Im Test: MXI Security Outbacker MXP
Verschlüsselter USB-Speicher
USB-Festplatten sind praktisch - auch für Datendiebe. Um den unerwünschten Nutznießern den Erfolg zu verbauen, rüstet MXI seine portablen Platten mit gediegener Sicherheitstechnik aus und macht sie gleichzeitig für die Remote-Access-Authentifizierung nutzbar.
USB-Sicherheit hat sich zu einem der kuriosesten Themen der IT-Branche entwickelt. Während sich
in der Wirklichkeit unseres Planeten Erde, frühes 21. Jahrhundert, die kleinen Massenspeicher als
Effizienz steigerndes Mittel des physischen Datentransports zwischen Büros, Konferenzräumen und bei
Kundenterminen erfolgreich durchgesetzt haben und perfekt die Tendenz zu immer flexibleren
Arbeitszeiten und der freien Wahl der Arbeitsorte stützen, sind die gleichen Geräte in einem
dunklen Paralleluniversum unbekannter Struktur mit durchweg betrügerischer Population offenbar zu
puren Requisiten des Datenmissbrauchs und Geheimnisverrats mutiert, weshalb man dort unter
USB-Sicherheit die Abschaltung der zugehörigen Schnittstellen versteht. Das müsste uns nicht
sonderlich tangieren, tönten nicht ständig Furcht erregende Marketingfanfaren aus der Nebenwelt in
unsere Kommunikationskanäle und sorgten für unnötige Verunsicherung. Aber dank "40 Jahre Star Trek"
auf Kabel 1 wissen wir ja: Spock und Kirk werden mit diesen seltsamen Nachbarn irgendwann noch ein
Wörtchen reden. So lange wird man sich wohl gedulden müssen.
Benutzerfreundliche Verschlüsselung
Im hiesigen Zeitkontinuum bedeutet die USB-Sicherheit primär, Daten auf externen Massenspeichern
vor Spionen zu schützen. Da man Diebstahl und Verlust nie ausschließen kann, muss verschlüsselt
werden. Entsprechende Software für mobile Datenträger gibt es häufiger, aber eine USB-Platte wie
der Outbacker von MXI mit eingebautem Fingerabdrucksensor ist selten. Dabei ist der Ansatz
konsequent: Wer will schon, um seine verschlüsselten Daten auf USB-Hardware per
Zwei-Faktor-Authentifizierung frei zu schalten, noch eine weitere Hardware bei sich tragen? MXI
geht gleich einen Schritt weiter und macht das USB-Device auch als biometrische Sicherung für
Remote-Access-Anwendungen nutzbar. Der viel gescholtene Risikofaktor USB-Platte verwandelt sich so
zum Sicherheitswerkzeug.
LANline hat sich den Outbacker in der 20-GByte-Version unter Windows XP angesehen.
Das Gerät ist 70 x 110 x 17 mm groß und wiegt etwa 250 Gramm. Laut Hersteller eignet es sich
damit zum Transport in der Hemdtasche. Wer seine Hemden liebt und im Anzug eine gute Figur machen
will, sollte die Beule vor der Brust allerdings meiden und das Gerät samt mitgeliefertem Etui
lieber in der Jackentasche, Aktentasche oder Handtasche verstauen.
Konstruktion für rauen Einsatz
Das stabile Metallgehäuse hat MXI mit Hartgummiecken gegen Stöße gesichert. Der
Fingerabdruckscanner arbeitet mit einem Streifensensor, dessen schmale Sichtscheibe tiefer liegt
und so ebenfalls gut gegen mechanische Einwirkungen geschützt ist. Software auf CD und eine
gedruckte Anleitungsbroschüre gehören zum Lieferumfang. Voraussetzung ist ein PC mit Windows
Windows XP/2000, Linux oder MAC OS und einer USB-1.1- oder -2.0-Schnittstelle.
Nach dem Anschluss an unseren Test-PC, einen IBM-T30-Notebook mit Windows XP Professional lief
der Outbacker ohne externes Netzteil sofort – und zwar so leise und vibrationsfrei, dass er
zunächst den Verdacht erweckte, in diesem Modus sei vielleicht nur der Fingerprint-Sensor aktiv.
Das Netzteil wird offenbar nur bei ungünstigen Stromversorgungskonstellationen benötigt. Das Gerät
meldete drei neue Laufwerke im Windows Explorer an – einen unverschlüsselten Datenbereich mit
Anwendungssoftware, darunter ein RSA-Software-Token und ein Citrix-Client, eine schreibgeschützte
Pseudo-CD zur Aufbewahrung und automatischen Installation von Treibern und ein zusätzliches
Laufwerk, das zunächst angeblich keinen Datenträger enthält und als Platzhalter für die noch
anzulegenden verschlüsselten Partitionen dient. Die Zugriffssoftware Access 6.0, die das Erstellen
der und Verwalten der gesicherten Bereiche auf dem Laufwerk erlaubt, muss von der mitgelieferten CD
aus installiert oder gestartet werden. Sinnvoll ist, dass das Administrationsmodul auch ohne
Installation läuft. So kann ein Systemverwalter das Gerät für einen Anwender recht einfach samt
biometrischer Anmeldung konfigurieren, ohne dem User selbst Administrationsmöglichkeiten zu geben
oder dessen PC zu verändern.
Benutzerfreundliche Biometrie
Das Administrationsmodul verwaltet bis zu fünf Anwender oder Administratoren pro Outbacker und
speichert insgesamt bis zu sechs Fingerabdrücke. Es legt zuerst einen User mit
Administrationsrechten an, der später allerdings wieder zum Normalanwender degradiert werden kann.
Nach der Eingabe des Anwendernamens lassen sich die Privilegien jedes Anwenders festlegen und die
Erfassung von Kennwörtern und biometrischen Daten starten. Dazu werden pro User zunächst ein bis
maximal zwei Finger bestimmt, die der Erkennung dienen sollen und zunächst dreimal über den Sensor
geführt werden müssen, damit das System ihren Abdruck kennen lernt. Liegt der Finger dabei einmal
nicht richtig auf, bittet das System automatisch darum, den Vorgang zu wiederholen. Dann wird
festgelegt, wie oft ein Erkennungsversuch im Anwendungsfall wiederholt werden darf – die
Standardeinstellung ist "unendlich". Datenschützer werden sich freuen, dass die Fingerabdruckmuster
recht einfach wieder zu löschen sind.
Der Administrator legt fest, wie groß die mit AES-256 verschlüsselte Partition für jeden
einzelnen Anwender sein soll. Spezialisten können auch den biometrischen Sicherheitslevel
beeinflussen und so bestimmen, wie genau es der Sensor mit der Erkennung nimmt – im einen
Extremfall wird auch einmal ein fremder Finger als "richtig" erkannt, im anderen kommt es zu
vermehrten ungewollten Zurückweisungen. Im Test arbeitete die Standardeinstellung tadellos.
Sobald die Konfiguration abgeschlossen ist, schaltet der Outbacker die Partition des gerade
angemeldeten Anwenders im Explorer als Festplatte frei. Sie muss nur noch formatiert werden und
steht dann als ganz normaler Datenträger zur Verfügung. Wird das MXI-Gerät vom USB-Port abgezogen
und wieder neu am PC angeschlossen, ist die Anmeldung denkbar einfach: Sobald die Verbindung
hergestellt ist, blinkt die Kontrollleuchte des Fingerabdruck-Scanners. Zieht ein angemeldeter
Benutzer der Platte nun seinen Finger über den Sensor, erhält er verzögerungsfrei Zugang zur ihm
zugeordneten Partition. Es ist in der Standardeinstellung nicht notwendig, zusätzlich ein Kennwort
einzugeben. Achtet man darauf, den Finger gerade über den Sensor zu führen, funktioniert die
Personenerkennung überdies fast grundsätzlich beim ersten Mal. Die Anmeldung läuft somit deutlich
schneller ab als eine Personenerkennung per Kennwort.
Wirklich beeindruckend ist, dass das gleiche Prinzip ohne weitere Maßnahmen auch an anderen PCs
funktioniert. Man schließt die Platte an, gibt sich über den eingebauten Sensor zu erkennen und
kann sofort mit dem Datenträger arbeiten. Keine Software- oder Treiberinstallation ist zu diesem
Zweck nötig, und der Fremd-PC erhält keinen Zugriff auf Anmeldedaten vom Outbacker. Auf PCs, die
man öfter benutzt, lohnt sich allerdings die Installation des Lock- und Unlock-Clients, weil man
die Platte in diesem Fall auch sperren kann, ohne sie von der Schnittstelle abzuziehen. Noch besser
wäre eine Option, die Sperrung bei fehlender Aktivität am PC zu automatisieren. Akzeptanz- oder
größere Supportprobleme dürfte diese Platte allerdings auf keinen Fall aufwerfen.
Remote Sign-on per Platte
Outbacker MXP unterstützt als Authentifizierungsdevice den Standard "Portable Security Token
Service? (PSTS). Wir testeten erfolgreich die Funktion als Anmeldegerät mit integriertem
RSA-Einmal-Kennwort-Softtoken. Über eine auf dem PC zu installierende Zusatzsoftware lassen sich
die Credentials des Anwenders importieren, worauf das Gerät nach der Initialisierung des Zugangs
zum Citrix-Server alle Eingabefelder des Anmeldeprozesses inklusive Token-Wert automatisch ausfüllt
– natürlich nur, solange die Platte angeschlossen und aktiviert ist und sich der Anwender per
Fingerabdruck authentifiziert hat. Outbacker lässt sich nach diesem Muster für eine Vielzahl von
Anmeldekonstellationen einrichten, es unterstützt eine Vielzahl von Industriestandards wie X9.31,
PKCS #1 und SAML 1.1 sowie Signaturfunktionen und symmetrische und asymmetrische
Verschlüsselungsalgorithmen sowie Hash-Funktionen.
Fazit
Um es kurz zu machen: Das Gerät konnte beeindrucken und dürfte sich in mancher
Unternehmensumgebung durchaus bewähren. Der Vertriebspartner ist ROG.
Info: ROG Tel.: 06272/9214-0 Web: www.rog.de
Lesen Sie mehr zum Thema
