Datensicherheit und -schutz

Zoho Vault nutzt die Host-Proof-Hosting-Technik. Dies ist ein sicherer, bewährter Mechanismus, der nach eingehender Prüfung durch Sicherheitsexperten eine breite Akzeptanz genießt. Die Host-Proof-Hosting-Methode basiert auf der Idee, sensible Daten in verschlüsselter Form zu hosten, sodass Kunden nur mit einem Hauptpasswort, das nie an den Server übermittelt wird, auf ihre Daten zugreifen und sie verwalten können. Der Server ist darauf beschränkt, nur verschlüsselte Daten, die der Browser an ihn weiterleitet, aufzubewahren und abzurufen, und kann niemals auf die sensiblen Daten in ihrer reinen Form zugreifen. Die gesamte Ver- und Entschlüsselung findet auf der Clientseite (Browser) statt.

Alle Passwörter und anderen sensiblen Daten, die Benutzer in Zoho Vault speichern, bleiben völlig privat und können nur von dem jeweiligen Benutzer angezeigt werden. Alle Benutzerdaten werden im Browser mit dem Zoho Vault-Hauptpasswort des Benutzers ver- und entschlüsselt und nur die verschlüsselten Daten werden auf den Servern von Zoho gespeichert. Das Hauptpasswort des Benutzers wird von Zoho Vault nirgendwo gespeichert, sodass auch Zoho nicht auf Ihre Daten zugreifen kann.

Sichere Verbindung

Wie oben erwähnt, werden nur verschlüsselte Daten (AES-256-Bit) über das Internet übertragen. Wir machen darüber hinaus die Nutzung der TLS-Verschlüsselung (Transport Layer Security, TLS 1.2/1.3) mit starken Verschlüsselungsverfahren für alle Verbindungen zu unseren Servern zur Pflicht.

Auf Schwachstellen getestet

  • Zoho Vault wurde umfänglich auf Cross-Site-Scripting (XSS), SQL-Injection und andere Schwachstellen geprüft.
  • Alle eingegebenen Daten werden validiert.

Sichere Freigabe von Passwörtern

Zoho Vault ermöglicht Ihnen die sichere Freigabe von Passwörtern an vertrauenswürdige Mitarbeiter Ihres Unternehmens. Der Freigabeprozess wurde so entwickelt, dass die höchsten Standards der Informationssicherheit und des Datenschutzes eingehalten werden.

Der Freigabeprozess nutzt sowohl die Host-Proof-Hosting- als auch die RSA-Verschlüsselung. Öffentliche und private RSA-Schlüssel werden für jeden Benutzer im Unternehmen generiert. Der Unternehmensadministrator und die Benutzer "schütteln sich die Hände", um diesen Freigabeprozess zu initiieren. Während dieses Handshakes werden die Schlüssel zwischen Administrator und Benutzern freigegeben. Der gesamte Prozess läuft im Hintergrund ab, ohne dass ein manuelles Eingreifen erforderlich ist. Weitere unten finden Sie Einzelheiten zu den technischen Aspekten des gesamten Prozesses.

1. Schritt

Wenn sich der Administrator einer Organisation bei Zoho Vault anmeldet, werden für ihn ein RSA-Schlüsselpaar aus einem öffentlichen und privaten Schlüssel und ein Organisationsschlüssel erstellt. Bei diesem Unternehmensschlüssel handelt es sich um einen AES-256-Bit-Schlüssel, der für jedes Unternehmen einzigartig ist. Der private Schlüssel des Unternehmensadministrators wird mit seinem Hauptpasswort verschlüsselt und in der Zoho Vault-Datenbank gespeichert. In ähnlicher Weise wird der Unternehmensschlüssel mit dem öffentlichen RSA-Schlüssel verschlüsselt und in der Datenbank gespeichert. Zoho Vault speichert nur die verschlüsselten Schlüssel des privaten und Unternehmensschlüssels des Unternehmensadministrators. Dem Host-Proof-Hosting-Modell entsprechend wird das Hauptpasswort des Unternehmensadministrators nicht auf dem Server gespeichert. Es verbleibt beim Unternehmensadministrator. step-1

2. Schritt

Wenn sich Benutzer in Ihrem Unternehmen bei Zoho Vault anmelden, wird für jeden von ihnen ein RSA-Schlüsselpaar aus öffentlichen und privaten Schlüsseln erstellt. Der private Schlüssel des Benutzers wird mit seinem Hauptpasswort verschlüsselt und in der Zoho Vault-Datenbank gespeichert.

step-2

3. Schritt

Wenn der Unternehmensadministrator dem Unternehmensnutzer "die Hand geschüttelt hat", wird der in der Datenbank gespeicherte verschlüsselte Unternehmensschüssel abgerufen und mit dem privaten Schlüssel des Unternehmensadministrators entschlüsselt. Dann wird der Unternehmensschlüssel mit dem öffentlichen RSA-Schlüssel des Benutzers verschlüsselt. Dieser neue verschlüsselte Unternehmensschlüssel wird wiederum für den Benutzer freigegeben und in seinem Bereich in der Datenbank abgelegt. Dieser Prozess wird für jeden Zoho Vault-Benutzer durchgeführt.

step-3

4. Schritt

Wenn der Benutzer ein Passwort freigeben möchte, wird zuerst der private Schlüssel des Benutzers (der in verschlüsselter Form in der Datenbank gespeichert ist) abgerufen und mit dem Hauptpasswort des Benutzers entschlüsselt. Der verschlüsselte Unternehmensschlüssel, den der Administrator für den Besucher freigegeben hat, wird dann abgerufen. Der verschlüsselte Unternehmensschlüssel wird mit dem privaten Schlüssel des Benutzers entschlüsselt. Das freizugebende Passwort wird daraufhin mit dem Unternehmensschlüssel verschlüsselt.

step-4

Passwortfreigabe – Ereignisablauf

Im Folgenden ist ein Beispiel dargestellt. Angenommen, Benutzer ABC ist Administrator des Unternehmens und möchte ein vorhandenes Passwort für fünf andere Unternehmensbenutzer (A1, A2, A3, A4 und A5) freigeben.

  • Da das freigegebene Passwort ABC gehört, wird es mit dem Hauptpasswort von ABC verschlüsselt und in Zoho Vault gespeichert.
  • Nach Initiierung einer Freigabe wird das Passwort mit dem Hauptpasswort von ABC entschlüsselt.
  • Das Passwort wird daraufhin mit dem Unternehmensschlüssel verschlüsselt und in der Datenbank gespeichert.
  • Anschließend gibt ABC das Passwort für die fünf Benutzer frei. Daraufhin wird das Passwort, das mit dem Unternehmensschlüssel verschlüsselt wurde, intern zu A1, A2, A3, A4 und A5 zugeordnet.

Wie rufen die Benutzer dieses Passwort ab?

  • Die Benutzer entschlüsseln ihren jeweiligen privaten RSA-Schlüssel mit ihrem jeweiligen Hauptpasswort.
  • Die Benutzer entschlüsseln dann den verschlüsselten Unternehmensschlüssel mit ihren jeweiligen privaten RSA-Schlüsseln (die sie im vorherigen Schritt erhalten haben).
  • Die Benutzer rufen das Passwort mit dem Unternehmensschlüssel ab.

Was passiert, wenn ein freigegebenes Passwort geändert wird?

Angenommen, A1 ändert das freigegebene Passwort.

  • Das freigegebene Passwort wird mit dem Unternehmensschlüssel entschlüsselt und angezeigt.
  • Das neue Passwort wird mit dem Unternehmensschlüssel verschlüsselt und in der Datenbank aktualisiert.

Wichtiger Hinweis:

Der Unternehmensschlüssel, der zum Verschlüsseln und Entschlüsseln freigegebener Passwörter verwendet wird, befindet sich im Browser, wenn Passwörter im Unternehmen freigegeben werden. Es ist also möglich, dass technisch sehr versierte Benutzer den Unternehmensschlüssel abrufen können, wenn sie bei Zoho Vault angemeldet sind. Der Schlüssel kann jedoch nur genutzt werden, wenn der Inhaber Zugriff auf die Zoho Vault-Datenbank erhält. Da die Zoho Rechenzentren modernsten Sicherheitsprotokollen folgen, ist dies nahezu unmöglich. Da Zoho Vault die Host-Proof-Hosting-Technik einsetzt, ist es selbst für Zoho unmöglich, auf den Unternehmensschlüssel zuzugreifen.

Zoho Sicherheitsrichtlinien

Millionen Benutzer verlassen sich auf Zoho Anwendungen

Mit mehr als Millionen Benutzern, die weltweit auf die Zoho Services zugreifen, vertrauen Einzelpersonen sowie kleine, mittlere und große Unternehmen auf die Sicherheit und den Datenschutz von Zoho, um ihre Anforderungen zu erfüllen. Für uns ist Sicherheit oberstes Gebot und wir haben umfangreiche Vorgehensweisen, Technologien und Richtlinien, mit denen wir Ihre Daten schützen. Ausführliche Informationen zu unserer Sicherheitsstrategie können Sie den Sicherheitsrichtlinien von Zoho entnehmen.

Vollständige Sicherheit für Ihre Passwörter

Zoho Vault ist eine Lösung für sicheres Passwortmanagement für Unternehmen und Einzelpersonen

Schützen Sie Ihre Passwörter mit der höchsten Sicherheit, indem Sie zu Zoho Vault wechseln.

Zoho Vault kostenlos testen