Einleitung

Dieses Dokument enthält Antworten auf häufig gestellte Fragen von Benutzer:innen von Bluebeam Studio™ zu den Themen Dokument- und Systemsicherheit, Zugriffskontrolle sowie den Auswirkungen eines Infrastrukturausfalls.

Zugriff auf Bluebeam Studio

Um an Studio-Sitzungen und -Projekten teilnehmen zu können, müssen Benutzer:innen einen Benutzernamen und ein Kennwort eingeben, die mit Ihrer Bluebeam ID (BBID) verknüpft sind. Informationen zum Erstellen einer BBID finden Sie in diesem Artikel.

Verbindungen zum Studio-Server werden von Revu-Clients initiiert, das System sendet jedoch keine eingehenden Verbindungsanfragen an den Client zurück. Für die primäre Kommunikation und Übertragung von Dateien, Markierungen und anderen umfangreichen Daten wird das HTTPS-Protokoll verwendet, während zur Verschlüsselung und Authentifizierung das TLS-Protokoll (Transport Layer Security) verwendet wird.

Anforderungen an Firewalls

Die nachstehend aufgeführten Domains werden von Studio-Services-Umgebungen verwendet. Wenn Sie nur auf eine bestimmte Studio-Umgebung zugreifen, müssen Sie nur die für diese Umgebung relevanten Domains zusammen mit den erforderlichen globalen Services auf Ihre Positivliste setzen.

Globale Services:

*.amazonaws.com:443

*.gds.bluebeam.com:443

*.login.okta.com:443

US-Umgebung:

*.bluebeam.com:443

UK-Umgebung:

*.bluebeamstudio.co.uk:443

AUS-Umgebung:

*.bluebeamstudio.com.au:443

DE-Umgebung:

*.bluebeamstudio.de:443

SE-Umgebung:

*.bluebeamstudio.se:443

E-Mail-Domains im Zusammenhang mit Studio

Wir verwenden die nachstehend aufgeführten Domains zur Kommunikation von Support-, Lizenzierungs- und anderen auf Studio bezogenen Informationen an Endbenutzer:innen. Um eine erfolgreiche E-Mail-Übertragung sicherzustellen, müssen folgende Domains ggf. auf Ihre Positivliste gesetzt werden:

US-Umgebung:

@bluebeam.com

@bluebeamops.com

@bluebeam-support.com

UK-Umgebung:

@bluebeamstudio.co.uk

AUS-Umgebung:

@bluebeamstudio.com.au

DE-Umgebung:

@bluebeamstudio.de

SE-Umgebung:

@bluebeamstudio.se

Endbenutzerauthentifizierung und Zugriffskontrolle

Für die sichere Endbenutzerauthentifizierung und Zugriffskontrolle wurden die nachstehend aufgeführten Protokolle implementiert:

Anforderungen an Zertifikate

Verbindungen zu Studio-Umgebungen, wie z. B. studio.bluebeam.com, werden mit einem auf der Public Key Infrastructure (PKI) basierenden SSL-Zertifikat verschlüsselt, das von der Amazon Web Services Certificate Authority (AWS CA) ausgestellt wurde.

Zum Anzeigen des Zertifikats können Sie zu https://studio.bluebeam.com navigieren und auf das Schlosssymbol vor der URL in der Adressleiste klicken.

Anforderungen an Kennwörter und Speicher

Alle Kennwörter müssen zwischen 8 und 32 Zeichen lang sein und mindestens einen Kleinbuchstaben, einen Großbuchstaben, eine Ziffer und ein Sonderzeichen (!@#$%^&* o. ä.) enthalten.

Die Kennwörter werden vor der Speicherung mit einem starken Einweg-Hash-Algorithmus mit Salt verschlüsselt.

Außerdem werden Konten nach fünf aufeinanderfolgenden Anmeldeversuchen mit einem falschen Kennwort für einen Zeitraum von fünf Minuten gesperrt. Alle fehlgeschlagenen Anmeldeversuche werden protokolliert und unser operatives Team wird benachrichtigt, wenn ein voreingestellter Wert überschritten wird.

Daten- und Systemsicherheit

Unten werden die Maßnahmen beschrieben, mit denen wir die Sicherheit von Daten und Systemen gewährleisten.

Infrastruktur und Datenspeicherung

Bluebeam Studio wird auf der Amazon Elastic Compute Cloud (EC2) gehostet, die von Amazon Web Services (AWS) verwaltet wird.

Die Studio-Infrastruktur besteht aus Anwendungsservern, die Revu-Clients unter Windows, macOS und iOS bedienen, sowie einem Backend-Verarbeitungssystem und einer Datenebene.

Benutzerdaten, Metadaten zu Projekten und Sitzungen sowie Sitzungsmarkierungen werden auf SQL-Servern gespeichert. Die eigentlichen Projekt- und Sitzungsdokumente befinden sich auf Amazon-S3-Servern (Amazon Simple Storage Service).

Zur Einhaltung der verschiedenen Vorschriften zur Datenaufbewahrung verfügt Bluebeam Studio über mehrere isolierte Umgebungen in den USA, Großbritannien, Deutschland, Schweden und Australien. Die Datenbankinfrastruktur und die S3-Buckets, die Kundendaten enthalten, werden niemals von einer Umgebung an eine andere weitergeleitet. Alle Bluebeam Studio-Umgebungen können von überall auf der Welt aus aufgerufen werden.

Service Level Agreements für Amazon EC2 und Amazon S3 können unter folgenden Links eingesehen werden:

• https://aws.amazon.com/ec2/sla/
• https://aws.amazon.com/s3/sla/

Datenschutz

Neben der Verschlüsselung aller SQL-Server-Back-ups und Entwicklerfestplatten werden alle Dokumente wie unten beschrieben automatisch verschlüsselt, wenn sie in eine Studio-Sitzung oder ein Studio-Projekt in Revu 2015 oder neueren Versionen hochgeladen werden.

Verschlüsselung

Die Verschlüsselung erfolgt mithilfe einer AWS-KMS-ID (Key Management Service).

Alle Daten werden im Ruhezustand (AES-256-Verschlüsselung) und während der Übertragung verschlüsselt. Die Datenübertragung wird während der Übertragung über TLS1.2* zwischen dem Revu-Client und Amazon S3 verschlüsselt. In der Serverumgebung werden Dateien im S3-Service von Amazon verschlüsselt. SQL-Datenbank-Back-ups werden auf verschlüsselten Datenträgern gespeichert.

Systemsicherheit

Wir verwenden eine validierte und getestete Vorlage, um zu gewährleisten, dass alle Umgebungen nach den gleichen Prinzipien funktionieren sowie identischen Netzwerkrichtlinien und Einschränkungen unterliegen. Nach der Bereitstellung sorgen die unten erläuterten Maßnahmen und Richtlinien für zusätzliche Sicherheit und Konsistenz in der gesamten Infrastruktur:

Kontrollierter Administratorzugriff

Nur eine ausgewählte Gruppe von IT-Fachkräften verfügt über Administratorrechte für die Infrastruktur von Bluebeam Studio. Der Zugriff auf die Verwaltungskonsole wird durch eine Multi-Faktor-Authentifizierung (MFA) kontrolliert.

Änderungskontrolle

Alle Änderungen und Verbesserungen am System werden dokumentiert und müssen vor der Implementierung in der Produktionsumgebung von unseren DevOps- und Sicherheitsteams getestet und genehmigt werden.

Protokollierung

Anwendungs- und Systemsicherheitsprotokolle werden mindestens 30 Tage lang aufbewahrt. Nur DevOps-Fachkräfte haben Zugriff auf diese Protokolle. Entwickler:innen erhalten nur mit Genehmigung von Sicherheitsfachkräften Zugriff auf Protokolle zur Fehlerbehebung.

Bewertung und Behebung von Schwachstellen

Um eventuell auftretende Sicherheitsprobleme zu bewältigen, haben wir einen ausführlichen Prozess zur Bewertung und Behebung von Schwachstellen implementiert. Diese Maßnahmen umfassen Virenschutz auf allen Servern, proaktive System-Patching-Richtlinien und Überwachung der Dateiintegrität (zur Erkennung unbefugter Änderungen an den Systemen).

Anwendungen mit einer Webkomponente werden vor und nach der Bereitstellung in der Produktionsumgebung gescannt.

Alle Produktionssysteme werden regelmäßig auf Schwachstellen in der Infrastruktur überprüft und entsprechend gepatcht.

Inventar genehmigter Ressourcen

Ergänzungen und Änderungen von Produktionsressourcen werden ausschließlich vom DevOps-Team durchgeführt und unterliegen den Verfahren der Änderungskontrolle.  Das DevOps-Team verwendet AWS-Tools zur Verwaltung des Ressourceninventars.

Infrastruktur- und Systemüberwachung

Um einen stabilen Betriebszustand zu gewährleisten, wurde ein umfassendes Überwachungs- und Warnsystem für folgende Elemente eingerichtet:

• Serverinfrastruktur: CPU, Speicher, Festplattenspeicher und Verfügbarkeit
• Anwendungen: Fehler, Leistungseinbußen und Verfügbarkeit
• Netzwerkleistung: Nutzung und Bandbreite, Reaktionszeit des Servers, Durchsatz und Webanfragen

Systemwartung

Regelmäßige Wartungen und Notfallwartungen werden in Übereinstimmung mit unserem etablierten Verfahren zur Änderungskontrolle durchgeführt.

Notfallwiederherstellung

Die Notfallwiederherstellungsstrategie für Bluebeam Studio basiert auf der Nutzung mehrerer AWS-Verfügbarkeitszonen. Diese Strategie ist darauf ausgerichtet, das Risiko von Unterbrechungen und Notfällen durch Bereitstellen eines hochverfügbaren, verteilten Systems zu minimieren.

Zur Bewältigung eines etwaigen Ausfalls kritischer Infrastruktur haben wir folgende Vorkehrungen getroffen:

Infrastrukturredundanz

Für alle Studio-Anwendungsserver wird komplette Redundanz gewährleistet. Bei Ausfall eines Primärservers wird der gesamte Datenverkehr automatisch auf einen sekundären Server umgeleitet.

Anwendungsserver werden in einem Cluster hinter einem Load Balancer ausgeführt. Zur Gewährleistung hoher Verfügbarkeit ist für die Studio-SQL-Datenbanken „AlwaysOn“ aktiviert. DNS-Redundanz wird durch AWS Route53 bereitgestellt.

Darüber hinaus wird die Bluebeam Studio-Infrastruktur über mehrere AZs in einer Multi-AZ-Architektur innerhalb der AWS-Region bereitgestellt.

Back-up-Protokoll

Vollständige Back-ups der SQL-Datenbanken werden täglich durchgeführt. Die Back-up-Dateien werden außerhalb der Produktionsserver gespeichert und ihre Integrität wird regelmäßig überprüft.

PDF-Dateien werden in AWS S3 gespeichert, um eine besonders robuste Speicherung und Dateiversionierung zu gewährleisten.

SOC2

Konformität mit SOC2

Der Bluebeam SOC-Bericht (System and Organization Controls) wurde von einer unabhängigen Prüfstelle erstellt und dokumentiert die Maßnahmen, die Bluebeam zur Einhaltung maßgeblicher Sicherheitskriterien und Compliance-Ziele einsetzt. Bluebeam unterzieht sich jährlich einem SOC-2-Audit, um die Implementierung und Wirksamkeit unserer Sicherheitsmaßnahmen durch einen unabhängigen externen Prüfer bewerten zu lassen. Dem Bericht liegen die Trust Services Criteria für Sicherheit und Verfügbarkeit gemäß SOC 2 zugrunde.

Ihren Bluebeam Bericht können Sie bei Ihrem oder Ihrer zuständigen Ansprechpartner:in anfordern. Alternativ können Sie uns auch hier kontaktieren.

Anleitungen

Revu 2017 und älter

Revu 2018

Revu 2019

Revu 20

Revu 21

Studio