Der Fingerabdruck als Datenschützer

Die Akzeptanz biometrischer Technologien steigt, so das Resultat einer Studie, die das Marktforschungsinstitut Vanson Bourne im April 2006 in sieben europäischen Ländern durchführte. Bereits 84 Prozent der Befragten sind bereit, bei Auslandreisen Fingerabdrücke abzugeben oder sich einem Iris-Scan zu unterziehen. Datenschutz im Sinn von Persönlichkeitschutz scheint kein Problem zu sein, im Gegenteil: Biometrie vermindert laut den meisten Antworten das Risiko eines Identitätsdiebstahls. Noch mehr Sympathie dürfte der Beizug biometrischer Merkmale für die Zugriffskontrolle von IT-Systemen sein – hier verbreiten sich, um bei der gängigsten Methode zu bleiben, die Fingerabdruckdaten ja nur innerhalb des eigenen Unternehmens.

Datenschutz zum Schutz von Daten

Biometrie zum Schutz von Daten ist also höchst gefragt. Die Umfrageteilnehmer in Deutschland fanden zum Beispiel zu 85 Prozent, dass eine durch Fingerabdruck gesicherte Kreditkarte mehr Sicherheit bietet als die gängige Chipkarte mit PIN.
Ob das stimmt, sei dahingestellt. Der bekannte Chaos Computer Club hat schon 2004 demonstriert, dass sich Fingerabdrücke mit relativ einfachen Mitteln fälschen lassen: Mit Farbpulver sichtbar gemachten Abdruck per Digicam einscannen, Bild auf eine Folie drucken und die Attrappe auf den eigenen Finger kleben genügt – nachzulesen unter www.ccc.de/biometrie/fingerabdruck_kopieren. Viele handelsübliche Fingerprint-Sensoren, die in Mobilcomputern integriert oder als USB-Peripherie angeboten werden, arbeiten optisch. Sie erfassen mit einem CCD-Chip das Abdruckbild und lassen sich leicht überlisten. Weniger fake-anfällig sind die ebenfalls recht verbreiteten kapazitiven Sensoren, die die geringen Höhenunterschiede in der Haut mit elektrischen Feldern messen.

Trotz aller Bedenken: Kein Zugriffskontrollsystem ist hundertprozentig sicher, und wenn man sich den sorglosen Umgang vieler User mit Passwörtern vor Augen führt, erscheint die Identitätsprüfung per Fingerabdruck dann doch als gar nicht so schlechte Alternative, vor allem wenn sie kombiniert mit einer Smartcard-PIN zur Anwendung kommt. Ausserdem ist auch der simpelste Fingerabdruckleser nur mit Aufwand zu über­listen; als erstes braucht man nur schon einen guten Fingerabdruck der betreffenden Person.
Es ist sicher nicht angebracht, die bequeme und im Fall von Fingerprint-Readern sehr preisgünstige biometrische Authentikation kritiklos als alleinige Ideallösung zu sehen. Ebensowenig sollte man sie jedoch a priori als im Vergleich zum klassischen Passwort weniger sicher verteufeln.

Fingerabdruck statt Passwort

Dies sehen diverse Hersteller von Notebooks und PC-Eingabegeräten ähnlich und bieten Produkte mit integriertem Fingerprint-Reader an. Die Sensoren stammen von diversen OEM-Anbietern: Neben den verbreitetsten Herstellern Authentec, Upek und Infineon umfasst der Markt einige weitere Player wie Nitgen, die meisten davon aus Korea.
Damit der Fingerabdrucksensor seinen Zweck erfüllt, muss die übliche Passwortabfrage durch den Fingerprint-Scan ersetzt oder ergänzt werden. Passende Software wird bei allen Produkten mitgeliefert, einige Hersteller bieten optional Pakete mit zusätzlichen Möglichkeiten an. Endress Enterprise von Nitgen erlaubt zum Beispiel die Integration in eine Active-Directory-Umgebung, wobei die Fingerabdruckdaten statt direkt auf dem Client im zentralen Verzeichnis gespeichert werden.
Funktional bieten die verschiedenen Herstellerlösungen praktisch die gleichen Ansätze. Lenovo positioniert die Vorteile des Fingerabdruck-Sensors, der sowohl integriert in einzelnen Notebook-Modellen und einer USB-Tastatur als auch in Form eines separaten USB-Fingerprint-Readers angeboten wird, wie folgt:

- Windows-Logon per Fingerabdruck: Ersatz der Passworteingabe durch den Fingerprint-Scan beim Windows-Logon, sowohl bei der Erstanmeldung als auch aus dem Ruhezustand oder Standby-Modus.

- Ersatz des BIOS-Passworts durch Fingerabdruck: Bei einigen Notebook-Modellen lässt sich auch das vom BIOS verwaltete «Hardware-Passwort» durch einen Fingerprint-Scan ablösen.

- Zugriff auf passwortgeschützte Anwendungen und Webseiten:
Der Fingerprint-Scan lässt sich in den Single-Sign-On-Mechanismus einklinken, der auf verschiedenen Desktop- und Notebook-Modellen in Form der Client Security So-
lution zur Verfügung steht: Ein Passwort-Manager erlaubt das Speichern beliebig vieler seiten- und anwendungsspezifischer Login-Daten auf einem Sicherheits-Chip. Der Zugriff auf den Chip erfolgt über den Fingerprint-Scan – ohne Biometrie müsste man eine Master-Passphrase eingeben.

- Wireless-Authentifizierung: Die Verbindung mit einem WLAN wird durch die Authentifizierung zu Beginn jeder Session klar sicherer als mit einer permanent auf dem Gerät gespeicherten Passphrase. Im Fall der Lenovo-Notebooks sorgt die Netzwerk-Roaming-Software Access Connections zusammen mit dem biometrischen Windows-Logon für die korrekte Zuordnung der Sicherheitsmerkmale.

- Zweikomponenten-Authentifizierung: Ein Teil der Bequemlichkeit geht zwar verloren, wenn bei der Anmeldung neben dem Fingerabdruck auch noch ein Passwort verlangt wird. Dafür bietet die kombinierte Lösung deutlich mehr Sicherheit.

- Zugriff auf verschlüsselte Daten: Mit der Software File and Folder Encryption lassen sich einzelne Dateien und Ordner verschlüsselt auf der Harddisk speichern. Auch hier kann statt eines Passworts der Fingerprint-Scan zum Einsatz kommen. Eine vergleichbare Funktion findet sich übrigens nicht nur bei Notebooks und externen Fingerabdrucklesern anderer Hersteller, sondern auch bei einigen USB-Speichergeräten von Sandisk, Pretec und diversen OEM-Anbietern.

Fingerprint im Mobilcomputer

Neben Lenovo, oben zufällig als Beispiel gewählt, bieten auch andere Hersteller von Mobilcomputern Geräte mit integriertem Fingerabdruckleser an – aber lange nicht alle. Bei Dell gibt es zum Beispiel nur einen externen USB-Reader, der sich mit bestimmten Modellen aus der Precision- und Latitude-D-Familie verträgt. Bei Maxdata, Samsung und verschiedenen Assemblierern konnten wir keine biometrisch ausgestatteten Notebooks finden. Für die Übersichtstabelle haben wir jeweils ausschliesslich die Business-Produktlinien berücksichtigt, falls der Hersteller zwischen Business- und Multimedia- oder Privatanwender-Geräten unterscheidet.
Acer rüstet einzig den Tablet PC Travelmate C200 optional mit einem Fingerprint-Reader aus. Die Tablet-PC-Plattform scheint die Hersteller überhaupt zum Einbau solcher Hardware anzuregen; sämtliche Hersteller mit Tablet PCs im Lieferprogramm offerieren mindestens ein entsprechend ausgestattetes Modell an.
Eine weitere Beobachtung: Kein Hersteller setzt in der gesamten Modellpalette auf integrierte Biometrie, es bieten immer nur einzelne Modelle einen fix oder optional eingebauten Fingerprint-Reader. Ein gutes Beispiel ist HP: In fast allen Produktfamilien finden sich Modelle mit und ohne. HP ist daneben auch der einzige Anbieter eines biometrischen Pocket PC: Der iPAQ hx2790 hat, geschickt zwischen den sonstigen Bedienungs­elementen plaziert, einen Fingerabdruckleser mit Slide-Modus – zur Prüfung wird der Finger nicht statisch auf eine Sensorfläche gelegt, sondern über einen Sensorschlitz bewegt. Ähnlich ausgestattet sind auch einige Tablet PCs; in den Notebooks sind dagegen meist flächige Sensoren verbaut.


Notebooks und PDA mit integriertem Fingerabdruckleser

Peripherie von USB-Stick bis Lasermaus

Wer im Notebook keinen Fingerprint-Reader hat oder mit einem Desktop-PC arbeitet, kommt mit Hilfe eines externen, fast immer via USB anschliessbaren Fingerprint-Readers biometrisch zum Zug. USB-Fingerprint-Reader sind ab 75 Franken erhältlich, im Lieferumfang ist jeweils auch die passende Software enthalten.

Interessanterweise günstiger sind die biometrisch geschützten Speichersticks von Pretec und Sandisk: Ein Gigabyte Flash-Speicher ist samt Fingerabdruckleser schon für 52 Franken zu haben. Besonders die i-Disk Touch von Pretec überzeugt durch Kapazitätsvielfalt und Features: Es gibt den USB-Stick mit 512 MB bis 4 GB Speicher, und die mitgelieferte Software bietet neben der Möglichkeit, die Daten auf dem Stick selbst zu verschlüsseln (Swipe&
Go), alle gängigen Funktionen für die PC-seitige Fingerprint-Sicherheit wie Login und Abruf von Web-Passwörtern. Besonders interessant ist PC Lock zur PC-Zugangssicherung: Der Zugriff auf den PC ist gesperrt, sobald der Stick aus dem USB-Port entfernt wird, und lässt sich für einen wählbaren Zeitraum nur per Fingerabdruck wieder entriegeln. Auf dem Stick können sich bis zu zehn Personen für den Fingerprint-geschützten Zugang registrieren. Der einzige Wermutstropfen, der im übrigen für praktisch alle vorgestellten Produkte gilt: Die Software läuft nur unter Windows; Linux- oder Mac-OS-Versionen werden nicht ange­boten.

Andere Biometrieverfahren haben den Massenmarkt noch nicht erreicht. Ein Hersteller namens Jiris preist zwar auf seiner Website diverse Iris-Scanner mit USB-Anschluss an, es gibt sie aber nirgends zu kaufen. Panasonic hat die Iriskamera BM-ET300 im Programm — sie kostet aber über 6660 Franken und ist nicht für den Einsatz am PC, sondern für die Zutrittskontrolle gedacht. Diesen Anwendungsbereich haben Biometrieverfahren wie Iris-Scan und Handabdruck schon stärker erfasst als die IT-Authentifizierung.




Peripherie für die biometrische IT-Zugriffskontrolle

(ubi)