Übersicht über die Studio-Sicherheit

Der Support für Studio Prime ist am 31. Dezember 2025 ausgelaufen. Weitere Informationen finden Sie im Artikel zur Einstellung von Studio Prime.

Einleitung

Dieser Artikel enthält Antworten auf häufig gestellte Fragen von Benutzern von Bluebeam Studio zu Dokument- und Systemsicherheit, Zugriffskontrolle sowie die Folgen eines Infrastrukturausfalls.

Zugriff auf Bluebeam Studio

Um an Studio-Sitzungen und -Projekten teilnehmen zu können, müssen Benutzer:innen einen Benutzernamen und ein Kennwort eingeben, die mit Ihrer Bluebeam ID (BBID) verknüpft sind. Informationen zum Erstellen einer BBID finden Sie in diesem Artikel.

Wenn Sie Revu 20 im Ansichtsmodus verwenden, können Sie auch auf Studio zugreifen, müssen aber zunächst von einem lizenzierten Revu-Benutzer zu einer Studio-Sitzung oder einem Studio-Projekt eingeladen werden.
In Revu 21 können Nicht-Abonnenten ohne Bluebeam-Abo weiterhin als Schreibgeschützt-Benutzer in Studio zusammenarbeiten, haben jedoch nur eingeschränkten Zugriff auf Markierungs-Werkzeuge und -Eigenschaften. Außerdem können Basics-Konten und Konten mit schreibgeschütztem Zugriff keine neuen Sitzungen oder Projekte erstellen. Für weitere Informationen besuchen Sie Arbeiten in Revu 21 ohne Abo.

Verbindungen zum Studio-Server werden von Revu-Clients initiiert, das System sendet jedoch keine eingehenden Verbindungsanfragen an den Client zurück. Für die primäre Kommunikation und Übertragung von Dateien, Markierungen und anderen umfangreichen Daten wird das HTTPS-Protokoll verwendet, während zur Verschlüsselung und Authentifizierung das TLS-Protokoll (Transport Layer Security) verwendet wird.

Diagramm: Verbindung zwischen Revu-Client und Studio-Server

Anforderungen an Firewalls

Sehen Sie sich die Whitelist für Bluebeam Lösungen nach Domains oder IP-Adressen für die von Revu, Studio und Bluebeam im Web und auf Mobilgeräten verwendeten Domains und Ports an. Wenn Sie nur auf eine bestimmte Region zugreifen, setzen Sie nur die für diese Region erforderlichen Domains sowie die erforderlichen globalen Dienste auf die Positivliste.

Wir verwenden die nachstehend aufgeführten Domains zur Kommunikation von Support-, Lizenzierungs- und anderen auf Studio bezogenen Informationen an Endbenutzer:innen. Um eine erfolgreiche E-Mail-Übertragung zu gewährleisten, kann es erforderlich sein, diese Domains auf eine Whitelist zu setzen:

US-Umgebung:

@bluebeam.com

@bluebeamops.com

@bluebeam-support.com

UK-Umgebung:

@bluebeamstudio.co.uk

AUS-Umgebung:

@bluebeamstudio.com.au

DE-Umgebung:

@bluebeamstudio.de

SE-Umgebung:

@bluebeamstudio.se

Diese E-Mails werden in unserem Auftrag von amazonses.com gesendet. Wenn Ihre Benutzer sie nicht erhalten, bitten Sie Ihre E-Mail-Server-Administratoren, den Sender Policy Framework (SPF)-Eintrag zu überprüfen und sicherzustellen, dass amazonses.com ebenfalls als vertrauenswürdige Domain zugelassen ist.

Endbenutzerauthentifizierung und Zugriffskontrolle

Für die sichere Endbenutzerauthentifizierung und Zugriffskontrolle wurden die nachstehend aufgeführten Protokolle implementiert:

Anforderungen an Zertifikate

Verbindungen zu Studio-Umgebungen, wie z. B. studio.bluebeam.com, werden mit einem auf der Public Key Infrastructure (PKI) basierenden SSL-Zertifikat verschlüsselt, das von der Amazon Web Services Certificate Authority (AWS CA) ausgestellt wurde.

Das Zertifikat kann angezeigt werden, indem Sie zu https://studio.bluebeam.com gehen und auf das Vorhängeschloss-Symbol klicken, das sich am Anfang der URL in der Adressleiste befindet.

Anforderungen an Kennwörter und Speicher

Alle Kennwörter müssen zwischen 8 und 32 Zeichen lang sein und mindestens einen Kleinbuchstaben, einen Großbuchstaben, eine Ziffer und ein Sonderzeichen (!@#$%^&* o. ä.) enthalten.

Die Kennwörter werden vor der Speicherung mit einem starken Einweg-Hash-Algorithmus mit Salt verschlüsselt.

Außerdem werden Konten nach fünf aufeinanderfolgenden Anmeldeversuchen mit einem falschen Kennwort für einen Zeitraum von fünf Minuten gesperrt. Alle fehlgeschlagenen Anmeldeversuche werden protokolliert und unser operatives Team wird benachrichtigt, wenn ein voreingestellter Wert überschritten wird.

Mit Ausnahme von E-Mail-Adressen der Benutzer:innen zu Authentifizierungszwecken speichert das System keine personenbezogenen Daten.

Daten- und Systemsicherheit

Unten werden die Maßnahmen beschrieben, mit denen wir die Sicherheit von Daten und Systemen gewährleisten.

Infrastruktur und Datenspeicherung

Bluebeam Studio wird auf der Amazon Elastic Compute Cloud(EC2) gehostet, die von Amazon Web Services (AWS) verwaltet wird.

Die Studio-Infrastruktur besteht aus Anwendungsservern, die Revu-Clients unter Windows, macOS und iOS bedienen, sowie einem Backend-Verarbeitungssystem und einer Datenebene.

Studio-Daten und -Dateien werden in S3-Datenbanken und relationalen Datenbanken gespeichert. Die eigentlichen Projekt- und Sitzungsdokumente befinden sich auf Amazon-S3-Servern (Amazon Simple Storage Service).

Zur Einhaltung der verschiedenen Vorschriften zur Datenaufbewahrung verfügt Bluebeam Studio über mehrere isolierte Umgebungen in den USA, Großbritannien, Deutschland, Schweden und Australien. Die Datenbankinfrastruktur und die S3-Buckets, die Kundendaten enthalten, werden niemals von einer Umgebung an eine andere weitergeleitet. Alle Bluebeam Studio-Umgebungen können von überall auf der Welt aus aufgerufen werden.

Service Level Agreements für Amazon EC2 und Amazon S3 können unter folgenden Links eingesehen werden:

Datenschutz

Neben der Verschlüsselung aller Server-Backups und Entwicklerfestplatten werden alle Dokumente wie unten beschrieben automatisch verschlüsselt, wenn sie in eine Studio-Sitzung oder ein Studio-Projekt in Revu hochgeladen werden.

Verschlüsselung

Die Verschlüsselung erfolgt mithilfe einer AWS-KMS-ID (Key Management Service).

Alle Daten werden im Ruhezustand (AES-256-Verschlüsselung) und während der Übertragung verschlüsselt. Die Datenübertragung wird während der Übertragung über TLS1.2* zwischen dem Revu-Client und Amazon S3 verschlüsselt. In der Serverumgebung werden Dateien im S3-Service von Amazon verschlüsselt. Datenbanksicherungen werden auf verschlüsselten Datenträgern gespeichert.

Systemsicherheit

Wir verwenden eine validierte und getestete „Vorlage“, um zu gewährleisten, dass alle Umgebungen nach den gleichen Prinzipien funktionieren sowie identischen Netzwerkrichtlinien und Einschränkungen unterliegen. Nach der Bereitstellung sorgen die unten erläuterten Maßnahmen und Richtlinien für zusätzliche Sicherheit und Konsistenz in der gesamten Infrastruktur:

Kontrollierter Administratorzugriff

Nur eine ausgewählte Gruppe von IT-Fachkräften verfügt über Administratorrechte für die Infrastruktur von Bluebeam Studio. Der Zugriff auf die Verwaltungskonsole wird durch eine Multi-Faktor-Authentifizierung (MFA) sichergestellt.

Änderungskontrolle

Alle Änderungen und Verbesserungen am System werden dokumentiert und müssen vor der Implementierung in der Produktionsumgebung von unseren DevOps- und Sicherheitsteams getestet und genehmigt werden.

Protokollierung

Anwendungs- und Systemsicherheitsprotokolle werden mindestens 30 Tage lang aufbewahrt.

Bewertung und Behebung von Schwachstellen

Um eventuell auftretende Sicherheitsprobleme zu bewältigen, haben wir einen ausführlichen Prozess zur Bewertung und Behebung von Schwachstellen implementiert. Diese Maßnahmen umfassen Virenschutz auf allen Servern, proaktive System-Patching-Richtlinien und Überwachung der Dateiintegrität (zur Erkennung unbefugter Änderungen an den Systemen).

Anwendungen mit einer Webkomponente werden vor und nach der Bereitstellung in der Produktionsumgebung gescannt.

Alle Produktionssysteme werden regelmäßig auf Schwachstellen in der Infrastruktur überprüft und entsprechend gepatcht.

Inventar genehmigter Ressourcen

Ergänzungen und Änderungen von Produktionsressourcen werden ausschließlich vom DevOps-Team durchgeführt und unterliegen den Verfahren der Änderungskontrolle. Das DevOps-Team verwendet AWS-Tools zur Verwaltung des Ressourceninventars.

Infrastruktur- und Systemüberwachung

Um einen stabilen Betriebszustand zu gewährleisten, wurde ein umfassendes Überwachungs- und Warnsystem für folgende Elemente eingerichtet:

  • Serverinfrastruktur: CPU, Speicher, Festplattenspeicher und Verfügbarkeit
  • Anwendungen: Fehler, Leistungseinbußen und Verfügbarkeit
  • Netzwerkleistung: Nutzung und Bandbreite, Reaktionszeit des Servers, Durchsatz und Webanfragen

Systemwartung

Regelmäßige Wartungen und Notfallwartungen werden in Übereinstimmung mit unserem etablierten Verfahren zur Änderungskontrolle durchgeführt.

Notfallwiederherstellung

Die Notfallwiederherstellungsstrategie für Bluebeam Studio basiert auf der Nutzung mehrerer AWS-Verfügbarkeitszonen. Diese Strategie ist darauf ausgerichtet, das Risiko von Unterbrechungen und Notfällen durch Bereitstellen eines hochverfügbaren, verteilten Systems zu minimieren.

Zur Bewältigung eines etwaigen Ausfalls kritischer Infrastruktur haben wir folgende Vorkehrungen getroffen:

Infrastrukturredundanz

Für alle Studio-Anwendungsserver wird komplette Redundanz gewährleistet. Bei Ausfall eines Primärservers wird der gesamte Datenverkehr automatisch auf einen sekundären Server umgeleitet.

Anwendungsserver werden in einem Cluster hinter einem Load Balancer ausgeführt. Studio Database verwendet „AlwaysOn“, um Hochverfügbarkeit bereitzustellen. Die DNS-Redundanz wird von AWS Route53 bereitgestellt.

Darüber hinaus wird die Bluebeam Studio-Infrastruktur über mehrere AZs in einer Multi-AZ-Architektur innerhalb der AWS-Region bereitgestellt.

Back-up-Protokoll

Vollständige Backups der Datenbanken werden täglich durchgeführt. Die Backup-Dateien werden außerhalb der Produktionsserver gespeichert und ihre Integrität wird regelmäßig überprüft.

PDF-Dateien werden in AWS S3 gespeichert, um eine besonders robuste Speicherung und Dateiversionierung zu gewährleisten.

Bluebeam speichert nur zeitlich begrenzte Backups, bei denen nicht alle vorherigen Zustände der Datenbank dargestellt werden. In der Regel umfasst das Backup nur die letzten 24 Stunden.

SOC2

Konformität mit SOC2

Der Bluebeam SOC-Bericht (System and Organization Controls) wurde von einer unabhängigen Prüfstelle erstellt und dokumentiert die Maßnahmen, die Bluebeam zur Einhaltung maßgeblicher Sicherheitskriterien und Compliance-Ziele einsetzt. Bluebeam unterzieht sich jährlich einem SOC-2-Audit, um die Implementierung und Wirksamkeit unserer Sicherheitsmaßnahmen durch einen unabhängigen externen Prüfer bewerten zu lassen. Dem Bericht liegen die Trust Services Criteria für Sicherheit und Verfügbarkeit gemäß SOC 2 zugrunde.

Ihren Bluebeam Bericht können Sie bei Ihrem oder Ihrer zuständigen Ansprechpartner:in anfordern. Alternativkönnen Sie uns auch kontaktieren, wenn Sie einen Bluebeam Vertriebspartner haben.

Anleitungen

Revu 20

Revu 21

Studio

Dieser Artikel enthält Antworten auf häufig gestellte Fragen von Benutzern von Bluebeam Studio™ betreffend Dokument- und Systemsicherheit, Zugriffskontrolle sowie die Folgen eines Infrastrukturausfalls.