biometrische authentifizierung

PUBLIC SERVICES
BIOMETRISCHE AUTHENTIFIZIERUNG
Biometrische Authentifizierung in der Bundeswehr
zum Windows Log-On
Im Oktober 2011 wurde Sopra Steria Consulting vom Bundesamt für Informationsmanagement und Informationstechnik der Bundeswehr (IT-AmtBw) mit der Studie „Biometrische
Authentifizierungs­verfahren“ beauftragt. Ziel dieser Studie war die Untersuchung des weltweiten Biometrie-Marktes auf bestehende Lösungen (sogenannte „Out of the Box“-Produkte),
die per Fingerbild, Gesichts- und Sprecherkennung eine biometrische Authentifizierung
ermöglichten. Ferner sollten die Produkte sowohl eine lokale Authentifizierung als auch eine
Authentifizierung über ein Microsoft® Active Directory leisten können. Als Ergebnis der Marktsichtung wurden sieben Prototypen aufgebaut. Hauptaugenmerk wurde auf die Erkennung
mittels Fingerbild, auf die zweidimensionale Gesichtserkennung sowie die Sprecherkennung
gelegt. Die Venenerkennung wurde im Laufe der Studie ergänzt.
Was ist biometrische Authentifizierung?
Neben den heute allgemein gebräuchlichen Authentifizierungen
mittels eines Passworts, einer Chipkarte oder eines Schlüssels
gibt es noch viele weitere Möglichkeiten, eine Person eindeutig zu
identifizieren. Eine dieser Möglichkeiten ist die Authentifizierung
durch unverwechselbare und messbare, persönliche Merkmale. Die
biometrische Authentifizierung beschäftigt sich mit der körperspezifischen Messung eines Lebewesens und den erforderlichen Auswertungsverfahren. Alle Körperspezifika, die zur Authentifizierung
herangezogen werden, haben dabei Folgendes gemeinsam: Sie
sind universell für jeden Menschen, trotzdem einzigartig, beständig und mittels eines Sensors erfassbar.
Vorteile der biometrischen
Authentifizierung
Zu den Hauptvorteilen der biometrischen Authentifizierung zählt
eine hohe Sicherheit, die leichte Handhabung für den Nutzer
sowie niedrige Betriebskosten – sofern diese Technologie richtig
eingesetzt wird.
Delivering Transformation. Together.
Anwendungsfälle
und Anforderungen
Biometrische Verfahren sind fast überall dort
einsetzbar, wo die Identität einer Person eine Rolle
spielt. Alltägliche Anwendungsbeispiele sind die
Identifizierung von Personen mittels Fingerabdruck,
durch biometrische Reisepässe und Personalausweise mit digitalem Lichtbild oder durch Zutrittskontrollen für Gebäude über die Gesichts-/
Iriserkennung. Zu den künftigen Anwendungsfällen
werden das Bezahlen per Fingerbild oder auch die
Anmeldung an einem IT-System zählen. Jeder dieser
Anwendungsfälle hat individuelle Anforderungen
an die biometrischen Systeme. Für den in dieser
Studie vorliegenden Anwendungsfall, der Nutzeranmeldung an einem Microsoft (MS) Active Directory,
wurden zu Beginn der Studie über 100 konkrete
Anforderungen in elf Kategorien erarbeitet.
Mittels einer Gewichtung erfolgte die Einordnung
dieser Anforderungen in die MUSS-, SOLL- und
KANN-Kriterien. Zu den MUSS-Kriterien zählen
unter anderem die Unterstützung eines MS Active
Directorys, die Single-Sign-on-Fähigkeit sowie die
Nutzungsmöglichkeit der integrierten Kamera oder des eingebauten Mikrofons beziehungsweise die Anbindung über einen
Standard-USB-Anschluss und eine zentrale Administrierbarkeit.
Identität
Zutrittskontrolle
Grenzkontrolle
Zahlungssysteme
SingleSign-On
Zeiterfassung
PasswortReset
Log-On
und vieles
mehr …
Produkthersteller
Softwarelösung
Biometry.com AG
BIOMETRYsso
Nemitec GmbH
Smile-In
Rohos
Rohos Face Log-On
Sensor
Integrierte Webcam
des verwendeten
Laptops
Tabelle 2: Marktsichtung – Gesichtserkennung
Ausweise
und Pässe
Abb. 1: Anwendungsfälle – biometrische Verfahren
Durchführung und Ergebnis der Marktsichtung
In einer Vorauswahl wurden Hersteller ermittelt, die Produkte in
den zu untersuchenden Disziplinen im Portfolio haben. Im Bereich
der Fingerbilderkennung wurden zehn Produkthersteller gefunden, von denen die nachfolgenden drei Lösungen die definierten
Anforderungen am besten erfüllten und pilotiert werden sollten.
Produkthersteller
Softwarelösung
Sensor
Atos
ID Center
Siemens ID Mouse pro3
DERMALOG
Windows Log-On
(Beta)
ZF1 – Keyboard F1 –
Fingerprint Live Scanner
digitalPersona
Pro Workstation
Pro Server for
Active Direction
4500 Fingerprint Reader
Tabelle 1: Marktsichtung – Fingerbilderkennung
In dem Bereich der zweidimensionalen Gesichtserkennung konnten rund 20 Hersteller recherchiert werden. Als maßgebliches
Ausschlusskriterium stellte sich die nicht vorhandene Unterstützung des MS Active Directorys heraus. Kein angefragter Produkthersteller konnte über einen einfachen lokalen Windows Log-On
hinaus hierzu ein fertiges Produkt anbieten. Unter Berücksichtigung dieser Einschränkung wurden folgende Applikationen für die
Pilotierung ausgewählt.
Im Bereich der Sprecherkennung wurde nicht
pilotiert, da keine „Out of the Box“-Produkte für
das Log-On verfügbar waren.
Im Bereich der Venenerkennung wurden zwei
Hersteller mit baugleichem Sensor recherchiert,
die beide in der Pilotierung berücksichtigt werden
konnten.
Produkthersteller
Softwarelösung
Sensor
Atos
ID Center
PalmSecure Sensor
Fujitsu
OmniPass
PalmSecure Mouse
Tabelle 3: Marktsichtung – Venenerkennung
Durchführung und Ergebnis der
prototypischen Überprüfung
Die prototypische Überprüfung erfolgte in einer
virtuellen Umgebung. Hierzu wurde ein Windows
2003 Server mit einem MS Active Directory sowie
ein Windows 7 Client installiert. Zur Überprüfung der
Authentifizierung wurden ein lokaler Benutzer auf
dem Client und drei Domänennutzer auf dem Server
angelegt.
Die Installation der zu pilotierenden Produkte erfolgte auf eigenständigen Kopien dieser virtuellen
Maschinen, über die die Vergleichbarkeit sichergestellt wurde. In einem ersten Schritt wurde die
Installationsfähigkeit der Produkte untersucht. Des
Weiteren wurden das Windows Log-On, das Öffnen
passwortgeschützter Anwendungen und Dateien
sowie Besonderheiten der Lösung getestet.
Das Enrolment, die Verwaltung der biometrischen Merkmale und im
Test erkannte Einschränkungen wurden beschrieben. Alleinstellungsmerkmale aus Sicht des Produktherstellers wurden ergänzt.
Virtueller Server
Windows Server 2003 – 32 BIT
N-fach: virtuelle Clients (Clone)
Windows 7, 32 Bit
Gesicht
- Active Directory
Finger
- Domäne: Bio.local
- 3 Nutzer
Sprache
Vene
Authentisierung durch Active Directory
Authentisierung durch Produkte
Abb. 2: Aufbau der Pilotierungsumgebung
Im Bereich der Fingerbilderkennung bestätigen die Ergebnisse die
Einschätzung der Marktsichtung. Im Bereich der Gesichtserkennung
findet eine erste Differenzierung über die Komplexität der Installation und die Administrierbarkeit statt. So konnte sich die von
digitalPersona angebotene Lösung durch eine einfache Installation
mit gleichzeitig hohem Integrationsgrad in die Administrationswerkzeuge des Microsoft Servers hervortun. Zudem bestach der
Sensor durch seine geringe Größe und sein niedriges Gewicht.
Eine erwähnenswerte Stärke der von Atos angebotenen Lösung
ist die gute Skalierbarkeit. Das ID-Center kann unternehmensweit
als Authentifizierungsdienst eingesetzt werden und unterstützt
hierbei eine Vielzahl von unterschiedlichen Sensoren. Die Stärke
von DERMALOG liegt in der Qualität der Sensorbilder. Es ist die
ideale Lösung für ePassports, Ausweise oder Identifikationskarten.
Ein echtes Highlight ist die integrierte Erkennung von gefälschten
Fingerabdrücken. Allen untersuchten Lösungen attestieren wir
gute Benutzerfreundlichkeit.
Die Produkte der zweidimensionalen Gesichtserkennung bieten
Vorzüge durch die Nutzung der integrierten Webcam. Hierzu
zählen die damit verbundene gute Integration in die vorhandene
Hardware sowie die geringen Kosten. Sie sind jedoch – gemessen an den Anforderungen der vorliegenden Aufgabenstellung
– ungeeignet. So sind die untersuchten Lösungen nicht zentral
administrier- oder skalierbar und für die Integration in das MS
Active Directory konnte keine Lösung nachgewiesen werden. Mit
der Unterstützung der Anmeldung an einem Domänenkonto ist
bestenfalls die von Rohos angebotene Lösung zu nennen. Die
Biometrysso-Lösung, als Single-Sign-on-Lösung und Passwortmanager, verfolgt mit der Kombination verschiedener biometrischer Verfahren, wie der Sprach- und der Gesichtserkennung,
einen guten Ansatz.
Um einem der innovativsten Lösungsansätze am
derzeitigen Biometriemarkt Rechnung zu tragen,
wurde auf Wunsch des Auftraggebers auch die Venenerkennung pilotiert. In Bezug auf die Authentisierungsqualität (Falschakzeptanzrate und Falschrückweisungsrate) ist diese Technologie sehr sicher
und vor allem berührungslos. Das biometrische
Merkmal befindet sich „versteckt” innerhalb der
Handfläche und ist somit kaum angreifbar oder
fälschbar. Die Lösungen erfüllen grundsätzlich alle
erhobenen Anforderungen. Getestet wurde der
Fujitsu Sensor PalmSecure mit der Software OmniPass, mit der die Anmeldung an einem Domänenkonto
realisiert wurde. Laut Herstellerangabe existiert zu
OmniPass eine Enterprise-Lösung, die eine Integration ins MS Active Directory unterstützt.
Kostenbetrachtung
Im Bereich der Ausgaben für die reinen Sensoren
ist die Gesichtserkennung die günstigste Variante,
die Fingerbilderkennung liegt im mittleren Preissegment und die Venenerkennung benötigt den
derzeit noch teuersten Sensor. Hierbei profitiert die
Gesichtserkennung jedoch von der Nutzung einer
integrierten Kamera, im Bereich der Venenerkennung ist zu erwarten, dass die Preise zeitnah sinken
werden.
Die Kosten für die Softwarepakete unterscheiden
sich je nach Funktionalität beziehungsweise abgebildeter Architektur (Client-/Serverkomponenten),
unabhängig von der verwendeten Sensortechnologie
– und sind somit schwierig vergleichbar.
Für die Fingerbilderkennung liegen die Kosten bei
zugrunde gelegten 500 Arbeitsplätzen zwischen
130 und 150 Euro pro Arbeitsplatz. Eine belastbare
Kostenaussage ist jedoch erst nach der Definition
eines konkreten Anwendungsfalls möglich.
Fazit und Empfehlungen
Die Marktanalyse sowie die Pilotierungen führen
klar zu Tage, dass der Biometriemarkt nicht in allen
Bereichen den gestellten Anforderungen in gleichem
Maße entspricht. Die beste Abdeckung der Anforderungen ergibt sich im Bereich der Fingerbilderkennung.
Wobei nicht nur die Software einwandfrei funktioniert, sondern auch interessante Hardwareprodukte
zur Verfügung stehen.
Ähnlich gut entspricht das identifizierte Produkt im
Bereich Venenerkennung den Anforderungen. Von
Nachteil sind hier jedoch die erhöhten Kosten, die
in etwa doppelt so hoch sind wie bei der Fingerbilderkennung (Preisstaffeln nicht berücksichtigt).
Anders stellt sich die Marktanalyse für die Bereiche Gesichts- und Sprecherkennung dar. Hier kann von keinem der identifizierten und pilotierten Produkte die
geforderte Anbindung an ein Active Directory erfüllt werden. Positiv ist hier
jedoch der Verzicht auf den Anschluss externer Geräte, da in allen Fällen die im
Notebook integrierte Erkennungshardware (Kamera, Mikrofon) genutzt werden
kann. Es scheint, als habe sich in diesem Marktsegment eher eine Fokussierung
auf den Consumer-Bereich (Gesichtserkennung) oder den Einsatz im Bereich der
Zutrittskontrolle Single-Sign-on (Sprecherkennung) und ähnliche ausgebildet.
Schlussendlich sollten demzufolge die Produkte der Fingerbilderkennung sowie
der Venenerkennung weiter verfolgt werden.
Im Folgenden sollte eine ROI-Betrachtung für einen zuvor konkret auszuformulierenden Anwendungsfall erfolgen. Welcher Nutzen (Komfort, erhöhte Sicherheit)
kann durch den Einsatz dieser Technologie erreicht werden? Welche Investitionskosten sind zu tätigen?
Wenn klar ist, über welche Parameter (Geräte oder Personen) eine tatsächliche
Skalierung der Sicherheit gewünscht ist, bleibt zu prüfen, ob das biometrische
System in die bestehende Sicherheits-Policy passt.
Über Sopra Steria Consulting
(www.soprasteria.de)
Sopra Steria Consulting zählt zu den Top
10 der Business Transformation Partner
in Deutschland. Als ein führender europäischer Anbieter für digitale Transformation
bietet Sopra Steria mit 36.000 Mitarbeitern
in über 20 Ländern eines der umfassendsten Portfolios für End-to-End-Services:
Beratung, Systemintegration, Softwareentwicklung, Infrastrukturmanagement
und Business Process Services. Unternehmen und Behörden vertrauen auf
die Expertise von Sopra Steria, Transformationsvorhaben, die geschäftskritische
Herausforderungen adressieren, erfolgreich umzusetzen. Im Zusammenspiel
von Qualität, Leistung, Mehrwert und
Innovation befähigt Sopra Steria seine
Kunden, IT optimal zu nutzen.
In diesem Zusammenhang sollten grundsätzliche Überlegungen angestrebt
werden, in welchen weiteren Anwendungsfeldern der Bundeswehr die Biometrie
eingesetzt werden kann beziehungs­weise wo eine erhöhte Sicherheit gegenüber
dem Status quo gefordert wird. Mögliche Einsatzfälle sind die Zutrittskontrolle für
Gebäude oder auch biometrische Verfahren, im Einsatz z. B. zur Personenkontrolle.
A3_16414_1504-PS-d
Wir empfehlen neben der laborhaften Teststellung aus dieser Studie den konkreten
Einsatz dieser Technologie in einem prototypischen Live-Test.
© Sopra Steria Consulting
Tel.: +49 40 22703-0
www.soprasteria.de