Sesam öffne dich
Zugangskontrolle mit Fingerabdruck-Scanner

Dr. W.A. Slaby

Dass man zahlreichen Nutzergruppen unterschiedlicher Größe, deren Zusammensetzung noch dazu von Semester zu Semester einer starken Fluktuation unterworfen ist, Zutritt zu speziellen Räumen wie Laboren, Übungsräumen, Tonstudios, etc. gewähren möchte, die normalerweise unter Verschluss gehalten werden, ist in einer Universität ein durchaus nicht ungewöhnliches Anliegen. Da die einfache Lösung der Vergabe entsprechender Türschlüssel an berechtigte Nutzer aus naheliegenden Gründen (Durchsetzbarkeit der Schlüsselrückgabe nach Ablauf der Nutzungsberechtigung, hohe Wahrscheinlichkeit von Schlüsselverlusten) nicht in Betracht kommen kann, steht man vor einer interessanten Herausforderung, wenn man ein geeignetes Verfahren zur Vergabe individueller, raumbezogener Zugangsrechte sowie zur Steuerung und Kontrolle des Zutritts zu verschiedenen Räumen mit Zugangsbeschränkung realisieren will. Wie diese Herausforderung an der Kath. Universität Eichstätt-Ingolstadt (KU) für zunächst drei Räume prototypisch gemeistert wurde, soll im Folgenden näher erläutert werden.

Ausgangslage

Im Zuge der Neubesetzung der Professur für Musikwissenschaft mit Prof. Dr. Christoph Louven war u.a. auch ein MIDI-Labor eingerichtet worden, für das Prof. Louven ein geeignetes Verfahren zur Organisation der Zugangsberechtigung suchte. Mit diesem Anliegen wandte er sich im Sommer 2005 an das Universitätsrechenzentrum, das hinsichtlich der Zugangskontrolle für sein außerhalb des Rechenzentrumsgebäudes "Ehemalige Orangerie (eO)" gelegenes Multimedia-Labor vor demselben Problem stand. Hier war man durch eine entsprechende Veröffentlichung in der ComputerZeitung auf eine von der Firma Biometronix in Zusammenarbeit mit der Fakultät für Informatik der Universität der Bundeswehr in Neubiberg entwickelte Lösung aufmerksam geworden, die aus einer zentralen Management-Software zur Vergabe und Verwaltung von Zugangsrechten für verschiedene Benutzergruppen sowie aus Fingerabdruck-Scannern an den Türen der zugangsbeschränkten Räume besteht, die für berechtigte Nutzer nach Prüfung des hinterlegten Fingerabdrucks die Türschließung entriegeln und den Zutritt freigeben. Auch diese Fingerabdruck-Scanner werden von der zentralen Management-Software über das Hochschulnetz gesteuert. Da Musikwissenschaft wie Universitätsrechenzentrum sowohl von der technischen Lösungskonzeption als auch durch entsprechende Tests vor Ort in der Fakultät für Informatik der Universität der Bundeswehr von der Praktikabilität der Verfahren zur Erfassung und Verwaltung von Benutzern und ihrer Zugangsberechtigungen sowie zur Steuerung der angeschlossenen Fingerabdruck-Scanner überzeugt waren, konnte auch die Hochschulleitung dafür gewonnen werden, eine prototypische Installation für zunächst drei Räume - das MIDI-Labor sowie den Maschinenraum und das Multimedia-Labor des Universitätsrechzentrums - zu befürworten und finanziell zu fördern.

BioLANCC - die zentrale Management-Software

Kernstück der Lösung ist die zentrale Management-Software BioLANCC, das Biometric Local Area Network Control Center. BioLANCC ist plattformunabhängig als Java-Applikation realisiert und läuft an der KU sowohl auf einem Linux-Server zusammen mit der relationalen Datenbank mySQL, in der die Benutzer mit ihren hinterlegten Fingerabdrücken und Zugangsrechten ebenso verwaltet werden wie die eingesetzten Fingerabdruck-Scanner, als auch auf einem Administrations-PC im Sekretariat des Universitätsrechenzentrums, an dem neue Benutzer erfasst und eingerichtet werden.

Über ein intuitiv zu bedienendes Menü lassen sich neue Fingerabdruck-Scanner (oder auch andere biometrische Geräte wie Iris-Scanner oder Gesichtsfeld-Kameras) einrichten [Geräte-Management] und gegebenenfalls zu Gerätegruppen mit quasi "gleicher Schließung" zusammenfassen [Node-Management].

Bei der Neuaufnahme eines Benutzers wird zunächst der Abdruck eines Fingers seiner Wahl über den Fingerabdruck-Scanner erfasst, auf wenige charakteristische Merkmale der Minutien reduziert und unter einer eindeutigen Persönlichen Identifikations-Nummer (PIN) in der Datenbank abgelegt. Dieser Datensatz wird anschließend noch um weitere Informationen zur Person (Nachname, Vorname, Benutzerkennung) ergänzt.

An dieser Stelle könnten die persönlichen Zugangsrechte auf ein Zeitintervall wie z.B. das laufende Semester eingeschränkt werden; für eine erneute Einräumung von Zugangsrechten für ein späteres Zeitintervall müsste dann keine neue Erfassung der persönlichen Daten und des Fingerabdrucks mehr erfolgen. Auch ließen sich bei Bedarf bis zu drei Fingerabdrücke je Nutzer erfassen und hinterlegen, damit beispielsweise auch dann noch mit einem Finger an der linken Hand der Zutritt zu einem Raum freigeschaltet werden kann, wenn die rechte Hand verletzungsbedingt eingegipst ist.
Zugangsrechte zu einem bestimmten Raum werden einem Benutzer dadurch zugewiesen, dass er in die Benutzergruppe aufgenommen wird, in der sich auch der Fingerabdruck-Scanner für diesen Raum befindet.

Der Erfassungsvorgang neuer Benutzer wird dadurch abgeschlossen, dass ein Datenabgleich zwischen der Datenbank und den angeschlossenen Fingerabdruck-Scannern angestoßen wird, bei dem die PIN- und Fingerabdruckdaten der jeweils zugangsberechtigten Nutzer an den betreffenden Fingerabdruck-Scanner übertragen werden.

Jeder für einen bestimmten Raum zugangsberechtigte Nutzer kann sich zu diesem Raum dadurch Zutritt verschaffen, dass er auf dem Fingerabdruck-Scanner neben der Zugangstür seine PIN eingibt und anschließend den vereinbarten Finger zur Überprüfung des Fingerabdrucks auf den Scanner auf legt.

Bei ausreichend großer Übereinstimmung mit dem hinterlegten Fingerabdruck entsperrt der Fingerabdruck-Scanner die Türverriegelung und die Tür kann geöffnet werden. Sollte wegen ungünstiger Positionierung der Fingerkuppe oder zu niedriger Fingertemperatur ein erster Identifizierungsversuch scheitern, so kann das Scannen des Fingerabdrucks noch bis zu zwei weitere Male wiederholt werden, ehe der Vorgang erneut mit der PIN-Eingabe begonnen werden müsste.

Fazit und Ausblick

Seit Anfang Februar 2006 befindet sich BioLANCC mit insgesamt vier Fingerabdruck-Scannern an der KU im produktiven Einsatz. Mit Ausnahme des Scanners am Administrations-PC im Sekretariat des Universitätsrechenzentrums, der inzwischen durch ein neues Gerät ersetzt wurde, funktioniert diese Lösung von Beginn an mit großer Zuverlässigkeit. Eine Ausdehnung der Zugangskontrolle mit BioLANCC auf weitere Räume lässt sich durch die Installation weiterer Fingerabdruck-Scanner auf einfache Weise realisieren. Außerdem sind mit der Kombination aus Fingerabdruck-Scannern und einer Verwaltungs- und Steuerungssoftware wie BioLANCC durchaus auch noch andere Anwendungen außerhalb der Organisation und Kontrolle von Zutrittsberechtigungen denkbar: Beispielsweise könnten mit dieser Konstellation auch die Erfassung der Dienstzeiten der KU-Mitarbeiter abgewickelt und die dabei erhobenen Daten an eine geeignete Zeiterfassungssoftware zur Auswertung übergeben werden.