Das Problem ist seit Jahren bekannt, wird aber immer drängender: Der am häufigsten implementierte Authentisierungsmechanismus - sei es bei Mobiltelefonen, PCs, Servern, Laptops, Applikationen oder Web-Anwendungen - besteht aus einer Kombination aus Benutzername und Passwort. Alternativen - etwa mit biometrischen Merkmalen - haben sich nur in besonderen Szenarien etabliert. Und da immer mehr Funktionalitäten, Prozesse und Dienstleistungen des täglichen Lebens IT-unterstützt ablaufen, müssen auch immer mehr Authentisierungsmerkmale verwaltet werden.

Als eine mögliche Lösung stellt sich hierbei die "Kennwortverwaltung" heraus, von denen es bereits einige gibt. Bei näherer Betrachtung stellt sich allerdings sofort die Frage - insbesondere für den Einsatz in sicherheitsrelevanten Szenarien -, wie gut und wie sicher denn eine solche Kennwortverwaltung ist und inwiefern dieser zu vertrauen ist. Denn diese Kennwortverwaltung ist natürlich aus Sicht eines Angreifers ein besonders lohnenswertes Ziel.

Aufgabenstellung zu der Diplomarbeit von Jan Schirrmacher war, ein Common Criteria-Schutzprofil zu diesem spezifischen Problem der Informationstechnik zu erstellen. Die Common Criteria (CC) stellen einen weltweit einheitlichen Kriterienkatalog für die Prüfung und Bewertung von Sicherheitseigenschaften von IT-Produkten dar, wobei das Konstrukt der CC-Schutzprofile (Protection Profile - PP) die Möglichkeit bietet, dass Anwender ihre Erwartungshaltung bzgl. der IT-Sicherheitsmechanismen an eine Klasse von IT-Produkten in Form eines solchen PPs definieren können - quasi in Form eines Lastenheftes.

Mit dem nun vorliegenden Schutzprofil für eine softwarebasierte Kennwortverwaltung ist es möglich, ein konkretes Produkt gemäß Common Criteria zu überprüfen.

• Schutzprofil für eine softwarebasierte Kennwortverwaltung