Bundesamt für Sicherheit in der Informationstechnik

M 4.415 Sicherer Betrieb der biometrischen Authentisierung unter Windows

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ab Windows Server 2008 R2 und Windows 7 unterstützt Windows standardmäßig eine biometrische Authentisierung mit Fingerabdrücken. Dafür wurde das Windows Biometric Framework (WBF) entwickelt und in das Betriebssystem integriert. Mit dem WBF können die Hersteller von Biometrie-Lösungen ihre Sensoren und Algorithmen in das Betriebssystem einbinden und biometrisch erfasste Daten sicher hinterlegen. Mit dem WBF wird die Systemsteuerung entsprechend um ein Element Biometrische Geräte erweitert, sofern Windows einen Fingerabdruckleser am System erkennt.

Zunächst unterstützt Windows dabei die Nutzung von Fingerabdrucklesern für die folgenden Zwecke:

  • Biometrische Authentisierung für den Zugang zum Betriebssystem oder zur Domäne (Windows-Anmeldung)
  • Biometrische Authentisierung zur Rechteerhöhung für die Benutzerkontensteuerung (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista )
  • Zugriff auf biometrische Funktionen aus Anwendungen heraus durch Bereitstellung einer einheitlichen Schnittstelle

Ob die Domänenanmeldung mit biometrischer Authentisierung zugelassen wird, kann über ein Gruppenrichtlinienobjekt vorgegeben werden. Dieses sollte nach Möglichkeit genutzt werden, um eine einheitliche, sichere Konfiguration für alle Geräte in der Domäne durchzusetzen. Die Nutzung der biometrischen Authentisierung für Gast-Konten oder das vordefinierte Konto "Administrator" ist nicht möglich.

Die Motivation für den Einsatz von Fingerabdrucklesern besteht oft vorrangig in der einfacheren Authentisierung für die Benutzer. Die üblicherweise in Laptops verbauten Fingerabdruckleser haben sich dabei in Tests immer wieder als nur eingeschränkt zuverlässig erwiesen. Je nach Modell ist ein "Kopieren" von fremden Fingerabdrücken mit mehr oder weniger technischem Aufwand machbar. Für Systeme mit erhöhtem Schutzbedarf ist deshalb sorgfältig zu prüfen, ob das Sicherheitsniveau der konkret verwendeten Geräte ausreichend ist, wenn die Authentisierung ausschließlich über Fingerabdruck-Erkennung erfolgen soll. Beim Einsatz anderer biometrischer Verfahren sollte die Zuverlässigkeit der Erkennung vorab bewertet und dem Schutzbedarf der betroffenen Systeme und Anwendungen gegenübergestellt werden. Für Systeme mit hohem und sehr hohem Schutzbedarf ist heute in der Regel eine Authentisierung, die auf Chipkarten oder Token basiert, den verfügbaren biometrischen Verfahren überlegen.

Wichtig bei der Planung des Einsatzes ist auch, Möglichkeiten zum Systemzugang vorzusehen, falls der biometrisch erfasste Fingerabdruck nicht zur Verfügung steht, beispielsweise durch eine Verletzung am Finger. Windows erlaubt hier die Erfassung mehrerer Finger, die alternativ genutzt werden können. Zusätzlich sollte ein Zugang mit einem sicheren zentral hinterlegten Passwort als Rückfalllösung eingerichtet werden.

Prüffragen:

  • Wurde der Einsatz der biometrischen Authentisierung anhand des Schutzbedarfs der betroffenen Systeme und Anwendungen abgewogen?

  • Wird die Zulässigkeit der biometrischen Authentisierung über Gruppenrichtlinien gesteuert?

  • Sind Ersatzverfahren für den Systemzugang verfügbar, wenn keine biometrische Authentisierung erfolgen kann?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK