Biometrie – Königsweg der Authentifizierung

14.04.2011

Mobile Arbeitsplätze, Auslandseinsätze, freie Mitarbeiter, Partner und Kunden – der Wandel der Arbeitswelt (und auch der privaten Kommunikation) macht es erforderlich, dass viele Zugang zu Unternehmensportalen haben. Angesichts professionell arbeitender Gauner birgt das allerdings erhebliche Gefahren. Passwörter, derzeit noch Authentisierungsstandard, reichen längst nicht mehr aus, um Onlineportale oder Firmennetzwerke optimal zu schützen.

Erfordernisse für eine zukunftsweisende Authentisierung

Die Anforderungen sind gewachsen. Eine starke Authentisierung ist gefragt, und sie sollte folgende Voraussetzungen erfüllen:

  • Hohe Flexibilität bei multiplen Einsatzmöglichkeiten

Bei kritischen Workflows soll die Autorenschaft nachgewiesen werden. Ein- und Zweifaktorauthentisierung könnten variabel eingesetzt werden. Und sollten noch Passwörter Verwendung finden, wäre eine sicher Nutzererkennung zum Passwortreset von Vorteil…

  • Unabhängigkeit beim Login

Es wird angesichts der zunehmenden Mobilität immer wichtiger, zeit- und ortsunabhängig ins Netz zu kommen.

  • Unterstützung der Compliance

Die sichere Authentifizierung der Mitarbeiter - für Manager ein heißes Thema: Gesetzliche Vorschriften bürden ihnen eine hohe Verantwortung auf, die bei Nichtbeachtung empfindliche Sanktionen nach sich zieht. Die Standards PCI und SOX machen eine starke Authentifizierung unabdingbar. Sie ist Basis jedes konsequenten Compliance Management Systems.

  • Hoher Komfort für den Nutzer

Warum werden so häufig Passwortrichtlinien umgangen? Man kann sich die zahlreichen Passwörter einfach nicht mehr merken! Wie aufwändig ist es, an ein vergessenes Passwort zu kommen? Jeder kann ein Lied davon singen!

  • Datenschutzkonformität

Computernutzer werden zunehmend kritischer, was die Speicherung sensibler Daten betrifft. Betriebsräte laufen Sturm, wenn ein neues System eingeführt werden soll. Kunden und Partner wollen ihr Vertrauen nicht missbraucht sehen. Und manche Wissensfragen ermöglichen dem Unternehmen (auch wenn es meist nicht genutzt wird), ein sehr differenziertes Profil zu erstellen.

  • Schnelle und permanente Verfügbarkeit

Dem Einsatz einer neuen Authentifizierungsmethode geht ein langer Entscheidungsprozess voraus. Umso schneller möchte ein Unternehmen dann darüber verfügen. Und sicher sein, dass das Login seiner Mitarbeiter immer rasch und stabil funktioniert.

  • Deutlich reduzierter Verwaltungs- und Installationsaufwand

Der erforderliche Aufwand für die Installation der Hard- und Software sowie Folgekosten für Support und Verwaltung sind oft schlecht einzuschätzen. Hier ist Planungssicherheit nötig.

  • Keine Logistik(kosten)

Unternehmen schrecken unter anderem vor dem Einsatz neuer Technologien zurück, weil sie die aufwändige Logistik (und die damit verbundenen Kosten) fürchten.

  • Variable Anpassung bei Personalfluktuation

Mitarbeiter kommen und gehen – und mit ihnen die Passwörter. Die Authentifizierung muss zuverlässig im Unternehmen bleiben. Die Anpassung muss schnell und ohne Aufwand erfolgen.

Die Quadratur des Kreises

Sieht man sich diese Kriterien genauer an, ist man erst einmal ziemlich ratlos. Meist entscheidet man nach Priorität. Die Sicherheit hat natürlich Vorrang. Aber – wie sicher ist eine Methode, die vorwiegend auf der zuverlässigen Handhabung der Mitarbeiter basiert? Passwörter und Hardware sind stets der Gefahr ausgesetzt, verloren oder (bewusst oder unbewusst) weitergegeben zu werden. Will man sicher sein, dass nur der tatsächlich befugte Benutzer Datenzugang erhält, kommt definitiv nur eine Biometrie infrage. Sie ist strikt an die Person gebunden, die das physische Merkmal trägt. Das macht diese Gruppe von Authentisierungsverfahren so zuverlässig und wissens- wie besitzbasierten Methoden überlegen. Natürlich spielt dabei die Qualität des Sensors eine entscheidende Rolle.

Nicht alle Biometrien eignen sich für die Erkennung am Computer

Wenn ich mich an den Computer setze, bin ich meist ungeduldig. Und damit bin ich nicht alleine: Man will schnell etwas recherchieren, benötigt rasch Unterlagen… Da bleibt keine Zeit für aufwändige Prozeduren. Stimmerkennung ist problematisch, da die Stimme (z. B. erkältungs-, aber auch emotionsbedingt) erheblichen Schwankungen unterliegt. Gesichts- und Irisscan sind ausgesprochen ortsabhängig. Als praktisch hat sich hier der Fingerabdruck erwiesen. Er ist einfach und schnell abzugeben. Man ist bei beiden Verfahren jedoch vom Sensor abhängig. Eine fast vergessene, wenngleich bereits vor etwa einem Jahrhundert genutzte Methode ist die Biometrie des Tippverhaltens.

Geheimdienste nutzten die Methode schon vor 100 Jahren

Jeder Mensch hat eine andere Handschrift. Ebenso tippt er ganz individuell auf einer Computertastatur. Das ist der "Schlüssel" zu seinen Daten – er hat ihn quasi "in der Hand". Geheimdienste nutzten diese Erkenntnis bereits vor einem Jahrhundert, um eigene von feindlichen Funkern zu unterscheiden und Flottenbewegungen zu beobachten. Es lohnt, im Hinblick auf die oben genannten Aspekte diese Methode genauer zu betrachten:

Wie funktioniert Tippverhalten als Authentifizierung?

Zuerst ist ein einmaliges Enrolment (ca. 2-3 Minuten) erforderlich, um sich sein ganz individuelles Profil anzulegen. Damit wird die Tipp-Probe bei jedem Login verglichen. Dazu tippt der Nutzer mehrfach den vorgegebenen, kurzen Text. Das umgehend erstellte Profil berücksichtigt so viele Merkmale, dass sich ein unverwechselbares Bild ergibt und der Nutzer künftig zuverlässig verifiziert wird.

Bei jedem Login wird der Text auf dem Bildschirm angezeigt - der User muss sich nichts merken. Er tippt den kurzen Festtext einmal ab – schon ist er „drin“. Jeder kann sehen, was und wie er tippt. Es ist nicht möglich, das Tippverhalten eines anderen nachzuahmen.

Natürlich tippt man je nach Disposition unterschiedlich

Das macht gar nichts. Dem Nutzer steht eine komfortable Bandbreite seiner individuellen Tippvarianten zur Verfügung. Eine dynamische Software sorgt dafür, dass das Profil bei jedem erfolgreichen Login aktualisiert wird, da sich das Tippverhalten mit der Zeit ändert.

Diese Methode erfüllt als einzige alle relevanten Kriterien und ist in besonderem Maße geeignet für die Authentisierung im Internet. Wo auch immer man ist: Wenn auf dem Webserver des Unternehmens oder einem Onlineportal die Tipp-Biometrie als Authentifizierung zur Verfügung steht, kann sie genutzt werden - ohne dass am Laptop oder PC eine spezielle Installation erforderlich ist. Nur eine handelsübliche Tastatur ist erforderlich. Seine Finger hat man ja immer dabei…

Der Komfort ist unübersehbar

Tippen ist eine gewohnte Tätigkeit am Computer. Sie ist nicht mit unangenehmen Prozeduren verbunden. Der Aufwand beim Login hält sich in Grenzen. In ca. zehn Sekunden kommt der Nutzer an seine Daten.

Vielfältiger Einsatz – vom Weblogin bis zum Schutz von Onlineshops und Bezahlportalen

Das Verfahren kann sowohl zum Login an der Windows-Plattform als auch für den Nachweis der Autorenschaft bei kritischen Workflows angewandt werden. Und Manager können wieder ruhiger schlafen… Es leistet hervorragende Dienste beim Password Reset, ohne die halbe Abteilung lahmzulegen. Und es bietet sichere, personengebundene Authentifizierung auch an externen Arbeitsplätzen und in Partnernetzen. Es verhindert Passwordsharing und Onlinebetrug und ist damit prädestiniert als Standard der Zukunft.

Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland (Gastbeitrag in TechNet Blog Deutschland (News für IT-Pros )): "Warum ich (Tippverhalten) hier .. erwähne? Weil ich die Technik für bemerkenswert und ausgesprochen nützlich halte. Insbesondere der Wegfall von IT-Supportstunden, die aufgrund von vergessenen Kennworten notwendig werden, ist ein Segen für jedes Unternehmen. Zudem ist das Verfahren sicherer als eine rein auf Nutzernamen und Passwort basierende Absicherung. Die Tippbiometrie lässt sich auch mit einem weiteren Faktor wie einem Token oder einem Zertifikat kombineren."

Biometrie und Datenschutz - wie geht das denn?

Die Skepsis der Menschen im Zusammenhang mit der Speicherung biometrischer Daten steigt – unabhängig von deren teils fahrlässigem Umgang mit persönlichen Informationen und Äußerungen im Internet. Das ist die Krux bei der Einführung von Biometrien zur Authentifizierung.

Auch hier kann die Tipp-Biometrie punkten: Als Festtextvariante ist sie datenschutzkonform. Dies wurde auch vom TÜV Süd nach umfangreichen Untersuchungen bestätigt. Datenschutzfreundlich ist z. B., dass hier keine Daten erhoben werden, die Rückschlüsse auf die Person hinsichtlich ihrer Hautfarbe oder ethnischen Zugehörigkeit, ihres Alters oder Geschlechts, Ihrer Gesundheit etc. zuließen. Lediglich der Username und das Tippverhalten werden gespeichert. Dadurch erfreut sich die Methode hoher Akzeptanz - bei Nutzern ebenso wie bei Unternehmen.

Seit einem Jahrhundert hat sie sich bewährt. Jahrzehntelange Forschung hat das ihre dazu beigetragen, hohe Zuverlässigkeit – neben anderen Vorteilen - bei der Tipp-Biometrie zu gewährleisten. Es ist also durchaus eine Überlegung wert, über neue Wege der Authentifizierung nachzudenken. Zumal eine rasant sich verändernde IT-Landschaft und zunehmende Professionalität bei Cyberkriminellen eine Anpassung der Sicherheitsmaßnahmen auch auf diesem Gebiet zwingend erforderlich machen.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Weitere Artikel zum Thema

alle Artikel zum Thema

Autor

  • Hildegard Herzog

Hildegard Herzog ist seit 2008 bei Psylock GmbH in Regensburg für Presse und Kommunikation verantwortlich.

Artikel einreichen

Top Artikel

  1. Zehn Gebote für optimale End-Point-Security
  2. Complete Security
  3. Das Geschäft der Anderen mit Ihren Kundendaten
  4. Security-Framework "made in Germany"
  5. Schleichende Datenkorruption

Unsere Experten

alle Experten

Premium Lösungen

Marktübersicht

Premium Services

Dienstleisterübersicht