Von: Christian Tönnesen, Dr. Klaus Plessner
Biometrische Verfahren sollen die Anmeldung von Benutzern sicherer und vor allem einfacher machen. Sie verhindern einerseits, dass Unberechtigte Zugriff auf einen Rechner oder ein Netzlaufwerk erhalten, indem sie einem Mitarbeiter beim Eintippen seines Passworts über die Schultern schauen. Andererseits erleichtern sie den Usern das Leben, weil sie ihnen das Eingeben ihres Kennworts abnehmen. Um zu sehen, ob die Produkte auch wirklich halten, was sie versprechen, ob sie tatsächlich vor Übergriffen schützen und dem Anwender den Umgang mit langen Zugangscodes ersparen, nahmen wir vier der wichtigsten Vertreter der biometrischen Systeme auf den Prüfstand: "Bioid Client/Server 2.1.1" von Bioid AG, "Protector Suite 3.5" von Dermalog, "Biologon 2.0" von Identix und " Precise Logon 2.1" von Precise Biometrics. Dabei zeigte sich, dass manche Systeme mit Sicherheit nichts einfacher machen.
Bioid Client/Server
Mit Gesicht, Stimme und der Lippenbewegung beim Sprechen identifiziert "Bioid" von der Berliner Bioid AG einen Computernutzer anhand dreier Merkmale. Und zwar nicht "sequentiell", nach Art der meisten multimodalen Lösungen, sondern "parallel". Das heißt, die verschiedenen Merkmale werden in einem einzigen Identifikationsvorgang geprüft und nicht durch einen langwierigen Prozess aus drei aufeinander folgenden Erkennungsvorgängen. Elegant auch, dass hierfür nur eine einzige Sensorkomponente benötigt wird. In unserem Fall eine PC-Kamera von Philips mit eingebautem Mikrofon, die unter Windows 2000 über die USB-Schnittstelle angeschlossen wird. Für Windows NT benötigt man eine Framegrabber-Karte. Anfängliche Probleme mit dem beiliegenden Kamera-Treiber wurden mit dem Download einer aktuellen Version behoben. Das Softwarepaket ist dreiteilig. Die Server-Software und einen so genannten Configuration Manager installierten wir auf unserem Administratorrechner, die Client-Software auf einem Arbeitsplatzrechner.
Mit dem Configuration Manager steht dem Administrator ein übersichtliches Werkzeug zur Verfügung, mit dem er das Enrollment neuer Anwender auch aus der Ferne durchführen kann. Auf dem Monitor des Clients erscheint dann eine Meldung, die den Benutzer zur Mitarbeit auffordert. Ist dieser bereit, wird er als nächstes gebeten, in die Kamera zu sehen und fünfmal seinen Namen zu nennen. Anschließend sind die Aufnahmen vom Administrator zu überprüfen. Wurden die notwendigen Ausschnitte des Gesichts erfasst und die aufgenommenen Stimmfrequenzen nicht durch knallende Türen gestört, legt der Systemverwalter die Benutzerdaten an und weist ihm das Muster zu. Danach muss er ein so genanntes Datenbanktraining starten, das die charakteristischen Unterschiede aller angelegten Benutzer im Merkmalsraum neu berechnet. Dieser Kalkulationsaufwand ist nach jeder Änderung der biometrischen Daten nötig, weil die Software den User anschließend nicht nur verifiziert, sondern auch ohne Kenntnis seines Benutzernamens identifiziert. Vergisst der Administrator diesen Schritt, ist eine einwandfreie Erkennung nicht mehr gewährleistet.
Nach erfolgreichem Test-Login wird am Client das Programm Bioid-Logon gestartet, um die Windows-Anmeldung künftig durch Bioid zu ersetzen. Entsprechend dem multimodalen Konzept von Bioid kann der Administrator je nach Sicherheitsanforderungen bestimmen, ob er eines der drei Merkmale bei der Anmeldung unberücksichtigt lassen will. Außerdem bietet eine Option "Summed" noch die Möglichkeit, einzelne Merkmale unterschiedlich zu gewichten. Ein Angriffspunkt im Bioid-Sicherheitskonzept könnte der Configuration Manager sein, der von jedermann aufgerufen werden kann, wenn er nicht vom Administrator in einem geschützten Verzeichnis abgelegt wird. Der ohnehin große Administrationsaufwand wird noch zusätzlich dadurch erhöht, dass die vorhandene Domänen-Struktur nicht übernommen wird.
Protector Suite 3.5
Das Hamburger Biometrie-Unternehmen Dermalog schickte mit "Protector Suite 3.5" ein Fingerabdrucklesegerät ins Rennen. Der Sensor wird über einen seriellen COM-Port mit dem Rechner verbunden. Die nötige Stromversorgung bezieht das Gerät über einen Zwischenstecker aus dem PS2-Anschluss des Keyboards. Unser erster Installationsversuch unter Windows 2000 scheiterte an der beharrlichen Forderung des Systems, eine Windows-NT-Version mit dem Service-Pack 4 zur Verfügung zu stellen. Ein Fehler im Setup, wie der Hersteller bedauerte, denn eigentlich sollten auch Windows 9x und Windows 2000 unterstützt werden. Wir erhielten eine andere Seriennummer, die es uns ermöglichte, auf unserem Windows 2000 Server statt der geplanten Netzwerk- eine Workstation-Version einzurichten.
Nach der Installation, die auch einen Check des Fingerabdrucklesegerätes vornahm und den Administrator ein eigenes Passwort festlegen ließ, starteten wir den Protector-Wizard, der dem Systemverwalter und dem User dieselbe Oberfläche präsentiert. Verwirrenderweise konnten wir selbst mit Protector-Administrator-Rechten nicht auf alle Optionen zugreifen. "Das bleibt den eingetragenen Windows-Administratoren vorbehalten", klärte uns der freundliche Hamburger Support auf. Diese nicht gerade selbstverständliche Logik einer Administratoren-Hierarchie hätte durchaus eine Erläuterung im Handbuch verdient.
Für das Enrollment legt ein neuer Benutzer viermal nacheinander seinen Finger auf die Sensorfläche. Mit dem fünften Auflegen wird überprüft, ob die erfolgten Aufnahmen für eine Verifikation ausreichen. Der Einlernvorgang hatte jedoch seine Tücken. Bei dem Fingerprint-Sensor handelt es sich um eine leichtgewichtige "Sparversion", die wir mithilfe einer beigelegten Klebefolie auf unserem Tisch fixieren konnten. Trotzdem war es nicht leicht, wie verlangt, den Finger immer in der gleichen Position auf den Sensor zu legen, weil sich die Folie nach einiger Zeit löste und das Gerät mit dem Kabel verdreht wurde. Zudem zeigte sich der Sensor als überaus empfindlich gegenüber Hautrückständen, die wir sehr oft mit einem Tuch entfernen mussten. Fast vor jeder zweiten Benutzung kam die Aufforderung "Please clean the device".
Der Anwender kann bis zu drei verschiedene Finger für die Verifikation auswählen. Wer darin die Möglichkeit vermutet, über eine Kombination von mehreren Fingern mehr Sicherheit erreichen zu können, irrt. Diese Maßnahme hilft lediglich der Erkennungsleistung des Systems etwas auf die Sprünge: Wird der Zeigefinger nicht erkannt, kann es der Anwender noch mit dem Mittelfinger versuchen. Führt dies auch nicht zum Erfolg, klappt es vielleicht mit dem Ringfinger.
Abgesehen davon, dass der Benutzer zusätzlich zur biometrischen Verifikation auf Wunsch des Administrators sein Windows-Kennwort eingeben muss, ist keine Sicherheitsabstufung vorgesehen. Eine Schwellenwertregelung der Systemtoleranz ist nicht möglich. Neben der biometrischen Absicherung von Login und Screensaver wartet die Protector-Suite mit einer Reihe zusätzlicher Funktionen auf:
- Der "Filedisk Protector" richtet dem Benutzer ein nur für ihn zugängliches virtuelles Laufwerk ein, dessen Name, Größe und Grad der Verschlüsselung er selbst bestimmen kann;
- mithilfe von "Passwort Protector" lassen sich per Mausklick Passwortabfragen anderer Anwendungen auf die biometrische Verifikation umstellen;
- die Komponente "PKI Protector" schützt private Schlüssel für Mail- und Web-Transaktionen.
Biologon
Die Firma Identix lieferte zusammen mit der Software "Biologon" zwei Sensorvarianten: das optische Fingerprintlesegerät "MT-Digit" von Datawise und die Tastatur "Keyboard Fingerprint G 81 - 2000" von Cherry, in der sowohl ein Fingerprintreader als auch ein Smartcardleser integriert sind. Die Sensoren werden über die parallele Schnittstelle angeschlossen, als Stromversorgung dient auch hier ein Durchgangsstecker zum Tastaturanschluss. Der Smartcardleser wird über einen Com-Port verbunden.
Die Software ließ sich schnell auf dem Server und dem Client installieren. Nach dem Programmstart öffnete sich der Windows-Benutzermanager, jetzt um den Menüpunkt "Biometrics" erweitert. Unkompliziert konnten wir damit einen in der Windows-Arbeitsgruppe oder Domäne bereits eingetragenen Benutzer zum Biometrie-User ernennen.
Einfach gestaltete sich auch das Anlegen eines Biometrie-Musters. Der gesamte Einschreibevorgang war mit nur einmaligem Auflegen des ausgewählten Fingers und einer anschließenden Testverifikation in Sekundenschnelle erledigt. Noch während der Finger auf dem Sensor lag, informierte eine Kontrollanzeige über die Qualität der momentanen Fingerabdruckerkennung. Das Lesegerät verrutschte nicht und kam mit leicht variierenden Fingerpositionen gut zurecht. Nach der Login-üblichen Tastenkombination Strg-Ctrl-Entf dauerte es nur den Bruchteil einer Sekunde, bis der aufgelegte Finger verifiziert war. Schnell ließ sich auch der Screensaver per Fingerdruck deaktivieren. Selten auftretende Erkennungsfehler, die ein zweites Auflegen erforderten, wirkten sich bei dem rasanten Tempo des Systems kaum störend aus.
Über Und/Oder-Kombinationen der Referenzen Fingerabdruck, Kennwort und Smartcard kann der Benutzer verschiedene Sicherheitsstufen definieren: von der benutzerfreundlichen Nur-Fingerabdruck-Variante bis hin zur Verifikation durch Fingerabdruck und Passwort und Smartcard. Durch entsprechende Symbole im Benutzer-Manager erkennt der Administrator auf einen Blick, welche Richtlinien er für einen User festgelegt hat. Eine weitere Sicherheitsabstufung kann je nach Client durch Auswahl der Niveaus "Mittel", "Hoch" und "Sehr Hoch" vorgenommen werden.
Precise Logon
Der schwedische Hersteller Precise Biometrics bietet neben der Software "Precise Logon 2.1" ebenfalls zwei unterschiedliche Lesegeräte für die kapazitive Fingerabdruckerkennung an. Das Gerät "Precise 100 SC" speichert die biometrischen Referenzdaten über einen eingebauten Smartcard-Leser auf einer Scheckkarte, die einfache Version Precise 100 A enthält nur einen Fingerabdrucksensor. Beide Lesegeräte werden über die parallele Schnittstelle und einen PS/2-Durchgangsstecker an den Computer angeschlossen. Der Parallel-Port muss auf ECP-Modus gesetzt sein, was gegebenenfalls im Bios einzustellen ist.
Nach der Installation der Software ließ sich im Programm-Menü zunächst nur der Punkt "Demo" auswählen, womit die Funktion des Lesegerätes überprüft wurde. Anschließend startet der Benutzer den Einschreibevorgang über die Windows-Sicherheitsoberfläche (Ctrl-Alt-Delete). Für das biometrische Referenzmuster wurde ein Finger dreimal registriert. Der Scanner arbeitete schnell und inklusive Testverifikation war der gesamte Vorgang in wenigen Sekunden abgeschlossen. Die Erkennung wurde durch die ergonomische Gestaltung des Lesegerätes unterstützt. Eine auf die Sensorfläche zulaufende, der Fingerform angepasste Führung erleichterte die richtige Positionierung der Fingerkuppe.
Auf dem Administrationsrechner installierten wir die Komponente "Biomanager", die uns die bereits bestehenden Windows-Benutzerkonten auflistete und verschiedene Authentifizierungsmethoden festlegen ließ: entweder nur Kennwort, nur Fingerabdruck oder Fingerabdruck kombiniert mit Smartcard. Eine Verknüpfung von Fingerabdruck und Passwort ist nicht vorgesehen. Der Administrator entscheidet, ob sich ein Benutzer auf Wunsch mit einem Kennwort einloggen kann. Löscht der Bio-Administrator einen User-Account oder legt er einen neuen an, gehen seine Änderungen auch in die Windows-Benutzerverwaltung ein. Für die Festlegung des Sicherheitsniveaus stehen sieben Stufen zur Verfügung mit der Voreinstellung auf Level 4. Änderungen wirken sich allerdings prinzipiell auf alle Benutzer aus und können nicht für jeden Client einzeln vorgenommen werden. In puncto Sicherheit wichtig: Ein Anwender ohne Administrationsrechte kann die Software nicht deinstallieren, weil das Setup in diesem Fall vorzeitig abbricht.
Fazit
Beim Versuch, dem Administrationsaufwand passwortgestützter Anmeldesysteme mit Biometrie beizukommen, gerät man mit einigen der getesteten Systeme vom Regen in die Traufe. Allen voran gilt dies für das System von Bioid, dessen multimodale Konzeption uns zwar sehr beeindruckte. Jedoch spiegelte sich die Komplexität der jüngsten, mittlerweile zwei Jahre alten, Version 2.1.1 im zeitlichen Aufwand für die Systempflege und ließ unsere anfängliche Begeisterung schnell schwinden. Einiges erschien unnötig kompliziert. Würde die Software einen Benutzer im einfacheren und zudem weniger fehleranfälligen Verifikations-Modus erkennen, entfiele das umständliche "Datenbank-Training", das der Administrator nach einer Änderung biometrischer Daten nicht vergessen darf.
Die Protector-Suite von Dermalog erfreute mit Biometrie-Anwendungen, die über die Login-Prozedur und den Screensaver hinausgehen. Leider funktioniert das Management-Tool "Protector Wizard" nicht nach dem Vorbild eines Windows-Fensters mit Registerkarten, sondern vielmehr wie ein Setup-Tool. Selbst wenn der Administrator nur ein Detail in den Einstellungen eines Benutzerkontos verändern will, muss er sich jedesmal von A bis Z durch den Wizard klicken. Ein weiteres Hemmnis stellt der Umgang mit dem Fingerabdruck-Sensor dar. Ein von Dermalog nachgeliefertes Maus-Pad mit passgerechter Aussparung für den Sensor löste nur einen Teil des Problems. Der schutzbedürftige Winzling fand zwar eine Heimat und drohte nicht mehr in den Weiten einer Arbeitsoberfläche verloren zu gehen, verlangte aber weiterhin fast vor jeder Nutzung eine Reinigung der Sensoroberfläche und bleibt damit ein unpraktikabler Pflegefall.
Gäbe es nicht die beiden anderen Kandidaten, wäre man geneigt, biometrischen Sicherheitslösungen den Rücken zu kehren und noch ein paar Entwicklungsjahre verstreichen zu lassen. Aber sowohl das amerikanische Biologon als auch das schwedische Precise Logon sind eindeutig der Kategorie "die wissen was sie tun" zuzuordnen. Biologon behelligt erst gar nicht mit ominösen Benutzeroberflächen, sondern präsentiert sich unaufdringlich im vertrauten Terrain des Administrators, dem Windows-Benutzer-Manager. Das gesamte Konzept ist durchdacht und intuitiv erfassbar, ein Nachschlagen im lobenswert übersichtlichen und deutschsprachigen Handbuch ist kaum nötig. Enrollment und Verifikation gehen außerordentlich schnell vonstatten.
Precise Logon steht Biologon in der Erkennungsgeschwindigkeit kaum nach. Allerdings ist die Administrations-Oberfläche, der "Biomanager", hinsichtlich möglicher Einstellungen etwas spärlich ausgestattet. Umso mehr überzeugen die Sensorkomponenten, vor allem das Gerät Precise 100SC, das die Speicherung der biometrischen Daten auf einer Smartcard ermöglicht. Beide Systeme erwiesen sich als benutzerfreundlich und gut administrierbar. Sie eignen sich für die biometrische Sicherung von Computernetzen. (kpl)
Zur Person
Christian Tönnesen
ist freier Fachjournalist in Berlin mit dem Schwerpunkt biometrische Sicherheitslösungen.