Das Engagement von Keeper Security für den Schutz von Benutzerdaten zieht sich durch alle unsere Aktivitäten. Keeper verfügt über die am längsten bestehenden SOC 2- und
Nein. Keeper wurde noch nie gehackt oder kompromittiert. In diesem Artikel untersuchen wir, warum Millionen von Verbrauchern und Tausende von Unternehmen auf der ganzen Welt auf Keeper vertrauen, um ihre Passwörter und andere private Informationen zu schützen.
Was ist Keeper Security?
Keeper Security verändert die Art, wie Organisationen und Einzelpersonen ihre Passwörter und sensiblen digitalen Assets schützen, indem es passwortbezogene Datenschutzverletzungen und Cyberbedrohungen erheblich reduziert.
Keeper ist der führende Anbieter von Zero-Knowledge-Sicherheits– und Verschlüsselungssoftware für die Verwaltung von Passwörtern, Passkeys, Geheimnissen, Verbindungen und privilegiertem Zugriff sowie für die Darknet-Überwachung, die Speicherung digitaler Dateien, verschlüsselte Nachrichtenübermittlung und mehr. Wir schützen sowohl Verbraucher als auch Unternehmen jeder Größe in allen wichtigen Industriesektoren. Keeper verfügt über die branchenweit längste SOC 2- und ISO27001-Zertifizierung und ist FIPS 140-2- und FedRAMP-autorisiert.
Keeper wurde vom PC Magazine zum „Best Password Manager and an Editors’ Choice“, zum „Best Overall Password Manager“ von U.S. News & World Report, zum „G2 Enterprise Leader“, zur „Hot Company“ von IAM, zum „Innovativsten Unternehmen für Endpunktsicherheit“ und zum „Führenden Sicherheitsunternehmen des Jahres“ gewählt. Keeper hat in den App Stores mehr als 275.000 5-Sterne-Bewertungen.
Keeper für Verbraucher und Familien
Der Keeper Password Manager für Verbraucher und Familien speichert all Ihre Passwörter, MFA-Codes und eine Reihe anderer sensibler Daten in einem sicheren digitalen Web-Tresor mit der Möglichkeit, Ihre Anmeldeinformationen auf all Ihren Websites und Anwendungen automatisch auszufüllen. Unsere Verbraucherlösungen verwenden die gleiche proprietäre Zero-Knowledge-Verschlüsselung wie unsere kommerziellen Produkte, sodass die Sicherheit auf Unternehmensebene in die Hände der Verbraucher gelegt wird. Nur der Benutzer kann auf seine gespeicherten Passwörter und Dateien zugreifen und sie entschlüsseln. Niemand sonst kann auf die Master-Passwörter, Verschlüsselungsschlüssel oder Tresorinhalte unserer Benutzer zugreifen – nicht einmal die eigenen Mitarbeiter von Keeper.
Keeper für Organisationen
Die Plattform für Passwortverwaltung und -sicherheit von Keeper für Unternehmen:
- Bietet jedem Mitarbeiter einen sicheren, verschlüsselten digitalen Tresor, in dem er seine Passwörter, Dateien und andere sensible Daten speichern kann. Mitarbeiter können von praktisch jedem Gerät und von allen gängigen Webbrowsern aus auf ihren Tresor zugreifen, automatisch eindeutige, komplexe Passwörter für alle ihre Konten generieren und ihre Anmeldedaten automatisch in alle ihre Websites und Anwendungen eingeben.
- IT-Administratoren erhalten einen vollständigen Einblick in die Passwortpraxis der Mitarbeiter und können so die Passwortverwendung überwachen und Passwortsicherheitsrichtlinien im gesamten Unternehmen durchsetzen. Dies umfasst Anforderungen an die Passwortkomplexität, Zwei-Faktor-Authentifizierung (2FA), rollenbasierte Zugriffskontrolle (RBAC) und andere Sicherheitsrichtlinien.
Ist Keeper sicher in der Anwendung?
Keeper ist völlig sicher in der Anwendung. Die Mitarbeiter von Keeper nutzen unseren Password Manager intern, um Firmenpasswörter und -daten zu schützen und Dateien sicher zu teilen.
Keeper ist ein Zero-Trust- und Zero-Knowledge-Sicherheitsanbieter. Sämtliche Ver- und Entschlüsselungsvorgänge erfolgen nur auf dem Gerät des Nutzers, wenn dieser sich in den Tresor einloggt. Das bedeutet, dass der Nutzer von Keeper die einzige Person ist, die seine Daten ver- und entschlüsseln kann.
Keeper’s secure, reliable cloud vault is protected by APIs, which are validated through authorization by the client device. The client retrieves a session token upon login and sends it with each API call. The session token is tracked on the server. Login is performed either by a private Master Password or SAML 2.0 Single Sign-On (SSO) authentication.
Wenn ein Master-Passwort zur Anmeldung verwendet wird, leitet das Client-Gerät einen 256-Bit-Authentifizierungsschlüssel mit PBKDF2-HMAC-SHA256 und einem zufälligen Salt ab. Ein „Authentifizierungs-Hash“ wird generiert, indem der Authentifizierungsschlüssel mit SHA-256 gehasht wird. Zur Anmeldung wird der Authentifizierungshash mit einem gespeicherten Authentifizierungshash im Cloud Security Vault verglichen. Nach der Anmeldung wird auf dem Server ein Sitzungstoken generiert und an den Client gesendet, um vom Client-Gerät für nachfolgende API-Anfragen verwendet zu werden. Die Sitzung muss aktiv sein, damit die Client-zu-Server-Kommunikation fortgesetzt werden kann.
Keeper verwendet FIPS 140-2-validierte Verschlüsselungsmodule, um die strengen Sicherheitsanforderungen von Behörden und dem öffentlichen Sektor zu erfüllen. Die Verschlüsselung von Keeper wurde vom NIST CMVP zertifiziert und von akkreditierten Drittlabors nach dem Standard FIPS 140 validiert.
Weitere Details zum Authentifizierungs- und Verschlüsselungsmodell von Keeper finden Sie in unserer Online-Wissensdatenbank.
Keeper bietet Unterstützung für die beliebtesten und sichersten 2FA-Methoden: SMS, TOTP-basierte Authenticator-Apps wie Google oder Microsoft Authenticator, RSA SecurID, DUO Security, Keeper DNA (Wearable Device Authentication mit Apple Watch und Android Wear Geräten) und FIDO2 WebAuthn-Geräte wie Yubikey. Organisationen können 2FA mit den rollenbasierten Durchsetzungsrichtlinien von Keeper durchsetzen.
Wurde Keeper jemals gehackt?
Nein, Keeper wurde noch nie gehackt. Im Jahr 2017 fand ein Sicherheitsexperte einen Fehler in der Browser-Erweiterung von Keeper, die eine separate Anwendung zur Keeper Desktop-App ist. Wir haben den Fehler innerhalb von 24 Stunden nach seiner Bestätigung gepatcht, frühere Versionen der Browser-Erweiterung von Keeper außer Kraft gesetzt und den Vorfall in unserem Blog gemeldet. In einem zweiten Blog erklärten wir unseren Kunden die Situation und versicherten ihnen, dass es keine gemeldeten oder tatsächlichen Sicherheitsverletzungen oder Verluste von Kundendaten im Zusammenhang mit diesem Fehler gab.
Seit 2017 hat sich viel verändert! Keeper ist eine Partnerschaft mit Bugcrowd eingegangen, um unser Bug Bounty- und Vulnerability Disclosure-Programm (VDP) zu verwalten. Das VDP von Keeper Security finden Sie unter https://bugcrowd.com/keepersecurity.
Further, Keeper began working with world-renowned leader NCC Group and CyberTest to perform quarterly pen testing. The results of our quarterly pen tests are available to our business customers upon execution of a mutual Non-Disclosure Agreement (NDA). If your organization would like a copy, please contact our sales team.
Keeper hält sich außerdem an sehr strenge interne Sicherheitspraktiken, die regelmäßig von Dritten überprüft werden. So können wir sicherstellen, dass wir weiterhin sichere Software entwickeln und die weltweit sicherste Cybersicherheitsplattform bereitstellen, unter anderem Folgendes:
- Keeper uses GitHub vulnerability scanning to monitor for vulnerabilities in dependencies and CodeQL for automated source code analysis.
- Keeper führt SAST/DAST mit den integrierten CodeQL-Tools von Github Enterprise sowie regelmäßige Tests mit Synopsys / Black Duck durch. Das technische Team von Keeper überprüft die Ergebnisse der statischen Analyse, um gültige Ergebnisse zu ermitteln.
- Keeper berücksichtigt und integriert die Best Practices und Empfehlungen, die im OWASP Developer’s Guide und der OWASP Cheat Sheet Series enthalten sind, um unser sicheres Software-Engineering zu implementieren und zu verbessern. Keeper verwendet den OWASP Testing Guide und/oder den OWASP Code Review Guide, um Schwachstellen in unseren Diensten/Anwendungen zu finden und zu entschärfen.
- Keeper führt die gesamte Software-Entwicklung intern auf lokalen Entwicklungs-Workstations durch. Wir gewähren Dritten keinen technischen Zugriff auf unsere Systeme.
- Jedes Projekt besteht in der Regel aus einem GitHub-Repository, einem Jira-Projekt, einem Kanban-Board und einer Build-Pipeline für GitHub Actions. Während der Softwareentwicklung wird das GitHub-Repo mit regelmäßigen Commits aktualisiert. Automatisierte GitHub-Actions-Builds werden entweder auf Commit oder in regelmäßigen dedizierten Build-Intervallen durchgeführt. Jira-Tickets und Kanban-Boards werden verwendet, um die Projektentwicklung zu organisieren.
- Vor der QA-Annahme durchläuft der gesamte Quellcode eine Peer-Review durch den Teamleiter, die Sicherheitsprüfungen, unbefugten Zugriff, Data-Injection-Angriffe usw. umfasst.
- Härtung und Anpassung von Server-Betriebssystemen, Webservern, App-Servern und DB-Servern werden durch Konfigurationsvorlagen und skriptgesteuerte API-Aufrufe an Amazon AWS standardisiert.
- Keeper führt monatliche und tägliche Schwachstellen-Scans der Systeminfrastruktur von Keeper durch.
- Keeper führt regelmäßig sowohl interne als auch externe Penetrationstests durch. Penetrationstests werden monatlich mit einer Kombination aus Drittanbieterdiensten und internen Tools und Systemen durchgeführt.
- Kritische Schwachstellen werden innerhalb von 48 Stunden gepatcht, und nicht-kritische (mittlere) Schwachstellen werden innerhalb von 10 Werktagen gepatcht.
Zertifizierungen und Compliance von Keeper
Keeper ist die sicherste, zertifizierteste, am meisten getestete und geprüfte Passwort-Sicherheitsplattform der Welt. Keeper verfügt über die am längsten bestehenden SOC 2- und ISO 27001-Zertifizierungen in der Branche. Keeper ist FedRAMP- und StateRAMP-autorisiert und ist von TrustArc für den Online-Datenschutz gemäß dem Data Privacy Framework (DPA) zertifiziert. Geschäftskunden können Kopien unserer SOC 2- und ISO 27001-Berichte erhalten, indem sie sich an unser Vertriebsteam wenden.
Keeper erfüllt die Anforderungen der DSGVO, CCPA, PCI DSS und HIPAA und verfügt über eine Exportlizenz des US-Handelsministeriums gemäß EAR. Wir erfüllen alle lokalen gesetzlichen Datenschutzanforderungen und sind von TrustArc für den Online-Datenschutz zertifiziert.
Die DSGVO identifiziert zwei Entitäten, die personenbezogene Daten verarbeiten können. Ein Datenverantwortlicher entscheidet, welche Daten erfasst werden und wie die Verarbeitung personenbezogener Daten erfolgt. Ein Datenverarbeiter handelt auf Anweisung eines Datenverantwortlichen, um personenbezogene Daten zu erfassen, zu speichern, abzurufen und/oder zu löschen. Keeper Security ist ein Datenverantwortlicher, wenn wir unseren Password Manager direkt an Verbraucher verkaufen. Wir sind ein Datenverarbeiter, wenn wir an Unternehmen verkaufen, die wiederum als Datenverantwortliche angesehen werden.
Weitere Informationen zur DSGVO-Compliance von Keeper oder zum Herunterladen von DSGVO-Download-Datenverarbeitungsvereinbarungen finden Sie unter https://www.keepersecurity.com/GDPR.html
Als FedRAMP-autorisierter (Moderate Impact) Cloud-Service-Anbieter ist Keeper gut positioniert, um Organisationen bei der Einhaltung der International Traffic in Arms Regulation (ITAR) zu unterstützen, die den Import und Export von raumfahrt- und verteidigungsbezogenen Artikeln und Dienstleistungen in den USA regelt.
Weitere Informationen zu unseren Compliance-Zertifizierungen finden Sie unter https://www.keepersecurity.com/security.html?s=compliance
Keeper ist FedRAMP-autorisiert
Keeper Security Government Cloud (KSGC) ist FedRAMP-autorisiert auf der Stufe „Moderate Impact“. Nun wollen wir darüber sprechen, was das bedeutet.
Das Federal Risk and Authorization Management Program (FedRAMP) wurde von der US-Regierung ins Leben gerufen, um einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und fortlaufende Überwachung von Cloud-Produkten und -Services zu erreichen. Bundesbehörden sind verpflichtet, FedRAMP-zertifizierte Cloud-Dienste zu nutzen.
Um auf dem FedRAMP-Marktplatz gelistet zu werden, müssen Cloud Service Provider (CSPs) wie Keeper einen monatelangen, strengen Autorisierungsprozess durchlaufen, der eine sehr detaillierte Prüfung aller Systeme beinhaltet. Auch nach Erreichen der FedRAMP-Autorisierung ist die Arbeit des CSP noch nicht getan! Der CSP muss seine Systeme kontinuierlich warten, um die FedRAMP-Anforderungen zu erfüllen. Das FedRAMP-Programm überprüft dies, indem es von den CSPs verlangt, dass sie den Agenturen, die ihren Dienst nutzen, monatliche Ergebnisse der kontinuierlichen Überwachung liefern. Dazu gehören ein aktualisierter Aktionsplan und Meilensteine (Plan of Action and Milestones POA&M) sowie Scan-Ergebnisse/Berichte. Außerdem muss der CSP eine jährliche Sicherheitsbewertung durchführen.
Obwohl FedRAMP für Bundesbehörden entwickelt wurde, ist die Auswahl einer FedRAMP– und StateRAMP-autorisierten Passwortverwaltungslösung wie Keeper Security Government Cloud auch für staatliche und lokale Regierungsbehörden sowie für private Organisationen in stark regulierten Branchen von Vorteil.