Beitrag

Auditortestat nach IT-Grundschutz/ISO 27001 erteilt Di 15.09.2009

Schutzprofil für eine softwarebasierte Kennwortverwaltung erstellt

Wie authentisieren Sie sich an Ihrem PC, an Ihrem Mobiltelefon und im Internet? Vermutlich mit einer Benutzerkennung und Passwort. Beachten Sie die einschlägigen Empfehlungen? Ein Passwort sollte bekanntlich häufig gewechselt werden, mindestens 8 Zeichen lang sein, nicht im Wörterbuch stehen, keinen Bezug zum Benutzer haben, Sonderzeichen aufweisen; und Sie sollten für jeden Einsatzzweck ein anderes Passwort nutzen. Um diese Anforderungen IT-gestützt zu erfüllen, liegt jetzt ein von unserem Mitarbeiter Jan Schirrmacher erstelltes Common Criteria-Schutzprofil vor.

Das Problem ist seit Jahren bekannt, wird aber immer drängender: Der am häufigsten implementierte Authentisierungsmechanismus - sei es bei Mobiltelefonen, PCs, Servern, Laptops, Applikationen oder Web-Anwendungen - besteht aus einer Kombination aus Benutzername und Passwort. Alternativen - etwa mit biometrischen Merkmalen - haben sich nur in besonderen Szenarien etabliert. Und da immer mehr Funktionalitäten, Prozesse und Dienstleistungen des täglichen Lebens IT-unterstützt ablaufen, müssen auch immer mehr Authentisierungsmerkmale verwaltet werden.

Als eine mögliche Lösung stellt sich hierbei die "Kennwortverwaltung" heraus, von denen es bereits einige gibt. Bei näherer Betrachtung stellt sich allerdings sofort die Frage - insbesondere für den Einsatz in sicherheitsrelevanten Szenarien -, wie gut und wie sicher denn eine solche Kennwortverwaltung ist und inwiefern dieser zu vertrauen ist. Denn diese Kennwortverwaltung ist natürlich aus Sicht eines Angreifers ein besonders lohnenswertes Ziel.

Aufgabenstellung zu der Diplomarbeit von Jan Schirrmacher war, ein Common Criteria-Schutzprofil zu diesem spezifischen Problem der Informationstechnik zu erstellen. Die Common Criteria (CC) stellen einen weltweit einheitlichen Kriterienkatalog für die Prüfung und Bewertung von Sicherheitseigenschaften von IT-Produkten dar, wobei das Konstrukt der CC-Schutzprofile (Protection Profile - PP) die Möglichkeit bietet, dass Anwender ihre Erwartungshaltung bzgl. der IT-Sicherheitsmechanismen an eine Klasse von IT-Produkten in Form eines solchen PPs definieren können - quasi in Form eines Lastenheftes.

Mit dem nun vorliegenden Schutzprofil für eine softwarebasierte Kennwortverwaltung ist es möglich, ein konkretes Produkt gemäß Common Criteria zu überprüfen.

  • Schutzprofil für eine softwarebasierte Kennwortverwaltung

Von Dr. Sönke Maseberg in der Rubrik cert News