Das Wichtigste in Kürze

  • Die Anmeldemethode Hello for Business steht an dienstlichen IT-Arbeitsplätzen der Uni Augsburg zur Verfügung.
  • Hello for Business funktioniert sehr ähnlich wie das Entsperren eines modernen Smartphones: es muss eine PIN für das Gerät vergeben werden
  • Das Einloggen mit Hello for Business einfacher und zugleich sicherer als das Einloggen mit Kennung und einem sicheren Passwort.
  • Hello for Business bietet die Möglichkeit, biometrische Merkmale (Gesichtserkennung oder Fingerabdruck) zur Anmeldung zu verwenden

Biometrische Informationen sind besonders schützenswerte Daten

Ihre biometrischen Daten sind durch die Datenschutzgrundverordnung (DSGVO Art. 9, Abs. (1)) besonders geschützt. Windows Hello for Business bietet die Möglichkeit, biometrische Merkmale (Gesichtserkennung oder Fingerabdruck) zur Anmeldung zu verwenden. Diese Funktion ist rein optional, kann jederzeit übersprungen und auch wieder deaktiviert werden.

Wenn Sie Ihre biometrischen Daten zur Authentifizierung nutzen, geschieht dies mit ihrer Einwilligung auf freiwilliger Basis. 

Datenschutzinformationen

Siehe Datenschutzhinweise des Rechenzentrums

Zum Abschnitt...

Was ist Hello for Business?

Microsoft Hello for Business ist ein Anmeldeverfahren für das Einloggen von Nutzern an Windows-Geräten. Es erweitert oder ersetzt die Anmeldung mit Nutzername/Passwort und basiert auf passwortloser Anmeldung. Die Anmeldung durch Hello for Business ermöglicht auch im Browser die automatische Anmeldung mit Ihrem Microsoft-Account: Dies nutzen Sie beispielsweise bei BayernCollab oder im Office-Portal.

An welchen Geräten kann Hello for Business genutzt werden?

Die Anmeldung durch Hello for Business ist auf dienstlichen Windows-Arbeitsplatzgeräten verfügbar, an denen regelmäßig ein oder wenige Benutzer arbeiten. Hello for Business steht nicht zur Verfügung an CIP-Pools, Labor- und Forschungsgeräten, Steuerungsrechnern, Thekenrechnern...

Wie funktoniert Hello for Business?

Beim erstmaligen Einrichten von Hello for Business muss für das Nutzerkonto am Windows-Rechner zwingend eine PIN vergeben. Diese PIN gewährt Zugang zum Nutzeraccount und ist nur an diesem einen Rechner gültig. An jedem weiteren Arbeitsplatz-Rechner, den Sie mit Hello for Business einrichten, müssen Sie eine weitere PIN vergeben.

Hello for Business erlaubt es zudem, dass weitere (auch biometrische) Merkmale zur Anmeldung genutzt werden. So können Sie Gesichtserkennung und/oder Fingerabdruck hinterlegen und nutzen. Die biometrischen Merkmale sind nicht zwingend erforderlich, setzen aber geeignete Hardware (Fingerabdruckleser oder Kamera) voraus.

Die gesetzte PIN sollten Sie sich gut merken, diese stellt sicher, dass die Anmeldung mit Hello for Business selbst dann noch funktioniert, wenn biometrische Daten gerade nicht erfasst werden können. 

Bei der Erstellung der PIN durch Hello for Business wird ein asymmetrisches Schlüsselpaar erzeugt, welches für die Authentifizierung verwendet wird. Dieses Schlüsselpaar wird im Sicherheitsbaustein des PC, dem Trusted Plattform Modul, kurz TPM, generiert und gespeichert. Der gewählte PIN entsperrt diesen Authentifizierungsschlüssel.

Für eine Anmeldung muss der Benutzer den PIN, den TPM-geschützten Schlüssel und das TPM, das diesen Schlüssel generiert hat, besitzen, um erfolgreich auf den privaten Schlüssel zugreifen zu können.

Nach der erfolgreichen Einrichtung von Hello for Business haben Sie die Möglichkeit, sich mit Nutzername und PIN einzuloggen. Der PIN kann dabei weit weniger komplex sein als das Passwort zur RZ-Kennung.

Wie kann eine PIN sicherer als ein Passwort sein?

Obwohl die PIN für Hello for Business eingabefreundlicher ist als das Passwort zur RZ-Kennung, da kürzer und weniger komplex, ist die Anmeldung mit PIN weit sicherer, denn:

  1. Die PIN ist an das jeweilige Gerät gebunden: Ein Angreifer, der die PIN erbeuten konnte, muss außerdem das zugehörige Gerät besitzen (2-Faktor-basierte Anmeldung).
  2. Die  PIN verbleibt immer lokal am Gerät und wird nicht übermittelt. (Online-)Passwörter hingegen werden an Server übermittelt und sind damit potentiell abgreifbar.
  3. Die PIN wird durch Hardware geschützt. Ein spezieller Kryptografie-Prozessor (TPM-Modul), das selbst durch diverse Sicherheitsmechanismen vor Manipulationen geschützt ist, speichert/verarbeitet die sicherheitsrelevanten Daten und verhindert unbefugtes Auslesen.

Was geschieht mit meinen biometrischen Daten und wo werden Sie gespeichert?

Beim Hinterlegen von biometrischen Merkmalen wird eine Art Vorlagedatenbank für die erfassten Informationen angelegt. Diese Datenbank wird (mit Zufallszahlen) verschlüsselt und ausschließlich lokal auf dem Gerät gespeichert. Sie enthält explizit nicht den Fingerabdruck und nicht das Bild des Nutzers, sondern ein kodiertes (sog. gehashtes) Abbild davon. Von diesem Abbild lässt sich nicht mehr auf den Fingerabdruck oder das Gesicht zurück schließen.

Beim Anmelden mit biometrischen Faktoren werden von Hello for Business die (von Kamera oder Fingerabdruckleser) gelieferten Informationen von Windows verarbeitet und gegen die gespeicherte Vorlage in der verschlüsselten Datenbank abgeglichen. 

Die biometrischen Daten bleiben ausschließlich lokal gespeichert, sind gerätespezifisch, werden nicht verschoben, verlassen das Gerät nicht und werden nie an die Microsoft-Cloud oder einen externen Server gesendet.

Wo gibt es weitere Informationen?

Vorweg: "Microsoft Hello for Business" und "Microsoft Hello" sind unterschiedliche Systeme, wobei Hello for Business weit strengeren Richtlinien unterliegt.

In der Microsoft-Dokumenation: https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/how-it-works#biometric-data-storage

Von anderen Herstellern: https://www.kensington.com/de-de/News-Index---Blogs--Press-Center/deutsch/grundlagenwissen-zu-windows-hello-for-business/

  • Keine Stichwörter

© Universität Augsburg

Icons provided by:
https://iconmonstr.com/license/
https://fontawesome.com/license/free