Biometrie im Test

Protector Suite 3.5

Das Hamburger Biometrie-Unternehmen Dermalog schickte mit "Protector Suite 3.5" ein Fingerabdrucklesegerät ins Rennen. Der Sensor wird über einen seriellen COM-Port mit dem Rechner verbunden. Die nötige Stromversorgung bezieht das Gerät über einen Zwischenstecker aus dem PS2-Anschluss des Keyboards. Unser erster Installationsversuch unter Windows 2000 scheiterte an der beharrlichen Forderung des Systems, eine Windows-NT-Version mit dem Service-Pack 4 zur Verfügung zu stellen. Ein Fehler im Setup, wie der Hersteller bedauerte, denn eigentlich sollten auch Windows 9x und Windows 2000 unterstützt werden. Wir erhielten eine andere Seriennummer, die es uns ermöglichte, auf unserem Windows 2000 Server statt der geplanten Netzwerk- eine Workstation-Version einzurichten.

Nach der Installation, die auch einen Check des Fingerabdrucklesegerätes vornahm und den Administrator ein eigenes Passwort festlegen ließ, starteten wir den Protector-Wizard, der dem Systemverwalter und dem User dieselbe Oberfläche präsentiert. Verwirrenderweise konnten wir selbst mit Protector-Administrator-Rechten nicht auf alle Optionen zugreifen. "Das bleibt den eingetragenen Windows-Administratoren vorbehalten", klärte uns der freundliche Hamburger Support auf. Diese nicht gerade selbstverständliche Logik einer Administratoren-Hierarchie hätte durchaus eine Erläuterung im Handbuch verdient.

Für das Enrollment legt ein neuer Benutzer viermal nacheinander seinen Finger auf die Sensorfläche. Mit dem fünften Auflegen wird überprüft, ob die erfolgten Aufnahmen für eine Verifikation ausreichen. Der Einlernvorgang hatte jedoch seine Tücken. Bei dem Fingerprint-Sensor handelt es sich um eine leichtgewichtige "Sparversion", die wir mithilfe einer beigelegten Klebefolie auf unserem Tisch fixieren konnten. Trotzdem war es nicht leicht, wie verlangt, den Finger immer in der gleichen Position auf den Sensor zu legen, weil sich die Folie nach einiger Zeit löste und das Gerät mit dem Kabel verdreht wurde. Zudem zeigte sich der Sensor als überaus empfindlich gegenüber Hautrückständen, die wir sehr oft mit einem Tuch entfernen mussten. Fast vor jeder zweiten Benutzung kam die Aufforderung "Please clean the device".

Der Anwender kann bis zu drei verschiedene Finger für die Verifikation auswählen. Wer darin die Möglichkeit vermutet, über eine Kombination von mehreren Fingern mehr Sicherheit erreichen zu können, irrt. Diese Maßnahme hilft lediglich der Erkennungsleistung des Systems etwas auf die Sprünge: Wird der Zeigefinger nicht erkannt, kann es der Anwender noch mit dem Mittelfinger versuchen. Führt dies auch nicht zum Erfolg, klappt es vielleicht mit dem Ringfinger.

Abgesehen davon, dass der Benutzer zusätzlich zur biometrischen Verifikation auf Wunsch des Administrators sein Windows-Kennwort eingeben muss, ist keine Sicherheitsabstufung vorgesehen. Eine Schwellenwertregelung der Systemtoleranz ist nicht möglich. Neben der biometrischen Absicherung von Login und Screensaver wartet die Protector-Suite mit einer Reihe zusätzlicher Funktionen auf:

- Der "Filedisk Protector" richtet dem Benutzer ein nur für ihn zugängliches virtuelles Laufwerk ein, dessen Name, Größe und Grad der Verschlüsselung er selbst bestimmen kann;

- mithilfe von "Passwort Protector" lassen sich per Mausklick Passwortabfragen anderer Anwendungen auf die biometrische Verifikation umstellen;

- die Komponente "PKI Protector" schützt private Schlüssel für Mail- und Web-Transaktionen.