Zugangskontrolle per Fingerabdruck

Feature | 23. Februar 2004 von admin 0

Die Rache entlassener Mitarbeiter kann ein Unternehmen empfindlich treffen – und Firmennetzwerke sind ein neuralgischer Punkt. Ein ehemaliger Angestellter der Bekleidungsfirma American Eagle etwa veröffentlichte auf einer Hacker-Seite die Passwörter und User-Namen von Mitarbeitern sowie eine Anleitung zum Eindringen in das Netzwerk des Unternehmens. Der 38-Jährige wollte seinen ehemaligen Arbeitgeber mit einer Denial-of-Service-Attacke schädigen: Die IT-Systeme der Bekleidungsläden in den USA und in Kanada sollten in der Vorweihnachtszeit ihren Dienst verweigern. Das Unternehmen entdeckte die Angriffe allerdings frühzeitig und verhinderte damit größeren Schaden. Ende vergangenen Jahres verurteilte ein Bundesgericht den Mann zu 18 Monaten Haft.
Der Fall ist nur ein Beispiel dafür, dass Unternehmen die Sicherheit ihrer kritischen Anwendungen nicht hoch genug bewerten können. Passwörter bieten keinen ausreichenden Schutz, zumal laut Gartner die meisten Fälle von Datenmissbrauch in Unternehmen auf das Konto von Mitarbeitern gehen. An den Zugangscode eines Kollegen zu gelangen, ist meist nicht besonders schwierig. Umfragen haben ergeben, dass rund 80 Prozent der Anwender ihre Passwörter in der Nähe ihres Computers aufbewahren: Die Zahlenkombinationen sind beispielsweise im Kalender notiert oder auf Zetteln, die gut sichtbar am Bildschirm kleben. Dank solcher Gedächtnisstützen ist es für Dritte ein Leichtes, sensible Daten zu manipulieren oder zu stehlen. Noch einfacher ist der Zugriff, wenn ein Anwender seinen Schreibtisch kurz verlässt, ohne sich vom System abzumelden.

Kostspielige Passwort-Verwaltung

Kostspielige Passwort-Verwaltung

Sicherheitssysteme, die auf biometrischen Erkennungsverfahren beruhen, schieben dem Datenmissbrauch durch Unbefugte einen Riegel vor. Sie identifizieren den Anwender bei der Anmeldung über unverwechselbare persönliche Merkmale, wie den Fingerabdruck, die Iris oder die Stimme. Diese Merkmale können im Gegensatz zu Passwörtern oder SmartCards nicht gestohlen, vergessen oder verloren werden. Die Anmeldung ist einfach: Beim Verfahren der Daktyloskopie – dem Vergleich von Fingerabdrücken – genügt das Antippen eines biometrischen Sensors auf der Tastatur oder Maus. Außer einem hohen Bedienkomfort bieten biometrische Systeme auch finanzielle Vorteile, da beispielsweise die Verwaltung von Passwörtern entfällt.

Biometrischer Schutz für SAP-Lösungen

Höchste Sicherheitsstufe bei Brevard County

Höchste Sicherheitsstufe bei Brevard County

Zum Schutz von SAP-Systemen entwickelte der SAP-Partner realtime AG eine biometrische Sicherheitslösung. bioLock ist die erste und bislang einzige Software, die über den Fingerabdruck eines Anwenders prüft, ob er für eine SAP-Lösung registriert ist. Das Programm ersetzt nicht das Berechtigungskonzept eines Unternehmens. Vielmehr stellt es sicher, dass Funktionen tatsächlich von einem berechtigten Mitarbeiter ausgeführt werden.
Die biometrische Lösung vergleicht den Fingerabdruck auf der Tastatur oder Maus mit den Referenzdaten der registrierten Anwender. Diese sind als Templates verschlüsselt in einer SAP-Tabelle in der Datenbank abgelegt. Die 128-Bit-Verschlüsselung über CSP-Technologie (Cryptographic Service Provider) gewährleistet, dass das Programm eine Manipulation am Datensatz sofort erkennt und die Identifikation abbricht.

Sensor statt Stempelkissen

Die Templates enthalten für jeden Anwender die relevanten Minuzien – Mikromerkmale eines Fingerabdrucks, etwa Verzweigungen oder Endpunkte der Linien. Minuzienbilder sind wie Sternbilder einmalig und unabhängig von Lage, Drehwinkel oder absoluter Größe wieder zu erkennen. bioLock gewährt einem Anwender Zugang zur geschützten SAP-Applikation, wenn sein Fingerabdruck mit den Daten im Template übereinstimmt. Der Erkennungsvorgang dauert nur den Bruchteil einer Sekunde.

Registrierung der Anwender

Registrierung der Anwender

Die Minuzien der Anwender speichert das Programm bei der Registrierung, dem so genannten Enrolment. Der Systemadministrator legt über die Customizing-Funktion für jeden betroffenen Mitarbeiter einen bioLock-User an und nimmt die Abdrücke von möglichst vielen Fingern seiner Hand. Ein Anwender, der beispielsweise einen verletzten Finger mit einem Pflaster schützt, kann sich dann mit einem anderen Finger anmelden. Beim Registrieren übernimmt der biometrische Sensor auf der Tastatur eines bioLock-Arbeitsplatzes quasi die Funktion eines Stempelkissens. Der Anwender tippt mit jedem Finger dreimal auf den Sensor, das Programm bildet aus den drei Abdrücken einen Durchschnitt und speichert die Minuzien in ein Template. Dort ist hinterlegt, für welche Anwendungen, Transaktionen oder Felder er sich ausweisen muss.

Verschiedene Sicherheitsstufen

SAP-Logon mit bioLock

SAP-Logon mit bioLock

Das Sicherheitsniveau ist individuell skalierbar. bioLock schützt einzelne Felder ebenso wie komplette Systemlandschaften. Häufig bietet es sich an, einzelne, kritische Funktionen, wie das Anzeigen einer Bilanz, das Ändern von Stücklisten oder die Freigabe von Medikamenten-Chargen, biometrisch abzusichern. Wenn ein Anwender die Transaktion ausführt, fordert das Programm ihn über ein Dialog-Fenster auf, sich zu identifizieren. In der Standardeinstellung protokolliert bioLock jeden Identifizierungsvorgang in Log-Files.
Der Fingerabdruck kann als alleinige Zugangsbarriere oder zusätzlich zum Passwort-Log-on eingerichtet werden. Will ein Unternehmen komplett auf Passwörter verzichten, bietet sich das Single-Sign-on mit der Lösung bioPortal an. Sie kombiniert bioLock mit der Software ID Center von Siemens. ID Center speichert die biometrischen Daten aller Mitarbeiter auf einem gesonderten Sicherheits-Server. bioPortal gewährt allen Anwendern direkten Zugang zu den Applikationen, für die ihr Fingerabdruck sie identifiziert. Sie klicken auf die gewünschte Applikation und das Programm prüft, ob ihr Fingerabdruck hinterlegt ist. Wenn ja, erfolgt die Anmeldung automatisch. bioPortal schützt nicht nur SAP-Lösungen, sondern auch Datenbanken und andere Applikationen vor unbefugtem Zugriff. Die Lösung lässt sich darüber hinaus in Verbindung mit SAP Enterprise Portal einsetzen.
Die biometrische Autorisierung per Fingerabdruck kann zudem als elektronische Unterschrift genutzt werden, um Geschäftsprozesse durchgängig in der SAP-Lösung durchzuführen. Hilfreich ist das unter anderem in Krankenhäusern: Statt Dokumente für Medikamentenbestellungen auszudrucken und dem Arzt zur Unterschrift vorzulegen, gibt dieser sie ohne Medienbruch mit seinem Fingerabdruck frei. Um die Freigabe zu dokumentieren, hängt bioLock die Fingerprint-Daten an die SAP-Belege oder Log-Sätze an.

In wenigen Stunden installiert

Die bioLock-Lösung schützt SAP-Anwendungen ab SAP R/3 4.x. Die Software ist in einem reservierten SAP-Namensraum entwickelt, das heißt, es gibt keine Applikation mit ähnlichem Namen, die bioLock beim Einspielen der Transporte überschreiben könnte. Dies vereinfacht die Installation erheblich, da bestehende SAP-Lösungen nicht angepasst werden müssen.
Auch das Customizing ist schnell und einfach. Dafür liefert realtime ein Werkzeug-Set aus, das verschiedene Bausteine zum Aufbau der Lösung enthält. Anwendungsbeispiele zeigen, wie die Bausteine etwa in User-Exits genutzt werden, um die gewünschten Einstellungen vorzunehmen. Unter anderem lässt sich individuell einstellen, wie viele weitere Anmeldeversuche ein Anwender nach einer fehlgeschlagenen Identifizierung hat, bevor bioLock ihn abweist. Oder aber, ob sich die berechtigte Person für eine bestimmte Anwendung mehrfach identifizieren beziehungsweise eine zweite Person zur Autorisierung anwesend sein muss.
Weitere Informationen zu bioLock.

Frank Lemm

Frank Lemm

Leave a Reply