close

Der Schutz Ihrer vertraulichen Daten ist Keeper ausgesprochen wichtig

Keeper verwendet branchenführende Sicherheitsmaßnahmen, um Ihre Informationen zu schützen und das Risiko von Datenpannen zu minimieren.

Keepers branchenführende Sicherheitsmaßnahmen

Privates Master-Passwort

ALLEIN der Benutzer hat Kenntnis von und Zugriff auf sein Master-Passwort und Schlüssel, die zur Ver- und Entschlüsselung seiner Informationen dienen.

Tiefgehende Verschlüsselung

Die Benutzerdaten werden auf der Geräteebene ver- und entschlüsselt, nicht auf Keeper-Servern oder in der Cloud.

Stärkste Verschlüsselung

Keeper schützt Ihre Daten mit 256-bit-AES-Verschlüsselung und PBKDF2, die weitgehend als sicherste verfügbare Verschlüsselungsmethode gelten.

2-Faktor-Authentifizierung

Keeper verwendet 2-Faktor-Authentifizierung, biometrische Anmeldungsmethoden und Keeper DNA, die persönliche Geräte wie beispielsweise Ihre Smartwatch zur Identitätsbestätigung verwendet.

Sicherer und zuverlässiger Cloud-Tresor

Keeper nutzt Amazon AWS an mehreren geografischen Standorten, um den Keeper Tresor und die -Architektur zu hosten und betreiben, um Kunden den schnellsten und sichersten Cloud-Speicher zu bieten. Daten at rest und in transit sind vollständig in einem vom Kunden bevorzugten globalen Rechenzentrum isoliert.

Überblick

Keeper Security, Inc. (KSI) ist es sehr daran gelegen, die Informationen unserer Kunden mit Keepers mobiler und Desktop-Sicherheitssoftware zu schützen. Millionen von Kunden und Unternehmen vertrauen Keeper die Sicherung und den Zugriff auf Ihre Passwörter und privaten Informationen an.

Keepers Software wird kontinuierlich verbessert, um den Kunden stets die neusten Technologien und Schutzmaßnahmen anbieten zu können. Diese Seite soll einen Überblick über Keepers Sicherheitsarchitektur, Verschlüsselungsmethoden und die Hosting-Umgebung der aktuellen Version bieten. Eine Übersicht, der technischen Details unserer Verschlüsselungs- und Sicherheitsmethoden, wird aufgeführt.

Unsere Datenschutzrichtlinien und Nutzungsbedingungen sind auf unserer Website über den folgenden Links erreichbar:

Datenschutz

KSI hat weder Zugriff auf die Master-Passwörter der Kunden, noch auf die in im Datentresor gespeicherten Datensätze. KSI kann in keiner Weise auf die Geräte seiner Kunden zugreifen oder ihre Daten entschlüsseln. Die einzigen Informationen, über die Keeper Security verfügt, sind die E-Mail-Adresse, Gerätetyp und Abonnementdetails (z. B. Keeper Unlimited) der Benutzer. Nach Verlust oder Diebstahl eines Geräts kann KSI dabei helfen Zugriff auf eine verschlüsselte Backup-Datei zu erhalten, um die Daten nach Ersatz des Gerätes wiederherzustellen.

Informationen, die in Keeper gespeichert und zur Verfügung gestellt werden, sind nur für den Kunden zugänglich, da sie sofort verschlüsselt und vom verwendeten Gerät entschlüsselt werden - selbst bei Verwendung der Keeper Web-App. Bei der von Keeper verwendeten Verschlüsselungsmethode handelt es sich um einen bekannten und bewährten Algorithmus namens AES (Advanced Encryption Standard) mit einer Schlüssellänge von 256 Bit. Der 256-Bit AES-Schlüssel ist eine Verschlüsselung, die Militärstandards entspricht und von der US-Regierung zur Verschlüsselung hoch sensibler Daten verwendet wird. Laut der Veröffentlichung CNSSP-15 des Ausschusses für nationale Sicherheitssysteme, ist AES mit 256-bit Schlüssellänge ausreichend zur sicheren Verschlüsselung von vertraulichen Daten bis hin zu Daten, die von der US-Regierung als STRENG GEHEIM klassifiziert wurden.

Die zur Ver- und Entschlüsselung der Kunden-Datensätze verwendeten Chiffrierschlüssel werden nicht gespeichert oder zu Keepers Cloud Security Vault übertragen. Um die Synchronisierung zwischen mehreren Geräten dennoch zu ermöglichen, wird eine verschlüsselte Version dieses Chiffrierschlüssels im Cloud Security Vault gespeichert und den mit dem Benutzerkonto verknüpften Geräten zur Verfügung gestellt. Dieser verschlüsselte Chiffrierschlüssel kann nur auf dem Gerät für die weitere Verwendung als Chiffrierschlüssel verwendet werden.

Datenschutz

Stärke des Master-Passworts

Es wird dringend empfohlen, für das Keeper-Konto ein besonders starkes Master-Passwort zu wählen. Das Master-Passwort sollte nirgendwo anders als bei Keeper verwendet und an keine anderen Personen weitergegeben werden.

Zwei-Faktor-Authentifizierung

Um Kundenkonten vor unberechtigtem Zugriff Dritter zu schützen, bietet Keeper außerdem die Zwei-Faktor-Authentifizierung. Die Zwei-Faktor-Authentifizierung ist eine Authentifizierungsmethode, bei der zwei oder mehr dieser drei Authentifizierungsfaktoren benötigt werden: Faktor 'Wissen', Faktor 'Besitz' und Faktor 'Sein'. Für weitere Informationen zur Zwei-Faktor-Authentifizierung, besuchen Sie diesen Link.

Keeper verwendet etwas, das Sie wissen (Ihr Passwort) und etwas, das Sie besitzen (Ihr Handy), um Benutzer zusätzliche Sicherheit zu bieten, falls Sie Ihr Master-Passwort oder Gerät abhanden kommt. Hierfür generieren wir TOTPs (Time-based One-Time Passwords).

Keeper generiert einen privaten 10-Byte-Schlüssel mithilfe eines sicheren, kryptographischen Zufallszahlengenerators. Dieser Code ist etwa eine Minute gültig und wird dem Benutzer via SMS, Google Authenticator oder auf ein mit Keeper-DNA kompatibles Gerät gesendet.

Wenn Sie den Google Authenticator auf Ihrem Mobilgerät verwenden, generiert der Keeper Server intern einen QR-Code mit Ihrem privaten Schlüssel, der niemals an Dritte weitergeleitet wird. Jedes Mal, wenn der Benutzer die Zwei-Faktor-Authentifizierung deaktiviert und wieder aktiviert, wird ein neuer privater Schlüssel erzeugt.

Um die Zwei-Faktor-Authentifizierung zu aktivieren, gehen Sie bitte zu den 'Einstellungen' in der Keeper Web- App.

FIDO (U2F) Sicherheitsschlüssel

Keeper unterstützt FIDO-kompatibel U2F hardwarebasierte Sicherheitsschlüssel wie YubiKey als zweiten Faktor. Sicherheitsschlüssel bieten einen bequemen und sicheren Wege, eine Zwei-Faktor-Authentifizierung auszuführen, ohne manuell einen 6-stelligen Code eingeben zu müssen. Es können mehrere Sicherheitsschlüssel für einen Benutzertresor konfiguriert werden. Für Plattformen, die keine Sicherheitsschlüssel erlauben, müssen Benutzer möglicherweise auf andere konfigurierte 2FA-Methoden zurückgreifen. Um einen Sicherheitsschlüssel und andere Zwei-Faktor-Authentifizierungsmethoden zu konfigurieren, gehen Sie bitte zu den 'Einstellungen' der Keeper-App.

Notfallzugriff (Digitales Erbe)

Keeper erlaubt bis zu fünf Notfallkontakte, die im Falle eines Notfalls auf Ihren Tresor zugreifen dürfen. Sobald ein bestimmter Zeitraum vergangen ist, erhält der Notfallkontakt den Zugriff auf den Tresor des betroffenen Benutzers. Der Prozess der Tresorfreigabe basiert auf einer Zero-Knowledge-Sicherheitsstruktur. Auch das Master-Password wird niemals direkt freigegeben. Es wird eine RSA-Verschlüsselung verwendet, um den 256-Bit-AES-Schlüssel mit dem Notfallkontakt, nach Ablauf der Wartezeit (festgelegt durch den Benutzer) mitzuteilen. Daher müssen die Notfall-Kontakte über ein Keeper-Konto verfügen (und über ein öffentliches/privates RSA-Schlüsselpaar), um die Einladung anzunehmen.

Konto Wiederherstellung

Im Verlauf der Konto Erstellung, wird der Benutzer aufgefordert ein Sicherheits-Frage/Antwort Paar zu generieren. Ebenfalls zum Zeitpunkt der Konto Erstellung erzeugt Keeper einen allgemeinen Datenschlüssel, welcher zum Verschlüsseln und Entschlüsseln der individuellen Datensatzschlüssel, die mit den jeweiligen Datensätzen zusammen gespeichert sind, dient. Der allgemeine Datenschlüssel des Benutzers wird mit dem Master Passwort des Benutzers verschlüsselt. Also das Master Passwort ver/entschlüsselt den allgemeinen Datenschlüssel und dieser ver/entschlüsselt dann den Datensatz-Datenschlüssel des individuellen Datensatzes. Jeder Datensatz ist mit einem individuellen Datensatzschlüssel geschützt.

Konto Wiederherstellung funktioniert durch das Abspeichern eines zweiten redundanten allgemeinen Datenschlüssels, welcher mit dem ausgewählten Sicherheits-Frage/Antwort Paar verschlüsselt wird. Um eine Tresor Wiederherstellung durchzuführen, muss der Benutzer die Sicherheits-Antwort sowie einen Verifikationscode, welcher via Email übermittelt wird, eingeben. Zusätzlich ist die Eingabe des Zwei-Faktor-Authentifizierungs-Codes erforderlich, falls dies im Konto aktiviert ist. Keeper empfiehlt die Generierung einer starken Sicherheits-Frage/Antwort Kombination. Ausserdem empfehlen wir die Zwei-Faktor-Authentifizierung stets zu aktivieren. Dies kann man in den Einstellungen innerhalb des Keeper Tresor vornehmen. Die Zwei-Faktor-Authentifizierung kann auch im Unternehmen über die Admin Konsole eingestellt und für alle Mitarbeiter zwingend eforderlich gemacht werden.

Clientverschlüsselung

Die Daten werden auf den Benutzergeräten, nicht im Cloud Security Vault verschlüsselt. Wir nenne diesen Vorgang "Client-Verschlüsselung", da der Client (d.h. iPhone, Android-Gerät, Web-App, usw.) die Verschlüsselung übernimmt. Der Cloud Security Vault speichert eine binäre Rohdatei, die für einen Eindringling nutzlos ist. Selbst wenn die Daten während der Übertragung zwischen dem Client-Gerät und dem Cloud Security Vault abgegriffen werden, können sie nicht entschlüsselt werden oder zum Angriff auf oder zur Beeinträchtigung der privaten Nutzerdaten führen.
Zur Entschlüsselung oder dem Hacken eines 256-Bit Schlüssels wird die 2128-fache Rechenleistung eines 128-Bit Schlüssels benötigt. Theoretisch würde ein Gerät somit 3×1051 Jahre benötigen, bis der Schlüsselraum erschöpft ist.

Clientverschlüsselung

Teilen

Jeder Benutzer verfügt über ein 2048-Bit RSA-Schlüsselpaar, das für die Freigabe verwendet wird. Freigegebene Tresordaten sind mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Der Empfänger entschlüsselt den Datensatz mit seinem privaten Schlüssel. So kann der Benutzer Datensätze nur an den vorgesehenen Empfänger freigeben, da nur dieser die Datensätze entschlüsseln kann.

Schlüsselerzeugung

Keeper verwendet PBKDF2 mit HMAC-SHA256, um das Master-Passwort des Nutzers mit einer 256-bit-Verschlüsselung und 100,000 Runden PBKDF2 Iterationen zu konvertieren.

Der vom Master-Passwort erzeugte Schlüssel wird nicht direkt zur Verschlüsselung der Nutzerdaten verwendet, sondern zur Verschlüsselung eines weiteren Schlüssels: Dieser Datenschlüssel wird zur Verschlüsselung von Daten oder anderen Schlüsseln, z. B. der geheimen RSA-Schlüssel, verwendet.

Alle Schlüssel, die nicht direkt vom Master-Passwort des Benutzers generiert wurden, werden von einem kryptographischen Zufallszahlengenerator auf dem Gerät des Benutzers generiert, darunter der Datenschlüssel sowie das RSA-Schlüsselpaar auf dem Gerät. Da die Schlüssel auf den Geräten erzeugt werden (nicht im Keepers Cloud Security Vault), hat Keeper keinen Zugang zu den Schlüsseln der Benutzer.

Schlüsselspeicherung

Alle privaten Schlüssel, die gespeichert werden müssen (wie der private RSA-Schlüssel jedes Benutzers und der Datenschlüssel), werden vor der Speicherung oder Übertragung verschlüsselt. Zur Entschlüsselung aller Schlüssel wird das Master-Passwort des Benutzers benötigt. Da Keepers Cloud Security Vault KEINEN Zugriff auf die Master-Passwörter der Benutzer hat, können wir Ihre Schlüssel oder Daten nicht entschlüsseln.

Keeper Cloud Sicherheitstresor

Der Begriff “Cloud Security Vault” bezieht sich auf KSIs geschützte Software- und Netzwerkarchitektur, die physisch innerhalb der Amazon-Web-Services-Infrastruktur (AWS) bereitgestellt wird.

Wenn Benutzer ihre Keeper-Tresordaten mit anderen, zu ihrem Konto gehörigen Geräten synchronisieren, werden die verschlüsselten Binärdaten über einen verschlüsselten TLS-Tunnel übertragen und in verschlüsselter Form in Keepers Cloud Security Vault gespeichert.

Datensatzverlauf

Keeper erhält den vollständigen verschlüsselten Versionsverlauf jedes Datensatzes, der im Tresor des Benutzers gespeichert ist, und stellt sicher, dass keine kritischen Daten jemals verloren gehen. Von der Keeper-Client-Anwendung können Benutzer den Datensatzverlauf untersuchen und eine Wiederherstellung eines einzelnen Tresor-Datensatzes durchführen. Wenn ein gespeichertes Passwort oder eine Datei in Keeper geändert oder gelöscht wird, haben die Benutzer immer die Möglichkeit, eine punktuelle Wiederherstellung durchzuführen.

Keeper Business

Keeper Geschäftskunden erhalten zusätzliche Kontrolle über Ihre Benutzer und Geräte. Keeper-Administratoren erhalten Zugriff auf eine Cloud-basierte Administratorkonsole, die volle Kontrolle über Benutzereinbindung und -entfernung, rollenbasierte Berechtigungen, delegierte Administration, Teams, Active Directory/LDAP-Integration, Zwei-Faktor-Authentifizierung, Single Sign-On und Sicherheitsrichtlinien bietet. Die rollenbasierten Sicherheitsrichtlinien von Keeper sind für jedes Unternehmen völlig anpassbar und skalierbar.

Keeper Business

Rollen, Teams, geteilte Ordner und zugewiesene Administration

Keeper for Business bietet eine Reihe von Steuerungselementen zur Kontrolle von Organisationseinheiten, Rollen, Teams und geteilten Ordnern. Die leistungsstarken Keeper Funktionen bieten umfangreiche Sicherheitsebenen, die sowohl eingeschränkten Zugriff als auch umfassende delegierte Administration ermöglichen.

Auf der Verschlüsselungsebene erhält jeder auf der Keeper Plattform gespeicherte Datensatz (z.B. Passwort oder Anmeldedaten) eine einzigartige Kennung (Datensatz-UID genannt). Jeder Datensatz ist mit einem Datensatzschlüssel verschlüsselt. Geteilte Ordner haben einen geteilten Ordnerschlüssel, jedes Team hat einen Teamschlüssel und jeder Benutzer hat einen Benutzerschlüssel. Jede Rolle, die die Übertragbarkeit des Benutzerkontos erfordert, erhält einen Rollendurchsetzungsschlüssel. Derzeit nicht verwendete Daten auf dem Benutzergerät werden mit dem Benutzerschlüssel verschlüsselt. Der Benutzerschlüssel ist durch das Master-Passwort des Benutzers gesichert.

Datensätze werden zu einem Ordner hinzugefügt, indem der Datensatz mit einem geteilten Ordnerschlüssel verschlüsselt wird. Datensätze werden direkt mit einem Benutzer geteilt, indem der Datensatzschlüssel mit dem Benutzerschlüssel verschlüsselt wird. Benutzer werden zu einem geteilten Ordner hinzugefügt, indem der geteilte Ordnerschlüssel mit dem Benutzerschlüssel verschlüsselt wird. Teams werden zu einem geteilten Ordner hinzugefügt, indem der geteilte Ordnerschlüssel mit einem Teamschlüssel verschlüsselt wird. Benutzer werden zu einem Team hinzugefügt, indem der Teamschlüssel mit dem Benutzerschlüssel verschlüsselt wird.

Für Rollen, die die Übertragbarkeit eines Benutzerkontos fordern gilt:

Der Durchsetzungsschlüssel ist mit jedem Adminschlüssel verschlüsselt, dem die Ausführung der Übertragung gestattet ist.

(Hinweise: separate Übertragungen, die unterschiedliche Benutzergruppen betreffen, müssen möglicherweise von unterschiedlichen Admingruppen ausgeführt werden.)

Kontenordnerschlüssel werden (für Benutzer in entsprechenden Rollen) erstellt und mit einem Durchsetzungsschlüssel verschlüsselt. Für alle Datensätze und geteilten Ordner eines Benutzers werden die jeweiligen Schlüssel mit dem Kontoordnerschlüssel verschlüsselt.

Die Übertragung eines Kontos wird ausgeführt, indem es zunächst gesperrt, dann übertragen und gelöscht wird. Hierdurch wird sichergestellt, dass dieser Vorgang nicht im geheimen ausgeführt wird. Die Kontoordnerschlüssel und Metatdaten ermöglichen die spätere Entschlüsselung der Datensatzdaten, während ein direkter Zugriff verhindert wird. Die Datensätze können also nur verwendet werden, nachdem sie einem bestimmten Benutzer zugeordnet wurden und der Zugriff durch Dritte verhindert wurde.

Die gesamte Verschlüsselung wird auf der Client-Seite durchgeführt und für Keeper ist es zu keinem Zeitpunkt möglich, die geteilten oder übertragenen Informationen zu entschlüsseln. Außerdem werden Benutzerschlüssel niemals geteilt. Wenn ein Benutzer aus einem Team, einem geteilten Ordner oder von anderen geteilten Daten entfernt wird, erhält er keine neuen Daten, geteilten Ordner oder Datensätze von dem Team. Obwohl der Schlüssel durch diesen Benutzer beeinträchtigt ist, kann er nicht mehr für den Zugriff auf Daten verwendet werden.

Verschiedene Administratorrechte können einzelnen hierarchischen Ebenen zugeordnet werden, die es Mitgliedern mit privilegierten Rollen ermöglichen, Befehle in unserer Keeper Adminkonsole auszuführen.

Richtlinien der Server-Seite und Client-Seite können ebenfalls Rollen zugeordnet werden, um das Verhalten von Clients für Gruppen oder Einzelbenutzer vorzuschreiben.

Teams ermöglichen die einfache Verbreitung von geteilten Ordnern an Benutzergruppen.

Keeper Active Directory/LDAP Bridge

Die Keeper Bridge lässt sich mit Active Directory und LDAP-Servern zur Bereitstellung und Eingliederung von Benutzern integrieren. Die Keeper Bridge Kommunikation wird zunächst von einem Administrator mit dem Recht zur Verwaltung der Bridge genehmigt. Ein Übertragungsschlüssel wird erstellt und für jegliche zukünftige Kommunikation mit Keeper geteilt. Die Verwendung des Übertragungsschlüssels stellt die Autorisierung für alle von der Bridge ausgeführten Funktionen dar, abgesehen von der Initialisierung der Bridge. Der Übertragungsschlüssel kann jederzeit wiederhergestellt werden und ändert sich alle 30 Tage.

Der Übertragungsschlüssel dient ausschließlich zur Übertragung, was bedeutet, dass ein beeinträchtigter Schlüssel ohne Datenverlust oder Genehmigung reinitialisiert oder widerrufen wird.

Die Keeper Bridge erteilt keine Rechte an bestimmte Rollen oder Benutzer. Sie kann einen Benutzer eine privilegierte Rolle zuordnen, solange keine Durchsetzungsschlüssel benötigt werden. Die Keeper Bridge kann jedoch weder sich selbst noch einen anderen Benutzer über eine ihm zugeordnete Rolle in der Hierarchie erheben. Nicht alle Funktionen sind für die Bridge verfügbar, d.h. die Bridge kann aktive Benutzer deaktivieren, diese jedoch nicht löschen. Der Admin kann dann entscheiden, ob der Benutzer gelöscht oder übertragen werden soll.

Single Sign-On (SAML 2.0) Authentifizierung

Keeper kann von Keeper Geschäftskunden so konfiguriert werden, um Benutzer mit deren Keeper-Tresoren mithilfe von Identitätsverwaltungsprogrammen, die den Standard SAML 2.0 nutzen, zu authentifizieren. Keeper ist ein vorkonfigurierter Dienstleister für alle wichtigen SSO-Identitätsanbieter wie Google Apps, Microsoft Azure, Okta, Ping Identity und vielen mehr. Der Mechanismus, den Keeper zur Authentifizierung von Benutzern mit deren Tresoren in der Zero-Knowledge-Umgebung verwendet, ist zum Patent angemeldete und heißt Keeper SSO Connect™. Keeper SSO Connect™ ist eine Softwareanwendung, die Keeper-Business-Administratoren in ihrer eigenen Infrastruktur installieren (entweder vor Ort oder in der Cloud), und die als SAML 2.0-Serviceprovider-Endpunkt fungiert. Wenn dies von einem bestimmten Unternehmen aktiviert ist, verwaltet Keeper SSO Connect™ alle Verschlüsselungsschlüssel für Keeper Geschäftskunden und deren Endnutzer. Nach erfolgreicher Authentifizierung durch den Single Sign-On-Identitätsanbieter, wird der Benutzer mit den erforderlichen Verschlüsselungsschlüsseln zur Entschlüsselung des Tresors bei Keeper angemeldet. Die Keeper SSO Connect™ Software ist kompatibel mit Windows, Mac und Linux.

Keeper SSO Connect™

Um Zero-Knowledge Sicherheit und nahtlose SSO Erfahrungen für die Benutzer zu gewährleisten, mus Keeper SSO Connect™ auf einem vom Kunden betriebenen Server installiert werden. Der Dienst kann entweder On-Premise oder in der Cloud unter Microsoft Windows, Mac OS oder Linux betrieben werden. HA (HIgh Availability) und Load-Balancing sind dabei vollständig unterstützt.

Keeper SSO Connect™ generiert und verwaltet automatisch das jeweilige Benutzer Master Passwort in der Form eines 256-bit Schlüssels. Das individuelle Master Passwort eines jeden Benutzers ist mit dem SSO Schlüssel verschlüsselt. Der SSO Schlüssel wiederum ist mit dem Knotenschlüssel des SSO Knoten verschlüsselt. Während der Startphase wird der SSO Schlüssel durch den Keeper SSO Connect™ Dienst vom Server heruntergeladen. Um das automatische Starten des SSO Dienstes zu gewährleisten, wird der Knotenschlüssel lokal gespeichert, und während des Dienststarts entschlüsselt dieser den SSO Schlüssel. Die Kommunikation zwischen dem SSO Connect™ Dienst und der Keeper Cloud wird mittles eines separaten Übertragungsschlüssels abgesichert.

Schutz gegen Cross-Scripting-Angriffe (XSS)

Der Keeper-Webtresor bietet eine strikte Inhaltssicherheitsregel, die alle von außen kommenden Anfragen einschränkt und die Ausführung von Scripten blockiert, sofern sie nicht direkt von Keeper stammen. Zu den blockierten Script-Arten zählen Inline-Scripte und Event-Handler-HTML-Attribute. Mit diesen Vorkehrungen minimieren Sie das Risiko eines Cross-Site-Scripting-Angriffs.


Der Zugriff auf die Domänen KeeperSecurity.com und KeeperSecurity.eu ist beschränkt auf HTTPS mit TLS 1.2, was durch HTTP Strict Transport Security umgesetzt wird. So wird eine große Bandbreite an Paket-Sniffing-, Datenmodifizierungs- und Man-In-The-Middle-Angriffen verhindert.


In der Keeper-Browsererweiterung wird Sie Keeper niemals auffordern, sich innerhalb eines Seiten-Frames beim Keeper-Tresor anzumelden. Die Anmeldung erfolgt ausschließlich in der Toolbar der Keeper-Browsererweiterung. Die Anmeldung bei Ihrem Tresor erfolgt im Browser entweder nur auf den Domänen KeeperSecurity.com oder KeeperSecurity.eu oder in der Toolbar der Keeper-Browsererweiterung und niemals direkt im Inhaltsanzeigebereich des Browsers.


Die Keeper-Browsererweiterung für Chrome, Firefox, Edge und Opera verwendet iFrames für die Injektion von Datensätzen auf den Anmeldeseiten von Webseiten. Somit soll verhindert werden, dass bösartige Webseiten Zugriff auf die eingefügten Daten erhalten. Per iFrame eingefügte Daten sind zudem auf die im Datensatz im Tresor gespeicherten Domänen der Zielwebseite beschränkt. Keeper wird AutoFill nur dann anbieten, wenn die Webseitendomäne mit den Daten im Tresordatensatz übereinstimmt.


Die Erweiterung für Internet Explorer nutzt eine separate, native Fensteranwendung für Anmeldungen und den Zugriff auf Datensätze. Das separate Fenster ist nicht anfällig für XSS-Angriffe, da es über den Browser nicht zugänglich ist. So kann die Erweiterung für Internet Explorer die Anmeldung direkt in einer Webseite anbieten. Die Erweiterung wird keine Datensätze anzeigen, wenn die Webseiten-Root-Domäne nicht mit den im Datensatz gespeicherten Informationen übereinstimmt.


Erweiterungen von Drittanbietern verfügen möglicherweise über höhere Berechtigungen im Browser und können auf Daten in einer Webseite zugreifen. Wir empfehlen daher, dass Keeper-Administratoren die Installation von nicht genehmigten Erweiterungen im Browser aus den Erweiterungsbibliotheken der Browseranbieter durch Benutzer verhindern.

Offline-Modus

Der Offline-Modus erlaubt es Benutzern, auf ihren Tresor zuzugreifen, obwohl sie keine Verbindung zu Keeper oder ihrem SSO-Identitätsdienst herstellen können. Die Funktion steht in der Mobil-App, Desktop-App von Keeper zur Verfügung und kann für Unternehmenskunden auch auf bestimmt Internetbrowser erweitert werden.


Das funktioniert, indem Keeper eine Kopie des Tresors auf einem lokalen Speichermedium anlegt. Die so gespeicherten Daten sind AES-GCM-verschlüsselt mit einer 256-Bit-Client-Verschlüsselung, die zufällig erstellt wird und durch PBKDF2-HMAC-SHA512 mit bis zu 100.000 Iterationen und zufälligem Salt geschützt ist. Das Salt und die Iterationen werden lokal gespeichert. Mit der Eingabe des Master-Passworts durch Benutzer wird ein Schlüssel aus dem Salt und den Iterationen abgeleitet und es wird versucht, die Client-Verschlüsselung zu entschlüsseln. Die Client-Verschlüsselung wird dann zur Entschlüsselung der lokal gespeicherten Datensätze verwendet. Sollte der Selbstzerstörungsschutz für den Tresor des Benutzers aktiviert sein, werden nach 5 Anmeldungsfehlversuchen alle lokal gespeicherten Tresordaten gelöscht.

Netzwerkarchitektur

KSI benutzt Amazon AWS in Nordamerika und Europa für lokalisierten Datenschutz und geographische Trennung, um die Keeper-Lösung und deren Architektur zu hosten und zu betreiben. Amazon AWS ermöglicht Keeper die nahtlose Skalierung von Ressourcen anhand der jeweiligen Nachfrage und bietet Keeper-Kunden die schnellste und sicherste der verfügbaren Cloud-Speicherumgebungen. KSI betreibt sowohl Multizonen- als auch Multiregionen-Umgebungen, um Verfügbarkeitszeiten zu maximieren und schnellstmögliche Reaktionszeiten zu gewährleisten.

Netzwerkarchitektur

Serverauthentifizierung

Der Keeper Cloud Security Vault wird durch eine API geschützt, die jeden Zugriffsversuch von Benutzergeräten individuell autorisiert. Auf den Benutzergeräten wird mittels PBKDF2-HMAC-SHA256 und einem zufälligen Salt aus dem Master-Passwort ein 256-Bit-Authentifizierungsschlüssel generiert. Der Authentifizierungs-Hash wird durch Hashing des Authentifizierungsschlüssels mittels SHA-256 generiert. Zur Anmeldung wird dieser Authentifizierungs-Hash mit dem Authentifizierungs-Hash verglichen, der im Cloud Security Vault hinterlegt ist. Nach der Anmeldung wird ein Sitzungstoken erstellt und vom Benutzergerät für weitere Anfragen verwendet. Dieser Authentifizierungs-Token muss alle 30 Minuten oder bei einer Serveranfrage erneuert werden.

Netzwerkarchitektur

Transport-Layer-Verschlüsselung

KSI unterstützt 256-Bit und 128-Bit TLS zur Verschlüsselung der gesamten Datenübertragung zwischen der Benutzeranwendung und KSIs Cloud-Speicherlösung. Dieser Verschlüsselungsstärke vertrauen täglich auch Millionen von Privatpersonen und Unternehmen bei Webtransaktionen, die ein hohes Maß an Sicherheit voraussetzen, wie Online-Banking, Online-Shopping, Aktienhandel, Zugriff auf medizinische Daten und elektronische Steuererklärungen.

KSI verwendet TLS-Zertifikate von Digicert, die mithilfe des SHA2-Algorithmus, dem derzeit sichersten, kommerziell verfügbaren Signaturalgorithmus, verschlüsselt werden. SHA2 ist wesentlich sicherer als das weit verbreitete SHA1, das aufgrund von mathematischen Schwächen im Algorithmus ausgehebelt werden kann. SHA2 trägt zum Schutz gegen die Ausstellung von gefälschten Zertifikaten bei, die von Angreifern zur Simulation von Webseiten verwendet werden könnten.

Des Weiteren unterstützt KSI Certificate Transparency (CT), eine neue Initiative von Google zur Erstellung einer öffentlich prüfbaren Aufzeichnung von Zertifikaten, die von Zertifizierungsstellen signiert werden. CT hilft beim Schutz gegen die Ausstellung von Zertifikaten von unbefugten Dritten. CT wird derzeit von der neusten Version vom Chrome Webbrowser unterstützt. Weitere Informationen zur Certificate Transparancy finden Sie unter: http://www.certificate-transparency.org/

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256

Key Pinning

Keepers native Clients wenden den Mechanismus "HTTP Public Key Pinning" (HPKP) an. Dabei handelt es sich um einen Sicherheitsmechanismus, der es HTTPS-Webseiten ermöglicht, sich gegen Nachahmungen durch Angreifer mithilfe von gefälschten Zertifikaten zu wehren.

iOS-Schlüsselbund und Touch ID®

Die Touch ID auf iOS-Geräten ermöglicht den Zugriff auf Ihren Keeper-Datentresor mithilfe Ihres Fingerabdruckes. Eine verschlüsselte Version des Master-Passwortes wird im iOS-Schlüsselbund gespeichert, um diese nützliche Funktion zur Verfügung stellen zu können. Das hierfür erstellte iOS-Schlüsselbund-Element wird nicht mit dem iOS-Schlüsselbund synchronisiert und wird daher Ihr iOS-Gerät auch nicht verlassen.

Wir empfehlen Ihnen dringlichst, ein komplexes Master-Passwort zu verwenden und Mehr-Faktor-Authentifizierung zu aktivieren, um die höchstmögliche Sicherheit für Ihren Keeper-Datentresor zu garantieren. Touch ID macht die Verwendung eines komplexen Master-Passwortes auf Ihrem mobilen iOS-Gerät noch einfacher. Darüber hinaus empfehlen wir zur Verschlüsselung des iOS-Schlüsselbundes die Verwendung eines Codes, der mehr als die vorgeschriebenen vier Ziffern enthält.

Der iOS-Schlüsselbund wird von iOS und Apps zur sicheren Speicherung von Anmeldedaten verwendet. IOS-Apps verwenden den Schlüsselbund zur Speicherung sensibler Daten aller Art, einschließlich Webseiten-Anmeldedaten, Schlüssel, Kreditkartendaten und Apple Pay™-Informationen. Keeper verwendet den iOS-Schlüsselbund nicht zur Speicherung Ihrer Keeper-Datensätze. Alle Keeper-Datensätze sind durch eine 256-Bit AES Verschlüsselung durch den Geräte-Code geschützt. Selbst bei Verlust, Diebstahl oder für den Fall, dass ein Dritter Zugriff auf Ihr Mobilgerät erlangt, ist den Angreifern der Zugriff auf Ihre Keeper-Datensätze nicht möglich. Der iOS-Schlüsselbund kann ohne den Code nicht entschlüsselt und der Keeper-Datentresor kann nicht ohne das Master-Passwort des Benutzers entschlüsselt werden.

Apple Watch®

Die Apple Watch Favoriten-Funktion ermöglicht die Darstellung ausgewählter Datensätze auf einer gekoppelten Apple Watch. Die Keeper-Datensätze müssen ausdrücklich zur Ansicht auf der Apple Watch freigegeben sein. Eine gekoppelte Apple Watch kommuniziert mit der Keeper Uhren-Erweiterung, die separat in einem von der iOS Keeper App abgetrennten Bereich ausgeführt wird. Die Keeper Uhren-Erweiterung verwendet ebenfalls den iOS-Schlüsselbund zur sicheren Speicherung und Zugriff auf Schlüssel, um reibungslos und sicher mit der iOS Keeper App zu kommunizieren.

Keeper DNA®

Keeper DNA ist eine neue und innovative Ergänzung der Mehr-Faktor-Authentifizierung. Bei Verwendung mit einer Apple Watch bietet sie eine Mehr-Faktor-Authentifizierungsmethode, die in Sachen Benutzerfreundlichkeit und Sicherheit einmalig ist. Keeper DNA verwendet sichere im Keeper-Datentresor gespeicherte Token, um zeitbasierte Codes zur Mehr-Faktor-Authentifizierung zu erstellen. Diese zeitbasierten Authentifizierungsanfragen können mit einem Fingertippen auf den Bildschirm von der Apple Watch aus bestätigt und automatisch gesendet oder vom Benutzer manuell eingegeben werden. Mehrere Verschlüsselungsschichten, die Touch ID und Mehr-Faktor-Authentifizierung machen Keeper DNA zur derzeit eleganteste, sicherste und fortschrittlichste Authentifizierungsmethode.

Konformität & Überprüfung

Zertifizierte SOC 2-Einhaltung

Die Tresordaten von Kunden bleiben mittels strenger und eng überwachter interner Kontrollmethoden geschützt. Keeper besitzt die Zertifizierung für SOC 2 Typ 2 gemäß den Vorschriften der AICPA Service Organization. Die SOC 2 Zertifizierung hilft dabei, Ihren Datentresor anhand der Implementierung standardisierter Kontrollen zu sichern, gemäß der Definition im Rahmen der AICPA Trust Service Principles.

Zertifiziert nach ISO 27001 (Informationsverwaltungssystem)

Keeper ist zertifiziert nach ISO 27001. Die Zertifizierung umfasst das Informationsverwaltungssystem von Keeper Security, auf dem die Keeper Enterprise-Plattform aufbaut. Die Zertifizierung nach ISO 27001 umfasst weiterhin die Verwaltung und Operation des digitalen Tresors, der Cloud-Dienste, Software und Anwendungsentwicklung und den Schutz digitaler Werte im digitalen Tresor und in den Cloud-Diensten.

Einhaltung der Datenschutz-Grundverordnung der EU (GDPR)

Keeper entspricht der DSGVO und wir sehen uns dazu verpflichtet sicherzustellen, dass unsere Geschäftsabläufe und Produkte weiterhin den Richtlinien für unsere Kunden in der Europäischen Union entsprechen.. Klicken Sie hier, um mehr über Keepers Einhaltung der DSGVO zu erfahren und eine Datenverarbeitungsvereinbarung herunterzuladen.

Schutz von Patientendaten

Die Keeper-Software entspricht den globalen Standards zum Schutz medizinischer Daten und deckt ohne Beschränkung den HIPAA (Health Insurance Portability and Accountability Act) und DPA (Data Protection Act) mit ab.

Rigorose Sicherheitstests

Keeper lässt von Expertenunternehmen wie Secarma, Rhino Security und andere unabhängige Forschungsinstituten regelmäßig Penetrationstest bei unseren Produkten und Systemen durchführen. Keeper unterhält auch eine Partnerschaft mit Bugcrowd, um unser Schwachstellen-Bekanntmachungsprogramm (Vulnerability Disclosure Program, VDP) zu verwalten.

Externe Sicherheitsanalysen & Penetrationstests

KSI wird täglich von McAfee Secure überprüft, um sicherzustellen, dass die Keeper Web-Anwendung und Keepers Cloud Security Vault vor Remote-Exploits, Schwachstellen und Denial-of-Service-Angriffen geschützt sind. Das McAfee Sicherheitssiegel wird auf der Keeper Website angezeigt, um tägliche Tests der Keeper-Website, Webanwendung und Cloud Security Vault zu bestätigen.

Ein umfassender externer Sicherheitsscan der Keeper-Website, Web-Anwendung und Keeper Security Vault wird monatlich von McAfee Secure durchgeführt. Keeper-Mitarbeiter veranlassen auf Anfrage, in regelmäßigen Abständen, externe Scans durch McAfee Secure.

Zahlungsabwicklung und PCI-Konformität

KSI nutzt PayPal Payments Pro zur sicheren Abwicklung von Kredit- und Debitkartenzahlungen über die KSI-Zahlungswebsite. PayPal Payments Pro ist eine voll PCI-DSS-konforme Transaktionsverarbeitungslösung.

Die Einhaltung von PCI-DSS durch KSI wird von McAfee Secure zertifiziert.

EU-US Privacy Shield

Der Keeper Webclient, die Android-App, Windows Phone-App, IPhone/IPad-App und Browser-Erweiterungen entsprechen der 'EU Privacy Shield‘-Vereinbarung im Rahmen des EU-U.S. Privacy Shield Programmes des US-Handelsministeriums, in Übereinstimmung mit der Datenschutzrichtlinie der Europäischen Kommission.
Weitere Informationen zum Safe-Harbor-Abkommen zwischen dem US-Handelsministerium und der EU finden Sie unter https://www.privacyshield.gov

Lizenzierte Ausfuhr unter EAR des US-Handelsministeriums

Keeper ist vom Bureau of Industry and Security des US-Handelsministeriums unter der ECCC-Nummer (Export Commodity Classification Control Number) 5D992 im Rahmen der Export Administration Regulations (EAR) für die Ausfuhr zugelassen.
Weitere Informationen über EAR: http://www.bis.doc.gov

Remote-Überwachung rund um die Uhr

Keeper wird rund um die Uhr von einem Überwachungsnetzwerk überwacht, um sicherzustellen, dass unsere Website und der Cloud Security Vault weltweit verfügbar sind.

Sollten Sie Fragen bezüglich dieser Sicherheitsinformationen haben, bitten wir Sie uns zu kontaktieren.

Phishing und Spoofing

Wenn Sie eine E-Mail, die angeblich von KSI gesendet wurde, erhalten und unsicher sind, ob das tatsächlich der Fall ist, könnte es sich dabei um eine "Phishing-E-Mail" handeln, bei der die Absender-Adresse gefälscht oder manipuliert wurde. In diesem Fall könnte die E-Mail Links zu einer Website, die wie KeeperSecurity.com aussieht, aber nicht ist, enthalten. Die Website könnte Sie nach Ihrem Keeper Security-Master-Passwort fragen oder versuchen unerwünschte Software auf Ihrem Computer zu installieren, um persönliche Daten zu stehlen oder auf Ihren Computer zuzugreifen. Andere E-Mails könnten Links enthalten, die Sie auf andere, potentiell gefährliche, Websites weiterleiten. Der Nachricht könnten ebenfalls Anhänge beigefügt sein, die in der Regel unerwünschte Software, sogenannte "Malware", enthalten. Falls Sie sich bei einer E-Mail in Ihrem Posteingang nicht sicher sind, sollten Sie diese löschen, ohne vorher auf enthaltene Links zu klicken oder Anhänge zu öffnen.

Wenn Sie eine E-Mail, die angeblich von KSI ist, von der Sie aber denken, dass es sich um eine Fälschung handelt, melden möchten oder weitere Sicherheitsfragen in Bezug auf KSI haben, bitte wir Sie uns zu kontaktieren.

Zertifizierte Hosting-Infrastruktur mit höchsten Branchenstandards

Die Keeper Website und Cloudspeicherung läuft auf der sicheren Cloudcomputing-Infrastruktur von Amazon Web Services (AWS). Die AWS Cloud-Infrastruktur, auf der Keepers Systemarchitektur aufbaut, erhielt die folgenden Bescheinigungen, Prüfberichte und Zertifizierungen:

  • SOC 1 / SSAE 16 / ISAE 3402
    (SAS70)
  • SOC 2
  • SOC 3
  • PCI DSS Level 1
  • ISO 27001
  • FedRamp
  • DIACAP
  • FISMA
  • ITAC
  • FIPS 140-2
  • CSA
  • MPAA

Schwachstellen-Bekanntmachungs- und Bug-Bounty-Programm

Keeper Security sieht es die Erfüllung industrieweiter bewährter Praktiken zur Veröffentlichung von potenziellen Sicherheitsschwachstellen als elementare Verantwortung. Wir nehmen die Sicherheit Ihrer Daten äußerst ernst und verpflichten uns dem Schutz Ihrer persönlichen Daten. Die Mission von KSI ist die Schaffung der weltweit am besten geschützten und innovativsten Sicherheits-Apps. Aus diesem Grund glauben wir, dass Fehlerberichte unserer weltweiten Gemeinschaft von Sicherheitsforschern einen wertvollen Beitrag zur Gewährleistung der Sicherheit von KSI-Produkten und -Diensten leisten kann.


Die Gewährleistung der Sicherheit unserer Kunden ist Kernbestandteil unserer Unternehmensphilosophie. Wir schätzen Hinweise und Informationen von Hackern, die IT-Systeme auf Schwachstellen überprüfen und die Organisationen über Funde in Kenntnis setzen. Wir denken, eine produktive Zusammenarbeit mit diesen Hackern stellt einen unschätzbaren Vorteil für uns dar, um die Sicherheit der Daten unserer Kunden zu gewährleisten und das Internet insgesamt zu einem sichereren Ort zu machen. Daher fördern wir die verantwortungsvolle Überprüfung auf und Veröffentlichung von Sicherheitsschwachstellen.

Richtlinien

In unseren Schwachstellen-Bekanntmachungsrichtlinien führen wir unsere Erwartungen auf, die wir an verantwortungsvolle Hacker stellen, und was Sie als verantwortungsvolle Hacker von uns erwarten können.

Wird die Sicherheitsüberprüfung und das Melden von Schwachstellen in Übereinstimmung mit diesen Richtlinien durchgeführt,

  • betrachten wir das als Autorisiert durch den Computer Fraud And Abuse Act der USA.
  • betrachten wir das als Ausgenommen vom Digital Millennium Copyright Act der USA und wir werden keine Ansprüche gegen Sie wegen der Überwindung von Sicherheits- und technologischen Kontrollmaßnahmen anstrengen.
  • betrachten wir das als legale Aktion und werden keine rechtlichen Schritte in Verbindung mit diesem Programm gegen Sie anstrengen oder unterstützen.
  • werden wir mit Ihnen zusammenarbeiten, um Probleme schnell zu beheben.
  • und wir erkennen Ihren Beitrag öffentlich an, wenn Sie eine Schwachstelle als erstes melden und wir Code-Änderungen basierend auf dem Bericht vornehmen können, um das Problem zu beheben.

Sollten Sie Bedenken oder Unsicherheiten zum Testvorgang haben, der diesen Testrichtlinien folgt, kontaktieren Sie uns bitte unter security@keepersecurity.com, bevor Sie fortfahren.

Um das verantwortungsvolle Testen und Veröffentlichen von Sicherheitsschwachstellen zu ermöglichen, bitten wir Sie,

  • die Privatsphäre oder das Benutzungserlebnis anderer Nutzer oder Produktions- und Unternehmenssysteme zu stören und/oder zu zerstören.
  • Ihre Überprüfung in Übereinstimmung mit dem unten aufgeführten Rahmens durchzuführen und Systeme und Aktivitäten, die nicht in diesem Rahmen enthalten sind, nicht zu beeinträchtigen.
  • uns umgehend zu kontaktieren unter security@keepersecurity.com, falls Sie auf irgendwelche Benutzerdaten während Ihres Tests zugreifen können.
  • uns einen angemessenen Zeitraum zu gewähren, in dem wir Ihren Fund analysieren, bestätigen und beheben können, bevor Sie diesen öffentlich bekannt machen.

Bericht übermitteln

Keeper unterhält eine Partnerschaft mit Bugcrowd, um unser Schwachstellen-Bekanntmachungsprogramm zu verwalten. Bitte übermitteln Sie Ihre Funde auf [https://bugcrowd.com/keepersecurity].