Wie sicher und praktikabel ist eigentlich die Biometrische Authentifizierung mit Windows Hello im Unternehmen? In diesem Beitrag berichten wir von unseren Erfahrungen, da wir das System bereits mehrfach durchgetestet und für unsere Kunden produktiv aufgebaut haben.
Als 1983 im James Bond Film „Sag niemals nie“ das Konzept eines Retina Scans als eine Biometrische Authentifizierungsmethode erstmals über die Leinwände flimmerte, wurde auch gleich schon die Idee für den kreativen Hack des Systems mitgeliefert: Die Transplantation einer Kopie der Netzhaut der Zielperson, um endlich an die begehrten Atomsprengköpfe zu kommen.Heute gehören biometrische Methoden – ganz ohne nukleares Bedrohungsarsenal – schon fast zum Alltag. Sei es bei der Entsperrung des Smartphones mittels Fingerabdruck oder seit2015 auch beim Einloggen per Gesichtserkennung mit Windows Hello. Bis heute haben wir jedoch relativ wenig über erfolgreiche Transplantationen fremder Finger, Netzhäute oder ganzer Köpfe gehört, um diese neuen Methoden zu überwinden – soweit zum kleinen Unterschied zwischen der Fiktion der Achtziger Jahre und der heutigen Realität.
Kein Nutzer lebt zweimal
Die Idee der biometrischen Authentifizierung ist zwar einfach – die Technologie dahinter allerdings komplex. Statt eines Passworts benutzt man ein „lebendiges“ Körperteil, welches das System aufgrund von zuvor durchgeführten Lernprozessen wiedererkennen kann. Stimmt die gespeicherte mit der gescannten bzw. beobachteten Signatur überein, wird der Zugang bzw. Zugriff für die zugehörige Person gewährt. Mit Windows Hello hat Microsoft 2015 einen Service in Windows 10 implementiert, der erweiterte Eingaben bei der Authentifizierung ermöglicht. Darunter zählen PIN-Eingaben genauso wie Fingerabdrücke oder die Gesichtserkennung. Während Windows Hello vor allem für den Privatgebrauch am persönlichen Gerät gedacht ist, gibt es mit Windows Hello for Business auch ein administrierbares Enterprise Pendant. Damit ist diese Technologie auch zur Anmeldung im Unternehmensnetzwerk nutzbar. Die innovativste und dabei sehr sichere Authentifizierungsmethode ist dabei die Gesichtserkennung, denn Fingerabdrücke sind leichter kompromittierbar und hochwertige Komponenten (Sensoren), die auch eine Lebend-Erkennung über die Kapillaren ermöglichen, sehr kostspielige Anschaffungen. Die Gesichtserkennung eignet sich sehr gut, da ein Gesicht komplexe Merkmale aufweist, die insgesamt einem extrem langen Passwort entsprechen. Nach einer kurzen Anlernphase und der Vermessung des Gesichts wird aus diesen Maßen ein eindeutiger Hash-Wert gebildet. Die Signatur wird dann entweder in einem verschlüsselten Bereich auf der Festplatte oder – wenn in der Hardware vorhanden – in einem lokalen TPM-Chip (Trusted Platform Module) ebenfalls verschlüsselt gesichert. Aus Sicherheitssicht sind die TPM natürlich die bessere Wahl. TPM-Chips in der Hardware sind in eine Reihe sicherheitsrelevanter Windows Features wie Secure Boot, Device und Credential Guard involviert, da sie isolierte Container innerhalb der Gesamtsysteme darstellen und ihre Informationen nicht an andere Komponenten weitergeben (z. B. RAM, Festplatte etc.). Bei der Recherche für den Kauf neuer Hardware ist die Berücksichtigung von TPM-Technologie also von Vorteil. Die persönlichen Signaturen werden auch im Unternehmenskontext niemals das „angelernte“ Gerät verlassen. Selbst wenn sich die Services Dritter (z. B. spezielle Webseiten oder Portale) der Authentifizierungsmethode bedienen, bleiben die biometrischen Daten auf dem Gerät und es werden für die Anmeldung mithilfe von Challenge-Response-Methoden nur Bestätigungen zwischen den Diensten ausgetauscht. Datenschützer dürfen also beruhigt sein und bei richtigem Einsatz bietet das Gesamtpaket ein sehr hohes Sicherheitsniveau.
Schematische Darstellung der grund-
legenden Windows Hello-Funktionalität
(Bildquelle: microsoft.com)
Equipment und Briefing
Für den produktiven Einsatz benötigt man Windows 10 Clients auf den Workstations, mindestens einen Windows Server 2016 im Netzwerk und natürlich entsprechende Eingabegeräte. Die Gesichtserkennung erfordert dabei eine Tiefenfeld- bzw. 3D-Kamera. Eingebaute 3D-Kameras bieten derzeit nur das Microsoft Surface und einige Topmodelle von HP, DELL und Lenovo (Liste kompatibler Geräte). Bei der Einführung ist gerade in größeren Unternehmen ein schleichendes Vorgehen sinnvoll, bei dem zunächst erste Erfahrungen in einzelnen Bereichen entstehen. Insgesamt ist der Einführungsaufwand ähnlich komplex wie bei der Etablierung anderer zusätzlicher Sicherheitstechnologien (z. B. RSA-Token-Authentifizierung). Die Authentifizierung gegen ein bestehendes AD im sogenannten Mischbetrieb mit den herkömmlichen Methoden stellt in der Regel kein Problem dar. Die neue Funktionalität ist einfach nur eine zusätzliche Methode und Erweiterung der bisherigen, bewährten Strategie. Im Prinzip stellen PIN und biometrische Daten einen personenbezogenen Schlüssel zu einer Art weiteren Tresor-Box dar, in der alle essentiellen Schlüssel, wie z. B. die diversen Anmeldeinformationen (Benutzername u. Passwort) liegen. Somit können die eigentlichen Zugangsdaten zum Active Directory und weiteren Services nun sehr komplex – also sicherer als bisher – gestaltet und sogar ohne Zutun der User zyklisch geändert werden. Auch das komfortable Single Sign-On über aller Dienste und kompatible Plattformen hinweg lässt sich mit dieser Methode konsequent umsetzen. Eine erhebliche Vereinfachung im digitalen Alltag. Scheiden Mitarbeiter aus dem Unternehmen aus, lassen sich über den Server die entsprechenden lokalen Signaturen natürlich auch für ungültig erklären. Mrs. Moneypenny wäre glücklich.
…biometrisch, praktisch, gut
Unseren Erfahrungen nach ist die Gesichtserkennung mit Windows Hello in der alltäglichen Anwendung sehr zuverlässig und ausgereift. Kaum hat man sich seinem Bildschirm zugewandt, entsperrt sich das Gerät und man ist an allen integrierten Diensten eingeloggt. Das Anlernen des Systems dauert weniger als eine Minute und die User werden ohne Umstände einfach und komfortabel durch den Prozess geführt. Befindet man sich außerhalb der Reichweite, gibt das System Feedback und Hinweise, damit Anlernen oder Authentifizieren doch noch klappen. Das funktioniert sehr geschmeidig und wirkt ausgereift. Keine Chance gibt es für Blofeld, Golfinger & Co, denn die Erkennungsalgorithmen sind sehr feingranular. Schon eine neue Brille oder ein längerer Bart nach dem Urlaub reichen – und das System erkennt einen nicht mehr. Ab welcher Bartlänge es dann soweit ist, haben wir allerdings nicht ausgetestet. Selbst mit sehr gut ausgedruckten 3D-Masken konnte man das System aber bisher nicht überlisten (Test auf Heise Security).
Worauf Q stolz wäre
Neben der eineindeutigen Identifikation eines Nutzers am System, muss man den erheblichen Zugewinn an Sicherheit bei gleichzeitig sehr hoher Usability an vorderste Stelle aller Vorteile nennen. Die Kompromittierung von Zugangsdaten durch diverse Keylogger, Kameraspionage, einfaches Aufschreiben, absichtliche bzw. versehentliche Weitergabe oder Phishing-Attacken ist erheblich erschwert. Ein Gesicht kann eben nicht einfach weitergeben werden. Natürlich kann ein Angreifer noch physische Gewalt anwenden um in das System einzudringen. Gewalt ist jedoch immer das funktionale Ende eines Sicherheitssystems – auch Passwörter bilden da keine Ausnahme. Passwörter können auch vergessen werden oder verloren gehen. Sein Gesicht wird man aber in der Regel immer dabeihaben. Da das System dazu noch sehr genau arbeitet, kann man von einem sehr hohen Sicherheitsniveau ausgehen. Durch die lokale Authentifizierung kann man außerdem darauf verzichten, wiederkehrend nutzerseitige Passwortänderungen einzufordern. Je häufiger Nutzer ein Passwort ändern müssen, desto höher wird die Wahrscheinlichkeit, dass sie sich einfachere Passwörter ausdenken, da diese leichter zu erinnern sind. Solche Passwörter haben natürlich Schwächen oder werden bei strengen Richtlinien am Ende irgendwo notiert. Diese Probleme lassen sich durch die Biometrie natürlich einfach lösen. Eine sichere PIN würde dann nur noch gebraucht, um biometrische Korrekturen (z. B. neue Brille, Frisur, Verletzungen etc.) vorzunehmen. Und selbst diese PIN könnte im Zweifel nur im Bedarfsfall vom IT-Support herausgegeben werden.
Haifischbecken und andere Hürden
Die größte Hürde bei der Einführung: Ein Unternehmen braucht im Idealfall eine Vielzahl personalisierter Geräte, die biometrische Methoden unterstützen. Bei häufig rotierender Workstationnutzung müsste zudem jede Workstation durch jeden der potentiellen Nutzer angelernt werden, da die biometrische Signatur nicht einfach auf andere Geräte übertragbar ist. Ein ungewisse Variable ist die zukünftige Entwicklung und Marktverbreitung der Technologie in Bezug auf die Hardwarebeschaffung, Einführungskosten und den zu erwartenden Langzeitsupport. Die meisten der hochwertigen Sensoren- und Kamerakomponenten sind in größeren Mengen derzeit (noch) nicht einfach von der Stange beziehbar. Ob die Technologie eine erfolgreiche Weiterentwicklung erfährt oder irgendwann eingestampft wird, ist zu diesem Zeitpunkt noch nicht absehbar. Es besteht also ein gewisses Investitionsrisiko. Eher komplex gestaltet sich die administrative Einrichtung im Unternehmensnetzwerk. Die korrekte Einrichtung multipler Gruppenrichtlinien, Einstellungen und Abhängigkeiten erfordert einiges an Aufwand. Biometrische Authentifizierung für Unternehmen kann man nicht einfach kaufen wie ein Produkt mit Wizard und automatischem Setup. Um das Ganze funktional zu gestalten, braucht man ein tieferes Verständnis der Sicherheits- und Netzwerkadministration. Der initiale administrative Aufwand ist also relativ hoch und der Rat eines IT-Sicherheitsexperten ist dafür auf jeden Fall zu empfehlen.
Finaler Mission Report
Mit Windows Hello for Business bietet sich ein weiterer Lösungsansatz zur Potenzierung der IT-Sicherheit. Ein Angreifer müsste schon sehr kreativ werden, um das System erfolgreich auszuhebeln. Ebenfalls steht diese Technik noch am Anfang und die weitere Entwicklung ist nicht absehbar. Allerdings ist der Gewinn an Sicherheit und Usability das Investitionsrisiko wert. Insgesamt ist der Einsatz eher für personalisierte Geräte geeignet. Der erhöhte Einführungsaufwand, die nicht gerade breit verfügbare Hardware und das noch mangelnde Wissen in Form von Guidelines und Best Practices sorgen derzeit noch für Vorbehalte in vielen deutschen Unternehmen. Dabei lohnt sich aber gerade für kleinere bis mittlere innovationsfreudige Unternehmen oder Abteilungen mit überschaubaren Gerätepool der Umstieg von der klassischen zur biometrischen Authentifizierung. Das Phishing-Risiko sinkt deutlich und Mitarbeiter können ihre Passwörter nicht mehr vergessen oder weitergeben. Wie bei jeder Sicherheitstechnologie gilt aber auch für Windows Hello: Bestehende Sicherheitsprobleme lassen sich nicht einfach durch eine neue Technologie lösen. Es gilt zuerst die Probleme zu analysieren und darauf aufbauend passende Sicherheitsprozesse im Unternehmen zu etablieren. Dabei unterstützen wir unsere Kunden natürlich gerne durch professionelle Beratung, umfassende Konzeption sowie beim Aufbau und der Einführung – ob sie nun Unternehmensdaten schützen wollen oder eben ihre Atomsprengköpfe.
Weiterführende Links
Aktuelle Liste von Laptops, die biometrische Authentifizierung mit Windows Hello unterstützen
Laptops that support Windows HelloSicherheitsbericht und Test der Gesichtserkennung mit Maske Anmeldung per Gesichtserkennung fällt nicht auf Masken rein
Views: 635