Fingerspiele

USB-Speicher mit Fingerabdrucksensor

Michael Riepe - 18.10.2006

Seit einiger Zeit sind mobile Speicher mit biometrischem Zugangsschutz auf dem Markt. Wir haben uns drei Exemplare näher angesehen.

Will ein Nutzer wichtige Daten immer bei sich haben, kopiert er sie gewöhnlich auf einen USB-Stick. Allerdings besteht das Risiko, dass der Speicher in falsche Hände gerät. Zwar lassen sich die gespeicherten Dateien verschlüsseln, doch die gängigen Lösungen sind alles andere als praktisch. Einfacher zu handhaben sind Geräte mit eingebautem Zugangsschutz. Kommt ein biometrisches Verfahren zum Einsatz, lassen sie sich theoretisch mit allen gängigen Betriebssystemen verwenden. Für passwortgestützte Authentifizierung ist in der Regel zusätzliche Software erforderlich, die den Nutzer an ein OS bindet – meist Windows.

Drei USB-Speicher mit integriertem Fingerabdrucksensor durften im Labor zeigen, was sie können: Sandisks Cruzer Profile mit 1 GByte Flash-Speicher sowie die Modelle MXP Stealth (256 MByte Flash) und MXP Outbacker (20 GByte Mini-Festplatte) von MXI Security. Der ebenfalls anwesende Safeboot Phantom ist baugleich mit dem MXP Stealth und fand deshalb keine weitere Berücksichtigung.

Alle Modelle setzen einen kapazitiv arbeitenden Zeilensensor der Firma Upek ein. Er ist nicht nur kompakter als ein Flächensensor, sondern bietet außerdem einen Sicherheitsvorteil: Da der Nutzer bei der Authentifizierung mit dem Finger über den Sensor fahren muss, bleiben keine Rückstände alter Fingerabdrücke zurück, mit deren Hilfe sich der Mechanismus überlisten ließe.

Zwar sollen alle Testgeräte auch unter Linux und Mac OS X nutzbar sein. Einrichten lassen sie sich jedoch nur unter Windows (2000 SP4 oder XP Home/Professional mit Service Pack 1). Cruzer Profile und MXP Outbacker haben die Software dafür an Bord, beim MXP Stealth muss der Nutzer sie von der beiliegenden CD starten.

Ganz ohne Windows geht es nie

Der Cruzer Profile gaukelt dem Rechner zwei Laufwerke vor. Eine etwa 18 MByte kleine Festplatte enthält die Managementsoftware CruzerProfile und ein Setup-Programm für das optionale CruzerLogin, mit dem Anwender sich per Fingerabdruck bei Windows anmelden können. Das zweite Laufwerk gibt sich als 1 GByte große Wechselplatte aus. Sobald der Anwender seine Fingerabdrücke registriert hat, ist sie nur nach vorheriger Authentifizierung zugänglich – auch unter Linux.

Sperren lässt sich der Zugriff nur durch Entfernen des Cruzer oder "Auswerfen" des virtuellen Mediums. Nach einem Eject – unter Linux wie unter Windows – kann man auf das vorgeblich "feste" Service-Laufwerk leider ebenfalls nicht mehr zugreifen. Will der Anwender eins der Laufwerke wieder nutzen, muss er den Cruzer erst kurz vom Rechner trennen.

Unter Windows lassen sich Dateien mit der beiliegenden Trial-Version des Programms CruzerLock in einem verschlüsselten Archiv auf dem Datenlaufwerk ablegen. Der Cruzer selbst verschlüsselt nicht, sondern versteckt nur das Laufwerk vor neugierigen Blicken.

MXP Stealth und MXP Outbacker bieten dem Rechner jeweils drei Laufwerke an. Eine virtuelle CD-ROM enthält die benötigte Software, zwei emulierte Wechsellaufwerke die öffentlichen und privaten Dateien des Nutzers. Öffentliche Daten sind jedermann zugänglich. Will der Anwender an seine privaten Daten gelangen, muss er sich mit seinem Fingerabdruck, einem Passwort oder beidem ausweisen. Leider funktioniert die Passworteingabe – und damit die besonders sichere "Two-factor Authentication" mit Fingerabdruck und Passwort – nur mit der Windows-Software.

Auf den Geräten lassen sich mehrere Nutzerkonten mit separaten Datenbereichen, Passwörtern und Fingerabdrücken einrichten. Außerdem unterstützen sie zwei Benutzerrollen: Nur ein Administrator darf Nutzerkonten anlegen, ihnen Speicherplatz zuweisen und sie wieder löschen. Die AES-verschlüsselten Daten anderer Anwender kann er nicht lesen: Die verwendeten 256 Bit langen Schlüssel sind kryptografisch gesichert und lassen sich nur vom Nutzer selbst freischalten. Kann der sich nicht mehr einloggen, bleibt dem Administrator nur, den Account zu löschen und neu anzulegen. Hat sich der Admin ebenfalls ausgesperrt, lassen sich die Geräte mit einem vorab festgelegten Kennwort "recyceln" – dabei gehen jedoch alle Daten verloren.

Leider leidet die Performance etwas unter der Verschlüsselung: Die Mini-Festplatte des Outbacker etwa kann Daten mit 10,3 MByte/s übertragen, die Verschlüsselungshardware bremst sie jedoch auf 4,2 MByte/s. Beim langsameren Flash-Speicher des MXP Stealth (7 MByte/s) fällt der Unterschied weniger ins Gewicht. Sandisks Cruzer Profile liest 18 MByte/s und schreibt 5,2 MByte/s.

Fazit

Dank des ausgefeilten Benutzermodells und der integrierten Hardware-Verschlüsselung eignen sich die Geräte von MXI Security besonders für den Einsatz in Unternehmen, die Wert auf hohe Sicherheit und ein zentrales Management legen. Sandisks Cruzer Profile ist eher auf den Einzelanwender zugeschnitten. Der Unterschied spiegelt sich auch in den Preisen wider: MXP Stealth und Outbacker kosten 267 beziehungsweise 573 Euro, den Cruzer bekommt man für rund 30 Euro. Eine Entschuldigung für die dürftige Dokumentation, die Sandisk dem Gerät beilegt, ist das freilich nicht. (mr)

Sandisk Cruzer Profile