Passwords: Analytics, Compliance, Enforcement

EPAS für Compliance

NIST-COMPLIANCE MIT UNTERSTÜTZUNG VON EPAS

Das US National Institute of Standards and Technology (NIST) ist eine wichtige Behörde, die die besten Praktiken für die Sicherung von Identitäten und die Authentifizierung von Nutzern festlegt. Die aktualisierte Version der NIST-Sonderveröffentlichung 800-63 „Digital Identity Guidelines“ wurde 2019 veröffentlicht. Unternehmen und Organisationen verwenden die NIST-Richtlinien, um ihre Sicherheitspraktiken festzulegen. US-Bundesbehörden sind verpflichtet, die NIST 800-63 einzuhalten.

EPAS (Enterprise Password Analytics System) unterstützt die Durchsetzung vieler Anforderungen aus der NIST 800-63 „Digital Identity Guidelines“. Das Dokument „EPAS for Compliance: NIST“ (im Download) zeigt und erklärt die jeweilige EPAS Funktionalität, die bei der Umsetzung der einzelnen NIST-Empfehlung hilft. Eine Tabelle, die die von EPAS abgedeckten NIST-Empfehlungen zusammenfasst, ist am Ende des Dokuments aufgeführt. Dieses Dokument ist ein praxisnaher Leitfaden für Unternehmen und Organisationen, die mit Hilfe von EPAS die Einhaltung der NIST-Empfehlungen umsetzen und dokumentieren.

DOWNLOAD

 

ISO/IEC 27001 – EINHALTUNG MIT UNTERSTÜTZUNG VON EPAS

ISO 27001 (offiziell bekannt als ISO/IEC 27001:2013) ist ein internationaler Standard für Informationssicherheit. Dieser Standard wird in einer Organisation zur Implementierung, Aufrechterhaltung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS) verwendet. Richtlinien und Verfahren, einschließlich der rechtlichen, technischen und physischen Kontrollen, die an den IT-Risikomanagementprozessen eines Unternehmens beteiligt sind, sind Teil des ISMS.

IS27001

Die Implementierung von ISO 27001 unterstützt Organisationen bei der Abwehr von Sicherheitsrisiken, beim Schutz sensibler Daten und bei der Ermittlung des Umfangs und der Grenzen ihrer Sicherheitsmaßnahmen. In der Dokumentation „EPAS for Compliance: ISO/IEC 27001“ (im Download) wird übersichtlich dargestellt, in welchem Umfang EPAS (Enterprise Password Analytics System) die Umsetzung einzelner Kontrollziele und Kontrollen der ISO/IEC 27001:2013 unterstützt und dokumentiert.

DOWNLOAD

 

PCI DSS-KONFORMITÄT MIT UNTERSTÜTZUNG VON EPAS

Die Zahlungskartenindustrie (PCI) initiierte 2004 den ersten Datensicherheitsstandard (DSS). Seither wurden verschiedene Überarbeitungen und Aktualisierungen der Anforderungen vorgenommen. Der PCI DSS enthält zwölf Einzel-Anforderungen, die in sechs logisch miteinander verbundene Zielsetzungen gebündelt sind.

PCI DSS

Die Einzel-Anforderungen, zu deren Erfüllung EPAS beiträgt, sind mit einem roten Hintergrund gekennzeichnet.

Der PCI DSS bietet die Mindestanforderungen für den Schutz vor Verstößen, die in der Vergangenheit aufgetreten sind und hat eine besondere Bedeutung für das Zahlungskarten-Ökosystem. EPAS (Enterprise Password Analytics System) unterstützt Organisationen bei der Vermeidung von Verstößen gegen die Anforderungen des PCI DSS. Diese bezieht sich insbesondere auf wichtige  Sicherheitsregeln des Standards bezüglich Anbieter-Standardpasswörter und schwache oder gemeinsam genutzte Passwörter. Im Dokument „PCI DSS-Konformität mit Unterstützung von EPAS“ (im Download) werden die unterstützenden EPAS-Funktionen gemäß den entsprechenden PCI DSS-Anforderungen abgebildet.

DOWNLOAD

 

Einhaltung des BSI IT-Grundschutz ORP 4

Das Bundesamt für Sicherheit in der Informationstechnik ("BSI") hat bis 2020 in seinem IT-Grundschutz-Kompendium regelmäßiges Ändern von Passwörtern bevorzugt. In der, im Februar 2020 publizierte Ausgabe wird diesen Wechseln nicht mehr empfohlen. Hingegen muss ein Passwort spätestens bei einem Verdacht auf Missbrauch gemäß BSI-Richtlinien geändert werden. Abwechselnde und sichere Passwörter bei verschiedenen Anmeldungen sollten verwendet werden und diese müssen geändert werden, wenn der Verdacht auf eine Kompromittierung des entsprechenden Accounts bzw. Passworts besteht.

In diesem Dokument wird gegenübergestellt wie EPAS (Enterprise Password Analytics System) sowohl Audit als auch Enforcer eine Organisation in der Einhaltung von "BSI IT-Grundschutz ORP 4: Identitäts- und Berechtigungsmanagement" hinsichtlich der Passwortsicherheit unterstützt. Die entsprechenden Funktionen von EPAS werden detailliert erklärt.

DOWNLOAD

 

TRA IAR-KONFORMITÄT IN UAE MIT UNTERSTÜTZUNG VON EPAS

Eine strategische Priorität für die UAE ist der Umgang mit Cyber-Bedrohungen und die Gewährleistung der Implementierung einer sicheren nationalen Kommunikations- und Informationsinfrastruktur. Daher hat die TRA (Telecommunications Regulatory Authority) die IAR (Information Assurance Regulation) der UAE als entscheidenden Bestandteil des National Information Assurance Framework (NIAF) umgesetzt. Diese Festlegung ist die Voraussetzung für die Verbesserung des Niveaus der IA über alle Durchführungsorganisationen in den UAE. Die IA-Standards der UAE leisten technische und Management-Datensicherheitskontrollen, um die Informationssicherung bereitzustellen, zu entwickeln, zu verwalten und regelmäßig zu aktualisieren.

Die TRA IA Verordnung enthält ausführliche Anforderungen an den Schutz vor Cyber-Angriffen sowie Hinweise zur Sicherung und Aufrechterhaltung einer IT-Infrastruktur. Die TRA IAR bezieht sicherheitsrelevante Kontrollen aus bestehenden Standards (ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005, ISO 27010, ISO/IEC 27032, NIST 800-53R4, ADSICv1, ADSICv2 etc.), erweitert gleichzeitig Subkontrollen und bietet ausführliche Informationen über Beispielimplementierungen.

EPAS (Enterprise Password Analytics System) unterstützt Organisationen maßgeblich bei der Vermeidung von Sicherheitsverstößen auf Grundlage mehrerer einzelner TRA IAR Empfehlungen. Dokument „EPAS for Compliance: TRA IAR“ im Download.

DOWNLOAD

 

Stärkung der Benutzerauthentifizierung

EPAS (Enterprise Password Analytics System) bietet einen erweiterten ADP (Authentication Decision Point), der über eine dedizierte Infrastruktur zusammen mit der Benutzerauthentifizierung mittels kuratierter Credentials bereitgestellt wird. Dies liefert auch die notwendigen Werkzeuge zur Sicherung vorhandener Berechtigungsnachweise: Audit, Korrektur und Compliance. Das System ist innerhalb von drei bis fünf Tagen einsatzbereit und erfordert nur geringe Ressourcen für den Betrieb. Zugleich bietet es sofortige Erkennungs- und Abhilfemaßnahmen gegen alle Angriffe, die schwache, geleakte oder gemeinsam genutzte Passwörter anwenden.

EPAS (Enterprise Password Analytics System) unterstützt den Einsatz von Conditional Authentication (MFA) und zuverlässige Single Factor Authentication und sichert in jedem Anwendungsfall das notwendige Gleichgewicht zwischen Vertrauen, TCO (Total Cost Ownership) und UX/CX (User Experience/ Customer Experience):

VERTRAUEN

In einer sehr sicheren Umgebung, die mit den Datenschutzrechten des Nutzers vereinbar ist, verweigert EPAS einem Nutzer ein Passwort zu wählen, das mit einem zuvor verwendeten korreliert. Auch die im Web verfügbaren Passwortleaks werden genutzt, wobei die jüngsten Breaches in den EPAS-Wörterbüchern ergänzt werden und somit den Nutzer daran hindert, Passwörter zu verwenden, deren Hashes weltweit den Angreifern bekannt sind. Durch ständige Aktualisierung liefert EPAS auch Kenntnisse über den aktuellen Trend der Passwortverwendung. Dadurch wird verhindert, dass der Benutzer ein Passwort auswählt, das zwar sicher aussieht, aber vorhersehbar und damit anfällig für Angriffe ist.

TCO

Bei der Anwendung von EPAS müssen keine weiteren komplexen Installationen durchgeführt werden, weil es als Hardware- und Softwarelösung (Appliance) geliefert wird. Die bereitgestellte Hardware ist hinsichtlich der Rechenleistung mit der neuesten Technologie ausgestattet und verwendet modernste Methoden zum Schutz der Privatsphäre der Benutzer: EPAS kann Millionen von Passwörtern in deren Umgebung und in einer erschwinglichen Zeitspanne analysieren; alle temporären Daten werden auf einer Festplatte gespeichert, die mit einem TPM-gestützten Schlüssel (Trusted Platform Module) verschlüsselt ist, der mit dem Gerät versiegelt ist. Software- und Hardware-Upgrades werden ohne zusätzliche Kosten bereitgestellt. Klartext, persönlich identifizierbare wiederhergestellte Passwörter werden niemals auf dem Appliance angezeigt oder gespeichert. EPAS ist der Technologie, die Hackern oder gesponserten Angreifern zur Verfügung steht, immer einen Schritt voraus.

UX/CX

Durch die Implementierung des EPAS Enforcer werden die Benutzer sich der Schwachstellen in ihrem Passwort stärker bewusst. Da der Grund für die Ablehnung ihrer Passwörter ausführlich angegeben wird, kann der Benutzer bewusst zuverlässige Passwörter verwenden, ohne den UX zu beeinträchtigen und verringert gleichzeitig die Arbeitsbelastung der Supportzentren.

Die vollständige Beschreibung zur Benutzerauthentifizierung mit EPAS kann hier als PDF-Dokument (in englischer Sprache) heruntergeladen werden:

Download

EPAS AUDIT

EPAS (Enterprise Password Analytics System) ist patentiert (USPTO 9,292,681 B2, EP2767922) und eine gemeinsame Entwicklung der Detack GmbH und der Praetors AG, ihrem Partner aus der Schweiz. EPAS ist eine Lösung zur automatischen und regelmäßigen Prüfung der unternehmensweiten Passwort-Qualität. Diese bislang nahezu unlösbare Aufgabe, allein aufgrund der über viele Jahre gewachsenen Systemlandschaften - welche von Microsoft A/D über IBM System z, Linux/UNIX, SAP und mehr reichen - wird von EPAS gelöst.

Mit einer speziell für Unternehmen und Behörden entwickelten Technologie extrahiert EPAS (Enterprise Password Analytics System) alle Passwort-relevanten Daten vom Zielsystem, um diese dann für eine Bewertung der Widerstandsfähigkeit der Passwörter gegen Angriffe heranzuziehen. Zum Schutz der Prüfobjekte verwendet EPAS ausschließlich die vom Hersteller vorgesehenen Schnittstellen zur Extraktion der verschlüsselten Daten. Somit entsteht kein Risiko für die Systemstabilität der ausgewählten Zielsysteme.

EPAS wurde speziell auf die Bedürfnisse von Unternehmen zugeschnitten. Mehr als 30 verschiedene Systeme und Datenbanken, von IBM, SAP, Linux/UNIX, Oracle bis zu Microsoft werden von EPAS unterstützt. Das Reporting ist datenschutzkonform und genügt allen Anforderungen eines Betriebsrates. EPAS ist eine On-Premises SaaS Lösung und wird in Form eines oder mehrerer Hardwaremodule in das Rechenzentrum des Kunden integriert.

Eine detaillierte Beschreibung der EPAS-Audit Lösung finden Sie in folgendem PDF Dokument:

Download

EPAS ENFORCER

Der EPAS-Enforcer ist ein zusätzliches lizensierbares Modul zur Verstärkung der Passwortqualität, welches die Verwendung von schwachen, wiederverwendeten oder gemeinsam benutzten Passwörtern bei jedem Passwort-Change systematisch verhindert. Der EPAS-Enforcer wird als LSA-Filter in die Domain Controller einer Microsoft A/D Umgebung integriert und prüft bei neu gesetzten Passwörtern und Passwortwechsel, ob die Sicherheit des neu gewählten Passwortes einer zentralisierten Policy und den Sicherheitsanforderungen entspricht. Für den Endbenutzer heißt das, dass früher erlaubte Passwörter wie „Passwort123“ oder „Geheim!“ nicht mehr akzeptiert werden.

Ist der Passwortwechsel nicht erfolgreich, so ermöglicht ein optionales Feature im EPAS-Enforcer, dass Benutzer über die Gründe für fehlgeschlagene Passwortänderungen informiert werden (z.B.: „Das Passwort darf nicht in einem Wörterbuch enthalten sein.“). Die Sicherheitsanforderungen für ein Passwort ergeben sich aus kundenspezifischen und gruppenspezifischen Sicherheitseinstufungen sowie der Risikokategorie der zu schützenden Daten.

Eine detaillierte Beschreibung der EPAS-Enforcer Lösung finden Sie in folgendem PDF Dokument:

Download

Auswahl EPAS Referenzkunden

 

AXAAXA XLEvonikEmirates Global AluminiumBoursoramaEquitableHUK CoburgLBBW Asset ManagementUnicreditPiraeus Bank