ausdrücklich freigegeben wurde. Dieser „Default-Deny"-Ansatz folgt dem Grundgedanken von Zero Trust: Vertraue grundsätzlich nichts und niemandem ohne ausdrückliche Freigabe. Eingesetzt wird das Verfahren typischerweise als Teil von DNS-Filtering, sicheren DNS-Resolvern oder Secure-Web-Gateways.

Funktionsweise

Technisch wird die Whitelist auf einem DNS-Resolver oder einer Firewall hinterlegt. Sendet ein Gerät im Netzwerk eine DNS-Anfrage, gleicht der Resolver die angefragte Domain mit der Positivliste ab. Nur freigegebene Einträge werden aufgelöst; nicht gelistete Anfragen erhalten keine Antwort oder werden auf eine Hinweisseite umgeleitet. So lässt sich der ausgehende Datenverkehr eines Unternehmens sehr granular steuern.

Praxisbeispiel

Ein produzierendes Unternehmen betreibt im Werk mehrere Steuerungsrechner für Maschinen (OT-Umgebung). Diese Systeme müssen ausschließlich mit dem Update-Server des Herstellers und dem internen Wartungsportal kommunizieren – ein Zugriff auf das offene Internet ist weder nötig noch erwünscht. Die IT-Abteilung richtet eine DNS-Whitelist ein, auf der nur diese beiden Domains stehen. Versucht eine durch Schadsoftware infizierte Maschine später, eine unbekannte Domain zu kontaktieren – etwa einen Command-and-Control-Server der Angreifer, um Daten abzuziehen –, scheitert bereits die DNS-Auflösung. Der Angriff läuft ins Leere, bevor überhaupt eine Verbindung zustande kommt.

Vorteile und Herausforderungen

Der große Vorteil einer DNS-Whitelist ist das hohe Schutzniveau: Phishing-Domains, Malware-Verteilserver und Datenabfluss über DNS werden wirksam unterbunden. Gerade in hochsensiblen oder regulierten Umgebungen (z. B. KRITIS, NIS2-pflichtige Unternehmen) ist das ein starker Baustein. Die Herausforderung liegt im Pflegeaufwand: Jede legitime neue Domain muss freigegeben werden, was in dynamischen Umgebungen Arbeit bedeutet. Deshalb eignet sich die Whitelist besonders für klar abgegrenzte Systeme mit vorhersehbarem Kommunikationsbedarf, während für allgemeine Arbeitsplätze oft eine Kombination aus Blacklist und Kategorie-basiertem DNS-Filtering praktikabler ist.

Begriff nicht gefunden?

Schreiben Sie uns - wir erweitern das Lexikon regelmäßig.
Begriff vorschlagen
Keepbit Logo grün

Sicher. Klar. keepbit.

Wir machen IT-Sicherheit verständlich und umsetzbar – für Unternehmen, die wissen wollen, worauf es ankommt.
Kostenlos starten? Jetzt Security-Check anfragen.

Folgen Sie uns

LinkedIn Logo in grün

keepbit IT-SOLUTIONS GmbH

Brixener Straße 8
86165 Augsburg

T +49 (0) 821 450 444 0
E info[at]keepbit.de

Montag – Freitag
08:00 – 17:00 Uhr

Impressum
Datenschutz
AGB

keepbit

Externer ISB as-a-Service
Identity & Access Management
Informationssicherheit & ISMS
IT-Dokumentation
IT-Notfallmanagement
NIS2 Beratung und Compliance
Cyberabwehr & Sofortschutz
IT-Servicemanagement & CMDB
SIEM-Implementierung und Betrieb
24/7 MDR/SOC

BSI IT-Dienstleister: keepbit IT-SOLUTIONS GmbH

Zum Eintrag beim Bundesamt für Sicherheit in der Informationstechnik (BSI)

Cyberrisiko-Check nach DIN SPEC 27076

Unternehmen

Über uns
Kontakt
Karriere

Wissen

bitBlog
IT-Lexikon

Wir sind Mitglied