Hi Benjamin,

Genau das oder einen Timeout (z.Bsp. User war 60min nicht auf der
Seite) möchte ich mit .htaccess erreichen.

das erfordert ein Session-Konzept. Server Authentication leistet das nicht.

Was man noch machen könnte, ist, über ein serverseitiges Skript
(z.B. Perl, PHP) einen HTTP-401-Header zum Browser senden zu lassen,
wodurch der User erneut zur Passworteingabe aufgefordert würde.
Gibt er dann kein Passwort ein, wird das bis jetzt gespeicherte
gelöscht.

die Frage ist nur, wer dieses Skript aufrufen soll.

Für die Realisierung eines expliziten Logout-Buttons würde ich ungefähr
diesen Weg gehen, ja. Aber einen Timeout zu realisieren erfordert, daß
serverseitig Informationen über den Zeitpunkt des letzten Zugriffs
gespeichert wird _und_ irgendwer darauf automatisch reagieren kann.

Der HTTP-Header, der bei Server Authentication übertragen wird, enthält
keine Informationen über vorherige Zugriffe. Insofern ist serverseitig
nur durch ein zusätzlich zu realisierendes Gedächtnis erkennbar, ob
irgend eine zeitliche Frist überschritten wurde oder nicht.

Berichtigt mich bitte, wenn ich falsche Informationen verbreite ;-)

Nicht wirklich falsch - nur unzureichend für die konkrete Aufgaben-
stellung. ;-)
Server Authentication ist für Authentifizierung da - nicht mehr und
nicht weniger. Ein Session-Konzept ist etwas Anderes - und das scheint
hier gefordert zu sein.

Viele Grüße
       Michael