EPAS Reviews at Gartner
next
"Implementation was very easy and fast, the support in case of troubleshooting is excellent" (Head of Information Security in the Finance Industry)
"Implementation is easy and the ROI realized is almost instantaneous" (Dir Security Architecture & Engineering in the Finance Industry)
"Great solution for password analysis and quality enforcement" (CISO in the Chemical Industry)
”Very powerful / well throughout tool for password remediation with a top notch support team” (SOC Analyst in the Finance Industry)
“Easy installation / maximum benefit for password-quality” (CISO in the Finance Industry)
“Constructive flexible vendor with stable solutions” (IT Buyer in the Miscellaneous Industry)
/
EPAS Key Features

EPAS Audit

EPAS ist patentiert (USPTO 9,292,681 B2, EP2767922) und eine gemeinsame Entwicklung der Detack GmbH und der Praetors AG, ihrem Partner aus der Schweiz. EPAS ist eine „On-Premises SaaS“ Lösung zur automatischen und regelmäßigen Prüfung der unternehmensweiten Passwort-Qualität. Diese bislang nahezu unlösbare Aufgabe, allein aufgrund der über viele Jahre gewachsenen Systemlandschaften - welche von Microsoft A/D über IBM System z, Linux/UNIX, SAP und mehr reichen - wird von EPAS gelöst.
Mit einer speziell für Unternehmen und Behörden entwickelten Technologie extrahiert EPAS alle Passwort-relevanten Daten vom Zielsystem, um diese dann für eine Bewertung der Widerstandsfähigkeit der Passwörter gegen Angriffe heranzuziehen. Zum Schutz der Prüfobjekte verwendet EPAS ausschließlich die vom Hersteller vorgesehenen Schnittstellen zur Extraktion der verschlüsselten Daten. Somit entsteht kein Risiko für die Systemstabilität der ausgewählten Zielsysteme.
EPAS wurde speziell auf die Bedürfnisse von Unternehmen zugeschnitten. Mehr als 30 verschiedene Systeme und Datenbanken, von IBM, SAP, Linux/UNIX, Oracle bis zu Microsoft werden von EPAS unterstützt. Das Reporting ist datenschutzkonform und genügt allen Anforderungen eines Betriebsrates. EPAS ist eine On-Premises SaaS Lösung und wird in Form eines oder mehrerer Hardwaremodule in das Rechenzentrum des Kunden integriert.

EPAS Enforcer

Der EPAS-Enforcer ist ein zusätzliches lizensierbares Modul zur Verstärkung der Passwortqualität, welches die Verwendung von schwachen, wiederverwendeten oder gemeinsam benutzten Passwörtern bei jedem Passwort-Change systematisch verhindert. Der EPAS-Enforcer wird als LSA-Filter in die Domain Controller einer Microsoft A/D Umgebung integriert und prüft bei neu gesetzten Passwörtern und Passwortwechsel, ob die Sicherheit des neu gewählten Passwortes einer zentralisierten Policy und den Sicherheitsanforderungen entspricht. Für den Endbenutzer heißt das, dass früher erlaubte Passwörter wie „Passwort123“ oder „Geheim!“ nicht mehr akzeptiert werden.
Ist der Passwortwechsel nicht erfolgreich, so ermöglicht ein optionales Feature im EPAS-Enforcer, dass Benutzer über die Gründe für fehlgeschlagene Passwortänderungen informiert werden (z.B.: „Das Passwort darf nicht in einem Wörterbuch enthalten sein.“). Die Sicherheitsanforderungen für ein Passwort ergeben sich aus kundenspezifischen und gruppenspezifischen Sicherheitseinstufungen sowie der Risikokategorie der zu schützenden Daten.

Detailliertes und rechtssicheres Reporting

EPAS erstellt für jeden Audit-Job einen Auditbericht. In einem Executive Summary werden alle Berichtsdaten grafisch aufbereitet und mit Erklärungen ergänzt. Enthalten sind Gründe für die Wiederherstellbarkeit der Passwörter, Struktur, Konformität zur Policy und verschiedene statistische Daten. Die Passwörter selber werden niemals im Klartext angezeigt.

Entwickelt aus 15 Jahren IT-Security Erfahrung

EPAS resultiert aus mehr als 15 Jahren Erfahrung im IT-Security Auditing. Erfahrungen aus manuellen Penetrationstests zeigen, dass jegliche Sicherheitsvorkehrungen ohne starke Passwörter versagen. EPAS ist weltweit die einzige Lösung, die die Widerstandsfähigkeit der Passwortlandschaft eines Unternehmens gegen Angriffe bewerten und damit verbessern kann.

ausgewählte EPAS Referenzkunden

Features

Für Unternehmen entwickelt

EPAS wurde speziell auf die Bedürfnisse von Unternehmen zugeschnitten. Mehr als 30 verschiedene Systeme und Datenbanken werden von EPAS adressiert. Das Reporting ist datenschutzkonform und genügt allen Anforderungen eines Betriebsrates.

Kundenspezifische Passwortprüfung

Passwörter werden gegen vielfältige Kriterien geprüft: eine individuell einstellbare Passwort-Policy und zahlreiche objektive, auf struktureller Entropie basierende Regeln. Zur Simulation von Wörterbuchattacken werden Wörterbücher kundenspezifisch in Bezug auf Sprache und unternehmenseigene Begriffe definiert.

Mehrfachverwendung von Passwörtern

Passwörter werden auf Mehrfachverwendung geprüft. EPAS erkennt, wenn ein User ein und dasselbe Passwort für mehrere Systeme verwendet oder ob viele User ein und dasselbe Passwort haben. Beide Situationen stellen ein unkalkulierbar hohes Sicherheitsrisiko dar.

Technische und System-Accounts

EPAS bewertet zusätzlich alle technischen Accounts. Diese haben meist einfache, manchmal gar keine Passwörter oder Default-Passwörter vom Hersteller und sind unter Umständen von einer Policy ausgenommen. Zudem haben sie die größten Berechtigungen und stellen aus Sicht eines Angreifers die attraktivsten Ziele dar.

Sensibilisierung per E-Mail

EPAS fordert den Benutzer automatisch auf, sein Passwort zu ändern, falls dieses den auditspezifischen Anforderungen nicht genügt oder nicht Policy-konform ist. Über dieselbe Funktion wird auch der EPAS Administrator über ein abgeschlossenes Passwort-Audit und die Verfügbarkeit des Berichts benachrichtigt.

Audit Jobs & Job Queuing

Ein intelligentes Job- und Queuing-System sorgt dafür, dass regelmäßige Passwort-Audits voreingestellt und terminiert werden können und Job-Kollisionen ausgeschlossen werden. EPAS ist voll skalierbar und kann simultane Audits über Millionen von Benutzerkonten durchführen.

Trusted Computing und Verschlüsselung

Alle Daten, die von EPAS verarbeitet werden, sind permanent verschlüsselt. Das Trusted Computing Prinzip wird zur Versiegelung der Plattform angewendet, ein zusätzlicher TPM Chip sorgt mittels kryptografischer Verfahren für Software- und Datenintegrität. Mögliche physische oder Software-Manipulationen werden durch ausfallsichere Sicherheitsmechanismen registriert, welche das System im Falle eines Eindringversuches automatisch herunterfahren.

EPAS - unterstützte Systeme

EPAS kann mehrere Arte von Systemen auditieren – von Microsoft Produkten, über IBM Produkte (iSeries, zSeries, Domino) und weitere Systeme wie UNIX-basierte Systeme, LDAP-Verzeichnisse, bis hin zu den wichtigsten Datenbank-Backends. Folgende Systemtypen werden für die Extraktion von Account-Profilen und die Passwort-Hashes unterstützt:

Unterstützte Standard
Zielsysteme

Microsoft Active Directory Accounts Microsoft Windows Local Accounts IBM System z – zSeries – S/390 RACF (z/OS, z/VM)

IBM System i – iSeries – AS/400 IBM System p – pSeries – RS/6000 AIX IBM Lotus Domino Application Server BSD Operating System Linux Operating System Sun Solaris – SunOS Apache Basic – htpasswd SAP NetWeaver – ABAP AS LDAP Authentication Server

Alle anzeigen

Untersützte Anwendungs-
spezifische Datenspeicherung

MSSQL System Accounts MySQL System Accounts Oracle System Accounts

PostgreSQL System Accounts Sybase ASE System Accounts DB2 Database Custom Application Informix Database Custom Application MaxDB Database Custom Application MSSQL Custom Database Application MySQL Database Custom Application Oracle Database Custom Application PostgreSQL Custom Database Application Sybase ASA Database Custom Application Sybase ASE Database Custom Application

Alle anzeigen

Neben den Standard Zielsystemen, unterstützt EPAS auch anwendungsspezifische Passwortverschlüsselung mit in verschiedenen Arten von Datenbanken gespeicherten Daten. EPAS verwendet ausschließlich vom Hersteller zugelassene Methoden, um die Passwortdaten von den zu auditierenden Systemen zu extrahieren. Durch die Verwendung solcher Methoden entfällt das Risiko, dass Zielsysteme abstürzen. Es ist ebenfalls hierdurch sichergestellt, dass Antivirus- oder Malware-Erkennungs-Tools nicht fälschlicherweise anschlagen.

EPAS Enforcer Systems

  • Microsoft Active Directory

  • Linux Accounts / PAM

  • Microsoft Windows Accounts

  • Microsoft Azure AD / Hybrid

  • Microsoft SQL Server

  • Micro Focus NetIQ SSPR

  • Web-Based Password Management

Alle anzeigen
Compliance

NIST-COMPLIANCE MIT UNTERSTÜTZUNG VON EPAS

Das US National Institute of Standards and Technology (NIST) ist eine wichtige Behörde, die die besten Praktiken für die Sicherung von Identitäten und die Authentifizierung von Nutzern festlegt. Die aktualisierte Version der NIST-Sonderveröffentlichung 800-63 „Digital Identity Guidelines“ wurde 2019 veröffentlicht. Unternehmen und Organisationen verwenden die NIST-Richtlinien, um ihre Sicherheitspraktiken festzulegen. US-Bundesbehörden sind verpflichtet, die NIST 800-63 einzuhalten. EPAS unterstützt die Durchsetzung vieler Anforderungen aus der NIST 800-63 „Digital Identity Guidelines“. Das Dokument „EPAS for Compliance: NIST“ (im Download) zeigt und erklärt die jeweilige EPAS Funktionalität, die bei der Umsetzung der einzelnen NIST-Empfehlung hilft. Eine Tabelle, die die von EPAS abgedeckten NIST-Empfehlungen zusammenfasst, ist am Ende des Dokuments aufgeführt. Dieses Dokument ist ein praxisnaher Leitfaden für Unternehmen und Organisationen, die mit Hilfe von EPAS die Einhaltung der NIST-Empfehlungen umsetzen und dokumentieren.

Download

ISO/EC 27001 – EINHALTUNG MIT UNTERSTÜTZUNG VON EPAS

ISO27001 (offiziell bekannt als ISO/IEC 270012013) ist ein internationaler Standard für Informationssicherheit. Dieser Standard wird in einer Organisation zur Implementierung, Aufrechterhaltung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS) verwendet. Richtlinien und Verfahren, einschließlich der rechtlichen, technischen und physischen Kontrollen, die an den IT-Risikomanagementprozessen eines Unternehmens beteiligt sind, sind Teil des ISMS. IS27001 Die Implementierung von ISO 27001 unterstützt Organisationen bei der Abwehr von Sicherheitsrisiken, beim Schutz sensibler Daten und bei der Ermittlung des Umfangs und der Grenzen ihrer Sicherheitsmaßnahmen. In der Dokumentation „EPAS for Compliance: ISO/IEC 27001“ (im Download) wird übersichtlich dargestellt, in welchem Umfang EPAS die Umsetzung einzelner Kontrollziele und Kontrollen der ISO/IEC 270012013 unterstützt und dokumentiert.

Download

PCI DSS-KONFORMITÄT MIT UNTERSTÜTZUNG VON EPAS

Die Zahlungskartenindustrie (PCI) initiierte 2004 den ersten Datensicherheitsstandard (DSS). Seither wurden verschiedene Überarbeitungen und Aktualisierungen der Anforderungen vorgenommen. Der PCI DSS enthält zwölf Einzel-Anforderungen, die in sechs logisch miteinander verbundene Zielsetzungen gebündelt sind. PCI DSS Der PCI DSS bietet die Mindestanforderungen für den Schutz vor Verstößen, die in der Vergangenheit aufgetreten sind und hat eine besondere Bedeutung für das Zahlungskarten-Ökosystem. EPAS unterstützt Organisationen bei der Vermeidung von Verstößen gegen die Anforderungen des PCI DSS. Diese bezieht sich insbesondere auf wichtige Sicherheitsregeln des Standards bezüglich Anbieter-Standardpasswörter und schwache oder gemeinsam genutzte Passwörter. Im Dokument „PCI DSS-Konformität mit Unterstützung von EPAS“ (im Download) werden die unterstützenden EPAS-Funktionen gemäß den entsprechenden PCI DSS-Anforderungen abgebildet.

Download

TRA IAR-KONFORMITÄT IN UAE MIT UNTERSTÜTZUNG VON EPAS

Eine strategische Priorität für die UAE ist der Umgang mit Cyber-Bedrohungen und die Gewährleistung der Implementierung einer sicheren nationalen Kommunikations- und Informationsinfrastruktur. Daher hat die TRA (Telecommunications Regulatory Authority) die IAR (Information Assurance Regulation) der UAE als entscheidenden Bestandteil des National Information Assurance Framework (NIAF) umgesetzt. Diese Festlegung ist die Voraussetzung für die Verbesserung des Niveaus der IA über alle Durchführungsorganisationen in den UAE. Die IA-Standards der UAE leisten technische und Management-Datensicherheitskontrollen, um die Informationssicherung bereitzustellen, zu entwickeln, zu verwalten und regelmäßig zu aktualisieren. Die TRA IA Verordnung enthält ausführliche Anforderungen an den Schutz vor Cyber-Angriffen sowie Hinweise zur Sicherung und Aufrechterhaltung einer IT-Infrastruktur. Die TRA IAR bezieht sicherheitsrelevante Kontrollen aus bestehenden Standards (ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005, ISO 27010, ISO/IEC 27032, NIST 800-53R4, ADSICv1, ADSICv2 etc.), erweitert gleichzeitig Subkontrollen und bietet ausführliche Informationen über Beispielimplementierungen. EPAS unterstützt Organisationen maßgeblich bei der Vermeidung von Sicherheitsverstößen auf Grundlage mehrerer einzelner TRA IAR Empfehlungen. Dokument „EPAS for Compliance: TRA IAR“ im Download.

Download

News

COVID-19 ECSO Unterstützungskampagne

Detack nimmt an der ECSO- Cyber-Unterstützungskampagne teil. Erfahren Sie mehr

COVID-19 Spende von Computerleistung

Detack unterstützt die Folding@home Initiave und spendet Computerleistung um Simulationen durchzuführen. Erfahren Sie mehr

COVID-19 TeleTrust initiative

Detack nimmt an der TeleTrusT- COVID-19 Initiative teil. Erfahren Sie mehr

Workshop „Cybersecurity – You Cannot Live Without It, Februar 2020, Singapur

Sie können Detack und seinen lokalen Partner in Rahmen des Workshops "Cybersecurity – You Cannot Live Without It" am 3. Februar 2020, in Singapur besuchen. Erfahren Sie mehr

2020 CTI-EU | Bonding EU Cyber Threat Intelligence Conference, Januar 2020, Brüssel, Belgien

Zum zweiten Mal wird Detack an der CTI-EU Konferenz in Brüssel teilnehmen. ENISA organisiert diese Konferenz zum dritten Mal mit dem Ziel, CTI-Experten zu unterstützen sowie Ideen und Erfahrungen im Rahmen dieser Konferenz auszutauschen. Erfahren Sie mehr

RSA Conference 2018, San Francisco

Detack nimmt auch dieses Jahr an der RSA Conference in San Francisco, USA (4. bis 8. März 2019) teil. Sie finden uns am TeleTrusT German Pavillon (Stand Nr. 5671-4). Die RSAC ist die weltweit führende Veranstaltung für IT-Sicherheit mit internationaler Beteiligung. Erfahren Sie mehr über die RSAC: Erfahren Sie mehr

Webinar „Bitkom Security Insights“, Februar 2019

John Waters, Verkaufsleiter bei Detack, wurde eingeladen eine Präsentation zum Thema Paradigmenwechsel bei der Passwortsicherheit für die Webinar Reihe “Bitkom Security Insights" zu halten. Die Aufzeichnung zu dem Webinar finden Sie unter folgendem Link Erfahren Sie mehr

Die Zukunft der Cybersicherheit in Europa, Brüssel, Januar 2019

Detack nahm an der, von der Europäischen Organisation für Cybersicherheit (ECSO) organisierten High-Level Diskussion über die Zukunft der europäische Cybersicherheit teil. Ziel der Diskussion war es, die wichtigsten Entscheidungsträger aus den Institutionen der Europäischen Union (EU), der Mitgliedstaaten und des Privatsektors zusammenzubringen und ihnen zu helfen, einen Dialog darüber zu führen, wie das europäische Umfeld für Cybersicherheit weiter geregelt werden kann. Weitere Informationen finden Sie hier: Erfahren Sie mehr

SIGS Special Event: 5. Dezember, 2018, Zurich, Switzerland

Die Detack GmbH und Security Interest Group Switzerland (SIGS) feierten in Zürich den Beginn einer Zusammenarbeit mit einer Konferenz unter dem Name "Verbesserung der Passwortsicherheit durch Analytik und Qualitätssicherung". Herr Max Meier, Senior Technical Security Architect bei der AXA Switzerland und Herr Bert Brüderlein, Information Security Officer bei der LBBW Asset Management waren die Keynote-Sprecher dieser Konferenz. Weitere Informationen finden Sie unter folgendem Link: Erfahren Sie mehr

ECSO – WG2 Market deployment, investments and international collaboration, Dezember 2018, Brüssel

Die Vertretung von Detack bei ECSO wurde als einer der Vorsitzenden der ECSO SWG 2.3 Internationale Zusammenarbeit gewählt. Das Ziel der Arbeitsgruppe ist die europäische Cybersicherheit auf dem internationalen Market zu unterstützen. Erfahren Sie mehr

PITS 2018: 10.-11.09.2018, Berlin

Bei der diesjährigen PITS wird die Detack sowohl als Aussteller als auch mit einem Redebeitrag / Diskussionsbeteiligung in der Experten-Runde „Zugriffsrechte sicher gestalten“ teilnehmen. Besuchen Sie uns gerne vor Ort! Erfahren Sie mehr

IT-SICHERHEIT IM MITTELSTAND: 09.05.2018, STUTTGART

In Rahmen der Veranstaltung „IT-Sicherheit im Mittelstand #6“, organisiert von IHK Region Stuttgart am 9.05.2018, wird Detack ab 19:30 einen Vortrag zum Thema Passwortsicherheit halten.

RSA CONFERENCE 2018, SAN FRANCISCO

Wie bereits in den vergangenen zwei Jahren, wird Detack auch diesmal als Teil des deutschen TeleTrusT Gemeinschaftsstand an der RSA Conference in San Francisco (16.04. – 20.04.2018) teilnehmen. Die RSA-Konferenz ist nach wie vor die weltweit führende Messe für IT-Sicherheit mit internationaler Beteiligung. Erfahren Sie mehr

TeleTrusT „Stand der Technik gemäß DSGVO“: 21.03.2018, LUDWIGSBURG

TeleTrusT und Detack (TeleTrusT-Regionalstelle Stuttgart) veranstalten am 21.03.2018 eine Informations- und Diskussionsveranstaltung zum Thema "Stand der Technik im Sinne der EU-Datenschutzgrundverordnung" im Residenzschloss in Ludwigsburg. Die Pressemitteilung und weitere Details finden sie hier: Erfahren Sie mehr

INTERSEC 2018, DUBAI

Detack wird 2018 zum ersten Mal zusammen mit dem TeleTrusT Gemeinschaftsstand bei der Intersec in Dubai ausstellen. Die Intersec findet an drei Tagen vom 21.01. – 23.01.2018 statt. Die Intersec ist eine Messe für Safety und Security und stellt eine erfolgreiche Kommunikationsplattform für die Protection- und Sicherheitsindustrie dar. Erfahren Sie mehr

it-sa 2017, Nürnberg

Am 10. – 12.10.2017 ist es wieder soweit! Die it-sa - die einzige auf das Thema IT-Security spezialisierte Messe im deutschsprachigen Raum – öffnet in Nürnberg wieder ihre Pforten. Detack ist in diesem Jahr im Rahmen des BITKOM Gemeinschaftstandes (Halle 9 | 210) vertreten. Vereinbaren Sie einen Termin oder schauen Sie einfach vorbei - wir freuen uns auf Sie! Erfahren Sie mehr

THE FUTURE OF Finance Summit: 8th – 9th June 2017, Singapore

Die Detack wird erstmalig, zusammen mit ihrem Partner aus Malaysia, SecureMetric, einen Vortrag bei dem Future of Finance Summit vom 8. – 9. Juni 2017 in Singapore halten. Erfahren Sie mehr

RHT / EPAS Breakfast Session: 07.06.2017, Singapore

Die Detack organisiert in Kooperation mit ihrem Partner RHT, ein Frühstück sowie eine Präsentation am 07.06.2017 in Singapur über die Implementierung von moderner Technologie um zu verhindern, Opfer eines IT-Sicherheitsangriffes zu werden. Es werden Passwortbezogene IT-Sicherheitsrisiken besprochen, die die gesetzlichen Anforderungen erfüllen ohne von Passwörtern auf alternative Technologien umzustellen. Außerdem wird aufgezeigt, wie die von RHT und Detack empfohlene Lösung, EPAS, Unternehmen in über 30 Ländern geholfen hat.

MEET SWISS INFOSEC! 2017, Zürich

Am 23.01.2017 findet die Veranstaltung MEET SWISS INFOSEC!, der führende und größte Anlass dieser Art in der Schweiz, zum wiederholten Male in Zürich statt. Die MSI zieht in- und ausländisches Fachpublikum und Security-Interessierte gleichermaßen an. Die Detack wird auch in diesem Jahr wieder das Thema der Authentifizierung mit dem Beitragstitel "Authentifizierung 4.0 – Wer bin ich?" zur Diskussion stellen.

Eine Demo anfordern / mehr Informationen erhalten

Ein Fehler ist aufgetreten, bitte versuchen Sie es zu einem späteren Zeitpunkt erneut!

Vielen Dank für Ihre Interesse!

Ich habe die Datenschutzerklärung gelesen und bin mit der Verarbeitung meiner personenbezogenen Daten in Übereinstimmung einverstanden