Keeper Security im PAM Magic Quadrant™ ausgezeichnet und als zweitschnellstwachsendes Sicherheitsunternehmen weltweit anerkannt
Mehr erfahrenSowohl Keeper als auch BeyondTrust sind anerkannte Marktführer für Privileged Access Management (PAM), unterscheiden sich jedoch erheblich in Architektur, Verschlüsselung, Compliance-Tiefe, Bereitstellungsmodellen und Sicherheitsprotokollen. Sehen Sie, wie sie im Vergleich abschneiden.
Keeper liefert KeeperPAM® als eine einzige, einheitliche Plattform. Ein Tresor, eine Admin-Konsole und eine Policy Engine decken Enterprise-Passwortmanagement, Geheimnisverwaltung, privilegierte Sitzungsverwaltung, Remote Browser Isolation (RBI) und privilegierte Endpunktverwaltung ab.
Alle Funktionen nutzen dieselbe Zero-Knowledge-Architektur, denselben verschlüsselten Tresor und dieselbe Reporting-Infrastruktur. Es müssen keine separaten Produkte integriert werden, es gibt keine inkonsistenten Schnittstellen zu bedienen und es sind keine professionellen Dienstleistungen erforderlich, um einen produktionsreifen Zustand zu erreichen.
BeyondTrust ist ein etablierter Marktführer für PAM (Privileged Access Management). Die Produktpalette umfasst Passwort Safe, Privileged Remote Access (PRA), Endpoint Privilege Management und die Pathfinder-Plattform, die jeweils über eine eigene Benutzeroberfläche, Datenspeicherung und ein eigenes Verwaltungsmodell verfügen.
BeyondTrust hat bedeutende Fortschritte bei der Vereinheitlichung dieser Systeme unter der Pathfinder-Konsole erzielt, die zugrunde liegenden Produkte bleiben jedoch getrennt, und die Integration zwischen ihnen basiert auf API-Verbindungen.
Keeper basiert auf einer echten Zero-Knowledge- und Zero-Trust-Architektur. Die gesamte Verschlüsselung erfolgt clientseitig, bevor die Daten die Server von Keeper erreichen. Keeper hat keine technische Möglichkeit, auf Kundendaten, Zugangsdaten oder Geheimnisse im Tresor zuzugreifen, und auch sonst niemand. Jeder Datensatz ist durch einen einzigartigen AES-256-Verschlüsselungsschlüssel geschützt, der lokal auf dem Gerät des Benutzers generiert wird.
Laut öffentlich zugänglicher Dokumentation verwendet BeyondTrust kein Zero-Knowledge-Verschlüsselungsmodell.
Keeper hat eine quantenresistente Verschlüsselung unter Verwendung des CRYSTALS-Kyber-Algorithmus implementiert, einem NIST-standardisierten Post-Quanten-Kryptographiestandard, der dazu beiträgt, Kundendaten zukunftssicher gegen die Bedrohung durch Quantencomputerangriffe auf die aktuelle Verschlüsselung zu machen.
Das kryptografische Modul von Keeper ist außerdem gemäß FIPS 140-3 durch das NIST Cryptographic Module Validation Program validiert.
Nach dem Stand der öffentlich verfügbaren Informationen vom April 2026 hat BeyondTrust bisher keine quantenresistente Verschlüsselung öffentlich implementiert oder angekündigt.
BeyondTrust erreicht die FIPS 140-3-Konformität für seine Remote Support- und Privileged Remote Access-Produkte durch den Einsatz von FIPS 140-3-validierten Kryptografiemodulen von Drittanbietern innerhalb seiner Appliances, anstatt durch ein unabhängig validiertes proprietäres Kryptografiemodul.
Keeper ist FedRAMP High-zertifiziert und GovRAMP High-autorisiert, die höchste Stufe der Autorisierung durch Bundes- und Landesbehörden, wird auf AWS GovCloud gehostet und verfügt über einen ausschließlich in den USA ansässigen Datenspeicher sowie ein abgeschottetes Support-Team, das ausschließlich aus US-Bürgern besteht.
Keeper ist FIPS 140-3-validiert, SOC 2 Typ II, SOC 3 und ISO 27001, 27017 und 27018-zertifiziert, und unterstützt ITAR- und FDA 21 CFR Part 11-Compliance.
Laut öffentlich verfügbaren Informationen besitzt BeyondTrust über eine FedRAMP Moderate-Zertifizierung, ist jedoch nicht FedRAMP High- oder GovRAMP High-autorisiert.
BeyondTrust ist nach SOC 2 und ISO 27001 für die Erbringung von Dienstleistungen für kommerzielle Unternehmen zertifiziert.
Bei Keeper gab es noch nie eine Datenschutzverletzung. Die Zero-Knowledge- und Zero-Trust-Architektur von Keeper bedeutet, dass es keinen zentralen Speicher für entschlüsselbare Zugangsdaten gibt, den Angreifer ins Visier nehmen könnten. Selbst im Falle einer Kompromittierung des Servers sind die auf der Infrastruktur von Keeper gespeicherten Daten ohne die Verschlüsselungsschlüssel, die das Gerät des Benutzers niemals verlassen, kryptografisch unzugänglich.
BeyondTrust sah sich mit einer Reihe kritischer Sicherheitslücken in seinen Fernzugriffsprodukten konfrontiert. Im Dezember 2024 nutzte die chinesische, staatlich geförderte Gruppe Silk Typhoon eine Zero-Day-Schwachstelle in der Plattform von BeyondTrust aus, um in das US-Finanzministerium einzubrechen.
Im Februar 2026 wurde eine zweite kritische Schwachstelle zur Remote-Codeausführung vor der Authentifizierung (CVE-2026-1731, CVSS 9.9) in BeyondTrust Remote Support und Privileged Remote Access aufgedeckt, die aktiv bei Ransomware-Angriffen ausgenutzt wurde und in den Katalog bekannter ausgenutzter Schwachstellen der CISA aufgenommen wurde. Zum Zeitpunkt der Offenlegung waren etwa 8.500 lokale Instanzen dem Internet ausgesetzt. BeyondTrust hat Cloud-Instanzen automatisch gepatcht, bei Kunden mit selbstgehosteten Systemen war jedoch eine manuelle Nachbearbeitung erforderlich.
Keeper wird in drei Schritten bereitgestellt: Provisionierung von Benutzern über Single Sign-On (SSO) und SCIM oder Active Directory, Festlegung rollenbasierter Richtlinien und Installation eines schlanken containerisierten Gateways in den Zielumgebungen. Das Gateway ist nur für ausgehenden Datenverkehr ausgelegt und erfordert keine Änderungen an der eingehenden Firewall, keine dedizierten Server und keine weitere Infrastruktur vor Ort, die über das Gateway selbst hinausgeht.
Die meisten Organisationen sind innerhalb eines Tages voll betriebsbereit. Professionelle Dienstleistungen sind nicht erforderlich, stehen aber für komplexe Migrationen zur Verfügung.
BeyondTrust unterstützt sowohl eine Cloud- als auch lokale Bereitstellung. Die Bereitstellung von Cloud-Lösungen hat den Einrichtungsprozess vereinfacht, aber die Implementierung der gesamten BeyondTrust-Suite, insbesondere von Passwort Safe zusammen mit Privileged Remote Access, erfordert in der Regel eine Installation mit mehreren Komponenten, eine dedizierte Infrastruktur und die Beauftragung von professionellen Dienstleistern.
Keeper stellt KeeperAI zur Verfügung, eine in KeeperPAM integrierte agentenbasierte KI-Engine, die privilegierte aktive Sitzungen in Echtzeit überwacht, Tastatureingabeprotokolle und Befehlsausführung analysiert, das Verhalten nach Risikostufe klassifiziert und Sitzungen automatisch beendet, wenn eine Bedrohung erkannt wird.
Auf der Grundlage eines Sovereign AI-Frameworks behält jede Organisation die volle Datenhoheit und kann flexible LLM-Lösungen vor Ort oder in der Cloud nutzen, darunter OpenAI, Azure OpenAI, Google Vertex AI und Anthropic.
BeyondTrust hat KI-Fähigkeiten durch sein True Privilege™-Diagramm eingeführt, eine KI-gestützte Visualisierung von Identitätsangriffspfaden, die Sicherheitsteams dabei hilft, versteckte Rechteerweiterungsrouten über menschliche und nicht-menschliche Identitäten hinweg zu identifizieren und zu priorisieren.
BeyondTrust hat außerdem eine agentenbasierte KI-Lösung angekündigt, mit der PAM-Steuerungen auf KI-Agenten ausgeweitet werden können.
Keeper stellt KeeperDB zur Verfügung, eine integrierte Datenbankverwaltungsschnittstelle innerhalb des Keeper-Tresors. Privilegierte Benutzer können MySQL-, PostgreSQL- und Microsoft SQL Server-Datenbanken sicher abfragen und verwalten, ohne dass Zugangsdaten ein lokales Gerät berühren müssen.
Jede Sitzung läuft innerhalb der Keeper Remote Browser Isolation, wird vollständig protokolliert und unterliegt zentralisierten Least-Privilege-Richtlinien mit einem vollständigen Audit-Protokoll von einer einzigen Konsole aus.
Basierend auf öffentlich zugänglicher Dokumentation unterstützt BeyondTrust die Datenbank-Zugangsdatenverwaltung durch Passwort Safe, einschließlich Zugangsdaten-Vaulting, automatisierter Rotation und Sitzungsverwaltung für Datenbank-Konten.
BeyondTrust bietet keine native, browserbasierte Datenbankverwaltungsschnittstelle, die mit KeeperDB vergleichbar wäre.
Keeper Secrets Manager ist eine vollständig cloudbasierte Zero-Knowledge-Lösung zur Geheimnisverwaltung, die keine lokalen Komponenten benötigt. Es sichert API-Schlüssel, SSH-Schlüssel, Zertifikate und CI/CD-Pipeline-Zugangsdaten mit integrierter automatischer Rotation.
Keeper Secrets Manager integriert sich nativ mit Terraform, Kubernetes, GitHub Actions und Jenkins, unterstützt das Model Context Protocol (MCP) für die Integration von KI-Tools und bietet über 100 sofort einsatzbereite DevOps-Integrationen.
Laut öffentlich verfügbarer Dokumentation verwaltet BeyondTrust Geheimnisse über Passwort Safe, was die Speicherung von Anmeldeinformationen, die automatische Rotation und die Geheimnisverwaltung für die Infrastruktur umfasst. Der Ansatz von Passwort Safe ist in erster Linie tresorzentriert: Zugangsdaten werden vorab erstellt, gespeichert und nach einem Zeitplan oder auf Basis von Richtlinienparametern rotiert, anstatt dynamisch bei Bedarf pro Sitzung generiert zu werden.
BeyondTrust bietet Integrationsmöglichkeiten mit DevOps-Tools, darunter ein Terraform-Provider, eine benutzerdefinierte GitHub Actions-Aktion und eine Kubernetes Sidecar-Integration. Diese konzentrieren sich jedoch eher auf das Abrufen von vorab gespeicherten Geheimnissen aus dem Tresor als auf die Generierung von kurzlebigen Zugangsdaten zum Zeitpunkt der Anfrage.
Keeper Enterprise Passwortmanager ist für jeden Benutzer in der Organisation konzipiert, nicht nur für IT-Administratoren. Keeper ist über einen Web-Tresor, eine Desktop-App für Windows, Mac und Linux, mobile Apps für iOS und Android sowie Browser-Erweiterungen für alle gängigen Browser zugänglich, und bietet somit ein einheitliches und intuitives Benutzererlebnis auf jeder Plattform.
KeeperFill füllt Passwörter, Passkeys und 2FA-Codes automatisch aus. BreachWatch überwacht das Darknet auf öffentlich zugängliche Zugangsdaten, und jeder Unternehmensbenutzer erhält einen kostenlosen Keeper-Familienplan.
Der BeyondTrust Passwort Safe und seine Workforce-Passwortfunktion wurden erweitert, um auch nicht-technische Benutzer abzudecken, aber das Design der Plattform priorisiert in erster Linie die administrative Kontrolle, die Überwachung und den privilegierten Zugriff.
BeyondTrust bietet eine Passwort Safe Mobile-App für iOS und Android an, die privilegierte Zugangsdaten, Geheimnisse und Mitarbeiterpasswörter abdeckt. Allerdings ist eine bestehende Passwort Safe-Installation im Unternehmen sowie eine Administratorkonfiguration erforderlich, bevor ein Benutzer darauf zugreifen kann.
Das Modul für erweiterte Berichte und Warnungen (ARAM) von Keeper erfasst über 300 auditierbare Ereignisse auf der gesamten Plattform, darunter Tresoraktivitäten, privilegierte Sitzungen, Zugriff auf Geheimnisse und Richtlinienänderungen, mit Echtzeitwarnungen und direkter SIEM-Integration (Sicherheit Information and Event Management) in CrowdStrike Falcon, Microsoft Sentinel, Google Security Operations und Splunk.
Das Compliance-Reporting-Modul von Keeper bietet konsolidierte, auditfähige Berichte für SOC 2, HIPAA, PCI DSS und ISO 27001 – alles über dieselbe Konsole.
BeyondTrust bietet Reporting- und Auditing-Funktionen für seine gesamte Produktpalette, inklusive SIEM-Integration und Sitzungsaufzeichnung. Das Unternehmen hat mit seiner Pathfinder-Plattform, die ein gemeinsames Login und eine produktübergreifende Navigation für seine SaaS-Produkte bietet, Maßnahmen ergriffen, um die historisch bedingte Fragmentierung zu beheben.
Die einzelnen Produkte behalten jedoch ihre eigenen Berichtsschnittstellen und separaten Datenstrukturen. Beispielsweise benötigt man für die Anzeige von PRA-Sitzungsdaten einen dedizierten Integrationsclient und eine eigene Datenbankverbindung in BeyondInsight.
*Datenstand: 14. April 2026
iOS App-Store
4,9 von 5 Sternen und 224.000 Bewertungen
3,1 von 5 Sternen und 52 Bewertungen**
App aus dem Microsoft Store
4,9 von 5 Sternen und 1.460 Bewertungen
No dedicated app
Chrome-Erweiterung
4,8 von 5 Sternen und 8.500 Bewertungen
3,3 von 5 Sternen und 4 Bewertungen
Android
4,7 von 5 Sternen und 110.000 Bewertungen
2,4 von 5 Sternen und 391 Bewertungen
*Datenstand: 14. April 2026
Die BeyondTrust-Bewertungen spiegeln die Support-Anwendung von BeyondTrust wider.
KeeperPAM bietet eine Zero-Knowledge-Architektur, quantenresistente Verschlüsselung, FedRAMP High-Autorisierung und KI-gestützte Bedrohungserkennung – alles auf einer einzigen Cloud-nativen Plattform, die in Minuten statt Monaten bereitgestellt werden kann.
Der Kernunterschied liegt in der Architektur und dem Bereitstellungsmodell. Keeper basiert auf einer echten Zero-Knowledge- und Zero-Trust-Architektur, was bedeutet, dass Keeper keine technische Möglichkeit hat, auf Kundendaten im Tresor zuzugreifen. BeyondTrust bietet keine Zero-Knowledge-Verschlüsselung an, was für regulierte Umgebungen und Organisationen, die ihren Angriffsradius im Falle einer Kompromittierung bewerten, ein wichtiger Unterschied ist.
Keeper ist zudem FedRAMP High-zertifizierte, während BeyondTrust über FedRAMP Moderate verfügt. Keeper hat eine quantenresistente Verschlüsselung (CRYSTALS-Kyber) implementiert; BeyondTrust hat dies nicht getan. KeeperPAM lässt sich innerhalb von Minuten als einheitliche, Cloud-native Plattform bereitstellen, ohne die professionellen Dienstleistungen und die mehrkomponentige Infrastruktur, die BeyondTrust typischerweise erfordert.
Die Zero-Knowledge-Architektur von Keeper bedeutet, dass die gesamte Verschlüsselung auf dem Gerät des Benutzers stattfindet, bevor die Daten die Server von Keeper erreichen. Keeper kann weder die Inhalte, Zugangsdaten noch Geheimnisse von Tresor entschlüsseln, noch können Angreifer diese entschlüsseln, selbst wenn die Infrastruktur von Keeper kompromittiert würde. Jeder Datensatz ist durch einen eigenen, lokal generierten AES-256-Schlüssel geschützt.
BeyondTrust verwendet keine Zero-Knowledge-Verschlüsselung. Durch den zentralisierten Zugangsdatentresor hat BeyondTrust technischen Zugriff auf gespeicherte Daten, und ein kompromittierter Tresor ermöglicht Angreifern den gleichzeitigen Zugriff auf Passwörter, SSH-Schlüssel und Sitzungstoken für die empfindlichsten Systeme einer Organisation. Dieser architektonische Unterschied ist der Grund, warum die Plattform von BeyondTrust immer wieder Zielscheibe staatlich geförderter Bedrohungsakteure geworden ist, darunter der Einbruch beim US-Finanzministerium im Dezember 2024, der Angriff auf die chinesische staatlich geförderte Gruppe Silk Typhoon und die Ausnutzung der Ransomware-Schwachstelle CVE-2026-1731 im Februar 2026.
Ja, Keeper ist FedRAMP High-zertifiziert und GovRAMP High-autorisiert und gehört damit zu den wenigen Lösungen, die für die sensibelsten Arbeitslasten der US-Regierung zugelassen sind. Keeper ist außerdem FIPS 140-3-validiert, SOC 2 Typ II, SOC 3 und ISO 27001, 27017 und 27018-zertifiziert, und unterstützt ITAR- und FDA 21 CFR Part 11-Compliance-Programme. Keeper Security Government Cloud läuft auf AWS GovCloud mit ausschließlich US-amerikanischer Datenspeicherung und einem abgeschotteten Support-Team, das ausschließlich aus US-Bürgern besteht.
BeyondTrust besitzt die FedRAMP Moderate-Zertifizierung. Für Agenturen und Auftragnehmer, bei denen FedRAMP High eine Beschaffungsvoraussetzung ist, ist Keeper die richtige Wahl.
Die Zero-Knowledge- und Zero-Trust-Architektur von Keeper begrenzt von Grund auf die Auswirkungen potenzieller Kompromittierungen. Da die gesamte Verschlüsselung auf dem Gerät des Benutzers erfolgt und die Server von Keeper nur Chiffretexte speichern, die ohne die vom Benutzer gehaltenen Schlüssel nicht entschlüsselt werden können, kann ein Sicherheitsvorfall auf Serverebene keine lesbaren Tresordaten offenlegen. Keeper kann eine makellose Sicherheitsbilanz vorweisen.
Bei den Fernzugriffsprodukten von BeyondTrust traten wiederholt kritische Sicherheitslücken auf. CVE-2026-1731, eine Schwachstelle zur Remote-Codeausführung vor der Authentifizierung mit einem CVSS-Wert von 9,9, wurde im Februar 2026 bekannt gegeben und innerhalb von 24 Stunden nach Veröffentlichung eines Proof-of-Concept aktiv in Ransomware-Angriffen ausgenutzt. Dies geschah im Anschluss an den Angriff auf das US-Finanzministerium im Dezember 2024 durch eine Zero-Day-Schwachstelle bei BeyondTrust. Zum Zeitpunkt der Veröffentlichung von CVE-2026-1731 waren etwa 8.500 lokale Instanzen dem Internet ausgesetzt. BeyondTrust hat Cloud-Instanzen automatisch gepatcht, bei Kunden mit selbstgehosteten Systemen war jedoch eine manuelle Nachbearbeitung erforderlich.
KeeperPAM wird in drei Schritten bereitgestellt: Benutzerbereitstellung über Ihr SSO und SCIM oder Active Directory, Festlegung der rollenbasierte Richtlinien in der Admin-Konsole und Installation eines schlanken containerisiertes Gateway in Ihren Zielumgebungen. Das Gateway ist nur für ausgehende Verbindungen geeignet und erfordert keine Änderungen an der eingehenden Firewall oder dedizierte Server. Die meisten Organisationen sind innerhalb eines Tages voll betriebsbereit, ohne dass professionelle Dienstleistungen erforderlich sind.
Die von BeyondTrust bereitgestellten Lösungen, insbesondere bei der Implementierung von Passwort Safe zusammen mit Privileged Remote Access, umfassen typischerweise eine Installation mit mehreren Komponenten, eine dedizierte Infrastruktur und die Inanspruchnahme professioneller Dienstleistungen. Vollständige Migrationen in größeren Unternehmensumgebungen können nachweislich mehrere Monate dauern. Für Organisationen, die schnell betriebsbereit sein müssen oder über keine großen, dedizierten IT-Teams für die PAM-Administration verfügen, ist dieser Unterschied in der Zeit bis zur Wertschöpfung erheblich.
Sie müssen Cookies aktivieren, um den Live-Chat zu nutzen.