Password Intelligence
Wir schützen mehrere Millionen Konten sowie einige der weltweit größten Unternehmen. Seit der Einführung von EPAS wurde keines dieser Konten aufgrund unsicherer Passwörter als kompromittiert gemeldet.
Es ist weithin bekannt, dass unsichere, wiederverwendete und kompromittierte Passwörter eine der Hauptursachen für Cyber-Sicherheitsvorfälle sind.
Wenn wir über die Zukunft der Passwortsicherheit nachdenken, wird uns oft gesagt, dass die einzige Möglichkeit, Passwörter zu sichern, darin besteht, sie entweder durch alternative Technologien zu ersetzen oder sie zumindest mit zusätzlichen Faktoren zu ergänzen.
Ohne die Vorteile moderner Authentifizierungstechnologien abzulehnen, möchten wir diese weit verbreitete Aussage in Frage stellen und die praktischen Gründe untersuchen, die zu ihr geführt haben.
Ein Passwort allein ist jedoch kein grundsätzlich unsicheres Authentifizierungsverfahren. Wie jede andere IT-Komponente erfordert es Sicherheitsüberprüfungen und Qualitätssicherung, um seine Sicherheit zu gewährleisten.
Das Problem mit Passwörtern bestand bisher im Mangel an speziellen Sicherheitsprüfungstools, die die Vorgehensweisen eines Angreifers simulieren, der versucht, sie zu knacken.
Dies lag nicht an einem Mangel an Passwort-Cracking-Tools, sondern daran, dass das Offenlegen des Klartextpassworts zu einem Datenschutzverstoß führt.
EPAS bietet einen innovativen Ansatz, indem es unsichere, wiederverwendete und kompromittierte Passwörter identifiziert und verhindert, ohne die Privatsphäre der Benutzer zu verletzen.
Dies ermöglicht es Organisationen, alle passwortbezogenen Schwachstellen effektiv zu beseitigen und gleichzeitig eine bewährte, bekannte und gut unterstützte Authentifizierungsmethode weiterhin zu nutzen.
EPAS ist eine patentierte Technologie, die auf Tausenden von Servern und Identitätsmanagementsystemen von mehreren Millionen Unternehmensanwendern in über 30 Ländern eingesetzt wird. Seit der Benutzung von EPAS wurde keines dieser Konten aufgrund unsicherer Passwörter als kompromittiert gemeldet.
Es wird weiterhin empfohlen, zusätzliche Sicherheitsmaßnahmen wie MFA (Mehrfaktor-Authentifizierung) und risikobasierte Authentifizierung zu nutzen, um die Sicherheit zu erhöhen. Dies kann jedoch oft eine Herausforderung darstellen, insbesondere bei Legacy oder OT-Systemen oder wenn die erforderlichen Technologieänderungen zu sehr hohen Kosten führen. Die Umsetzung kann auch viel Zeit in Anspruch nehmen, wodurch Konten anfällig für passwortbezogene Angriffe bleiben.
Selbst wenn MFA eingesetzt wird, ist das Passwort in der Regel einer der Faktoren und muss gewissermaßen gesichert werden.
EPAS bietet sofortigen Schutz für alle Passwörter, unabhängig davon, ob sie als einziger Faktor oder im Rahmen von MFA verwendet werden. Die EPAS-Lösung kann, innerhalb von 24 Stunden selbst in komplexen Infrastrukturen, integriert werden und liefert sofortige Resultate, ohne dass auf den geschützten Systemen zusätzliche Software installiert werden muss.
EPAS Audit stellt die erste Lösung dar, die erfolgreich die Herausforderung meistert, datenschutzkonforme Passwortsicherheitsbewertungen durchzuführen und dabei authentische Angriffe zu simulieren.
Durch die Durchführung des Angriffs und der Bewertung in einer geschützten, sicheren Umgebung, ohne das Klartextpasswort zu speichern oder offenzulegen, gewährleistet EPAS die vollständige Einhaltung gesetzlicher und datenschutzrechtlicher Vorschriften.
Patente: USPTO 9,292,681 B2, EP 2767922 B1
EPAS Enforcer bietet ein wesentliches Toolset, um die Ergebnisse und Metriken, die durch EPAS Audit erzeugt werden, optimal zu nutzen. Es stellt sicher, dass unsichere Passwörter nicht erneut verwendet werden, indem diese bei Passwortänderungen blockiert werden.
Enforcer ist ein optionales Add-on zu EPAS Audit und unterstützt verschiedene Identitätsmanagementsysteme sowie Microsoft Active Directory, Windows O/S, MS Azure, UNIX-Systeme, Datenbank-Engines und kundenspezifische Anwendungen.
Kompromittierte Anmeldedaten stellen den am häufigsten ausgenutzten Angriffsvektor bei passwortbezogenen Sicherheitsverletzungen dar. EPAS bietet eine der größten und am besten kuratierten Passwort-Intelligenz-Datenbanken, die heute verfügbar sind, um sowohl die Identifizierung als auch die Verhinderung der Nutzung kompromittierter Anmeldedaten zu unterstützen.
Diese Daten werden von menschlich geführter Threat Intelligence gesammelt, die Untergrundforen und das Dark Web überwacht; aus Malware-Logs, die unter kriminellen Akteuren geteilt werden, und aus öffentlich zugänglichen Passwort-Leaks, wie etwa Have I Been Pwned.
Anders als bei anderen Lösungen ist der Datensatz im Klartext verfügbar, was EPAS ermöglicht, mehrere einzigartige Funktionen bereitzustellen wie die Fähigkeit zu erkennen, ob aktuelle Passwörter über alle unterstützten Systeme hinweg kompromittiert wurden – nicht nur auf Active Directory beschränkt – sowie die Möglichkeit, die Nutzung von Passwörtern zu erkennen und zu blockieren, die nicht nur exakte Übereinstimmungen sind, sondern auch leicht veränderte Versionen kompromittierter Passwörter. Die Daten werden regelmäßig aktualisiert.
Fortgeschrittene Kriminelle und staatliche Akteure nutzen zunehmend künstliche Intelligenz, um Passwortangriffe durchzuführen. EPAS setzt KI ein, um Passwörter zu erkennen, die anfällig für solche Angriffe sind.
Durch den Einsatz von großen Sprachmodellen (LLMs) wie GPT für maschinelles Lernen zur Erstellung von prädiktiven Wortlisten, kombiniert mit klassischen Methoden wie Ableitungsregeln, kann eine Verbesserung der Wiederherstellungsrate um 10% bis 18% beobachtet werden.
EPAS nutzt Machine Learning Acceleration mit NVIDIA CUDA-Hardware.
Ob zur Verbesserung der Sicherheit, zur Behebung von Schwachstellen oder zur Erfüllung regulatorischer Standards, EPAS-Berichte bieten vollständige Transparenz über gefährdete Zugangsdaten.
Diese Berichte werden häufig in internen Audits verwendet und dienen als Nachweis für die Einhaltung starker Authentifizierungsanforderungen im Bereich GRC.
Einige der von EPAS unterstützten Compliance-Standards und regulatorischen Frameworks sind die ISO 27001 / ISO 27002 Passwort- und kryptografischen Kontrollen, die NIST-Passwortrichtlinien, wie sie in der NIST Special Publication (SP) 800-63B veröffentlicht sind, die europäische NIS2-Richtlinie und die DORA-Verordnung, das australische SOCI ACT und der deutsche BSI IT-Grundschutz usw.
EPAS wird routinemäßig über mehrere Rechenzentren und in mehreren Ländern eingesetzt.
Eine zentrale Instanz kann Dutzende von Rechenzentren, Tausende von Servern und Millionen von Konten bedienen. Mehrere EPAS-Systeme können eingesetzt werden, um hohe Verfügbarkeit und Failover zu gewährleisten.
EPAS ist eine Lösung, die als On-Premises- oder Private-Cloud-Appliance bereitgestellt werden kann. Sie kann in einzelnen Rechenzentren eingesetzt werden, um kleinere Unternehmen zu unterstützen, oder bei Bedarf skaliert werden, um sich über mehrere Rechenzentren oder Standorte zu erstrecken. Sie kann von einem zentralen Standort aus einzelne oder mehrere Mandanten bedienen.
EPAS verarbeitet sensible Informationen, darunter Benutzeranmeldedaten und gehashte Passwortdaten. Um die Sicherheit dieser Daten vor externen Angriffen sowie feindlicher interner Nutzung (z. B. Manipulationen am System, um wiederhergestellte Passwörter anzuzeigen) zu gewährleisten, nutzt die EPAS-Plattform vollständige Verschlüsselung, Versiegelungstechnologie der Trusted Computing Group (TCG), unabhängige und interne Sicherheitstests und folgt einem sicheren Entwicklungsprozess in einer zertifizierten Umgebung.
Erkennt schwache, vorhersagbare, kompromittierte und wiederverwendete Passwörter
Simuliert alle bekannten Angriffsmethoden, von Brute-Force über Datenlecks bis zu KI-getriebenen Angriffen
Speichert oder legt den Klartext von wiederhergestellten Passwörtern nicht offen
Anwendbar auf bestehende verschlüsselte Passwörter sowie auf neue Passworteingaben
Blockiert das Setzen unsicherer Passwörter basierend auf Bewertungsmetriken
Kompatibel mit allen Unternehmenssystemen, von Mainframes bis hin zu Active Directory
Schützt sowohl lokale als auch cloudbasierte Infrastrukturen
Integriert eine der weltweit umfassendsten Datenbanken kompromittierter Zugangsdaten
Nutzt fortschrittliche GPU-basierte Hardwarebeschleunigungstechnologien
Setzt KI ein, um Passwörter zu identifizieren, die anfällig für Angriffe durch große Sprachmodelle sind
Bietet Berichterstellung, Metriken und KPIs in Enterprise-Qualität
Unbegrenzte Skalierbarkeit über Rechenzentren, Länder und in der Cloud
Vollständige Automatisierung und Planung ohne menschliches Eingreifen
Stellt APIs für die Integration in SOC-Umgebungen und Drittanbieter-Tools bereit
Integration mit MS Entra ID, IBM RACF, CyberArk, OneIdentity IM, Micro Focus NetIQ
Verfügbar für MSP/MSSP-Anwendungsfälle mit Multi-Tenant-Funktionalität
Historische Analyse der Passwortqualität über kundenspezifische Kontenauswahl
Regionale Supportzentren in den USA, Deutschland, Singapur und Australien
Benutzerdefinierte Berichterstellung durch Aufteilen und Zusammenführen zielgerichteter Berichte
Ausgereifte, vertrauenswürdige Technologie, die von einigen der größten Unternehmen der Welt genutzt wird
Beseitigung passwortbezogener Sicherheitsrisiken
Erfüllung gesetzlicher Anforderungen an Authentifizierung und Datenschutz
Optimierung der mit Identitätsmanagement und Authentifizierung verbundenen Kosten
Verbesserung der Benutzererfahrung beim Ändern von Passwörtern
Abdeckung für Altsysteme, die keine MFA unterstützen
Kompensatorische Maßnahmen für MFA oder verwandte regulatorische Anforderungen
Eigenständiges Hardware- oder virtuelles Appliance, immer vollständig verschlüsselt
Verwendet Trusted Computing mit TPM zur Manipulationsverhinderung
Vollständig isoliert, ohne externe oder Internetverbindung
Produktionssicher, nutzt nur legale Anbieter-APIs zur Extraktion
Agentenlos, installiert keine Software auf geprüften Systemen
ISO27001-zertifizierte Entwicklungsumgebung
Regelmäßige unabhängige Sicherheitsbewertungen
Das EPAS Enforcer-Plug-in ist von Microsoft verifiziert, zertifiziert und digital signiert
Microsoft Active Directory Accounts
Microsoft Windows Local Accounts
IBM System z – zSeries – RACF z/OS, z/VM
IBM System i – iSeries – AS/400
IBM System p – pSeries – RS/6000
AIX IBM Lotus Domino Application Server
SAP NetWeaver – ABAP AS
BSD Operating System
Linux Operating System
Sun Solaris – SunOS
Apache Basic – htpasswd
LDAP Authentication Server
Apple macOS – Mac OS X
Cisco ISE – ASA – IOS – NX-OS
MongoDB System Accounts
MSSQL System Accounts
MySQL System Accounts
Oracle System Accounts
PostgreSQL System Accounts
Sybase ASE System Accounts
Bitwarden Password Vault
KeePass Password Vault
DB2 Database Custom Application
Informix Database Custom Application
MaxDB Database Custom Application
MSSQL Custom Database Application
MySQL Database Custom Application
Oracle Database Custom Application
PostgreSQL Custom Database Application
Sybase ASA Database Custom Application
Sybase ASE Database Custom Application
Microsoft Active Directory
Linux Accounts / PAM
Microsoft Windows Accounts
Microsoft Azure AD / Hybrid
Microsoft SQL Server
OneIdentity Identity Manager
Micro Focus NetIQ SSPR
Web-Based Password Management
Custom Applications
Server-Hardware: Intel Xeon-Architektur, kundenspezifische OEM-Konfiguration
GPU-Beschleunigung: Aktuelle Version basiert auf der NVIDIA GeForce RTX 40 Serie
Redundanz: Hochverfügbarkeits- und Failover-Konfigurationen für alle Anwendungsfälle verfügbar
Verschlüsselung: FDE mit HSM für den Betrieb von Datenspeichern, TCG 2.0, diskretes TPM-Modul
Rack-Montage: Alle Modelle sind für standardmäßige Volleinschub-19″-Racks gebaut
Optionen für virtuelle Appliance: VMware vSphere, Microsoft Azure, Amazon AWS
Firmengröße: über 70 Milliarden USD
Ü B E R B L I C K
Der Kunde musste eine Vielzahl von Anforderungen in stark regulierten Umgebungen in über 25 Ländern erfüllen und gleichzeitig die Cyber-Resilienz durch stärkere Authentifizierung verbessern.
L Ö S U N G
Die EPAS-Lösung wurde im Laufe von etwa vier Monaten implementiert und deckt rund 30 Rechenzentren und viele heterogene Systeme ab, von Microsoft Active Directory bis hin zu UNIX, IBM Mainframe und Cloud-Plattformen. EPAS läuft seit 9 Jahren ununterbrochen und sorgt dafür, dass Passwörter sicher sind und diesbezüglich regulatorische Beweise erbracht werden.
S C H L U S S F O L G E R U N G
„EPAS ist stabil und sicher. Es ist einfach zu implementieren und hält, was es verspricht. Der Support ist ebenfalls hilfreich. Feedback von den Technikern ist auch positiv. Wir freuen uns darauf, unser Vertrag mit ihnen erneut zu verlängern.“
Herunterladen
Firmengröße: 10 Milliarden USD
Ü B E R B L I C K
Der Kunde musste eine Vielzahl von Anforderungen in einer stark regulierten Umgebung erfüllen und gleichzeitig die Cyber-Resilienz durch stärkere Authentifizierung verbessern. Die Bank suchte nach einer Lösung, die Automatisierung und Überwachung bietet, um fehlende Funktionen für Compliance- und regulatorische Bedürfnisse umzusetzen.
L Ö S U N G
EPAS: „Am meisten gefällt mir die SOX- und regulatorische Compliance zusätzlich zur Benutzerfreundlichkeit der Plattform. Alles ist von A bis Z dokumentiert und wird nach Bedarf individuell implementiert.“
S C H L U S S F O L G E R U N G
„Versteht den Wert dessen, was Qualitätssicherung bei Passwörtern wirklich bedeutet. Versteht auch, wie sich die strukturelle Integrität von Passwörtern auf Ihr Geschäft auswirkt. Geht zudem den Lücken bei der Durchsetzung von Passwörtern in Ihrer Umgebung auf den Grund, etwa durch GPO- oder Pam/Cracklib-Konfigurationen. Sie mögen vielleicht annehmen, dass es keine Lücken gibt, aber ich verspreche Ihnen als Sicherheitsexperte, dass es welche gibt.“
Herunterladen
Firmengröße: über 30 Milliarden USD
Ü B E R B L I C K
Der Kunde musste eine Vielzahl von Anforderungen für kritische Infrastrukturen auf mehreren Kontinenten erfüllen und gleichzeitig die Cyber-Resilienz durch stärkere Authentifizierung verbessern.
L Ö S U N G
EPAS läuft seit 2019 ohne Unterbrechung und sorgt dafür, dass Passwörter sicher sind und hierfür regulatorische Nachweise erbracht werden. Der Projektleiter sagt dazu: „Die Funktionalität von EPAS ist beeindruckend. Die Integration und der Rollout verliefen reibungslos, trotz einer sehr komplexen Umgebung.“
S C H L U S S F O L G E R U N G
„Fordern Sie einen Test der Lösung an. Es ist sehr wahrscheinlich, dass die Ergebnisse Sie zufriedenstellen und Ihnen substanzielle Beweise liefern werden, um den Bedarf für die Lösung gegenüber dem Top-Management zu rechtfertigen.“
Herunterladen
Firmengröße: 1 Milliarde USD
Ü B E R B L I C K
Der Kunde musste die Passwortstärken verstehen, starke Passwörter durchsetzen und Compliance-Anforderungen verwalten.
L Ö S U N G
EPAS: „Die Lösung wurde implementiert und zeigt sofort Vorteile im Umgang mit Passwort-Herausforderungen und der Sicherstellung der Compliance. Die Pre-Sales-Demos waren ebenfalls sehr umfassend und halfen den Stakeholdern, die Fähigkeiten zu verstehen und wie sie die Anwendungsfälle abdecken. Ich kann keine Schwächen im Engagement oder der Lösung feststellen. Ein Maßstab, auf den andere Anbieter meiner Meinung nach abzielen sollten.“
S C H L U S S F O L G E R U N G
„Der Service war reaktionsschnell und detailliert, wenn Fragen aufkamen - von tiefgreifenden technischen Fragen bis hin zu Anleitungen. Die Antworten waren klar und mit Beispielen versehen, sodass wir dies auch nicht-technischen Personen erklären konnten. Das Produkt ist außergewöhnlich - es hält, was es verspricht. Die Berichtsfunktionen sind unbegrenzt und erfüllen alle Anwendungsfälle.“
Herunterladen
Firmengröße: 10 Milliarden USD
Ü B E R B L I C K
Der Kunde musste eine Vielzahl von Anforderungen in einer stark regulierten Umgebung erfüllen und die Cyber-Resilienz durch stärkere Authentifizierung verbessern.
L Ö S U N G
EPAS: „Sehr leistungsstark/gut. Sobald man das Produkt erlernt hat, ist es sehr einfach zu bedienen, und neue Scans können innerhalb von Minuten konfiguriert werden. Es kann eine Vielzahl unterschiedlicher Betriebssysteme/Systeme einschließlich Mainframe scannen. Die Passwort-Scan-Berichte liefern alle notwendigen Informationen, um eine der einfachsten, aber gefährlichsten Sicherheitslücken zu schließen. Das Tool bietet einen Überblicksbericht auf höherer Ebene, der als Nachweis dafür genutzt werden kann, dass Ihre Organisation den Berichtsanforderungen aller staatlichen und bundesstaatlichen Aufsichtsbehörden entspricht.“
S C H L U S S F O L G E R U N G
„Der Anbieter liefert exzellente und gut ausgearbeitete Dokumentationen darüber, wie das Gerät funktioniert, den Einrichtungsprozess und die Konfiguration der Scans. Das Gerät ist äußerst stabil und führt seit 5 Jahren ununterbrochen Passwort-Scans in unserer Umgebung durch, ohne Ausfallzeiten oder Fehler.“
Herunterladen
Firmengröße: 250 Millionen USD
Ü B E R B L I C K
Der Kunde musste Compliance-Anforderungen erfüllen, die Cyber-Resilienz durch stärkere Authentifizierung verbessern und das Bewusstseinstraining optimieren.
L Ö S U N G
EPAS läuft seit 2016 ohne Unterbrechung und sorgt dafür, dass Passwörter sicher sind und hierfür regulatorische Nachweise erbracht werden. Der Projektleiter sagt dazu: „Erste genehmigte und zertifizierte Lösung für die automatisierte Qualitätsanalyse von Passwörtern im Unternehmen, die problemlos installiert und betrieben werden kann und auch den Datenschutzanforderungen entspricht (keine Probleme mit Betriebsrat & Co.).“
S C H L U S S F O L G E R U N G
„Sehr guter Service vom Anbieter, insbesondere im Hinblick auf Feature-Anfragen und Verbesserungen, erstklassiger Hardware-Support (haben neue Hardware erhalten ohne Nachfrage aufgrund von Hardware-Verbesserungen).“
Herunterladen