Rufen Sie uns direkt an:

0800 - BITRIX-D
(0800 - 248749-3)
Kostenlos für Deutschland

+7 (9632) 909 337
International

Kostenloses Online-Webinar

Bleiben Sie informiert:

Wir bei Twitter
Wir bei Facebook
YouTube-Channel
Unser RSS-Feed

Sicherheit

Bitrix Intranet Portal bietet den höchsten Schutz vor Tausenden von Gefahren aus dem Internet. Ihre Website kann täglich angegriffen und Ihre Daten können beschädigt werden.

Warum sollte ich meine Website schützen?

  • 82% aller Websites hatten 2008 mindestens ein Sicherheitsproblem;
  • E-Commerce-Datenbanken sind die beliebtesten Ziele für Hackerangriffe;
  • Über 90.000 Anrufe gehen bei den Top 20 der US-Banken nach jeder Phishing-Attacke ein;
  • Über 200 neue Hackermethoden wurden in den letzten drei Jahren bekannt;
  • Unvermeidbare Imageschäden für Ihr Unternehmen im Fall eines Datenverlustes.


PRO+PRO™ Framework

PRO+PROTM Framework - das proaktive Schutzsystem

Das PRO+PROTM Security-Framework ist eine einzigartige Sammlung an Tools für den proaktiven Schutz Ihrer Internet/Intranet-Projekte. Das Framework wurde in die Software integriert und wird mit jedem Bitrix Produkt ohne Aufpreis geliefert. Das PRO+PRO Framework ist eine ganze Reihe von technisch fortgeschrittenen Sicherheitstechnologien. Mehrere Sicherheitsebenen bieten Ihnen die Möglichkeit Hackerangriffe rechtzeitig aufzuspüren und Ihre Website vor allen bekannten Internetgefahren zu schützen.

Sergey Rizhikov, Bitrix, Inc. CEO

"Bitrix Intranet Portal ist ein hochsicheres Businesswerkzeug. Durch die Verwendung der brandneuen Security-Technologie – PRO+PRO Framework – sind Ihre persönlichen Daten jederzeit sicher. Das Framework wurde bereits auf Tausenden von Webseiten erfolgreich getestet."

-Sergey Rizhikov, CEO Bitrix, Inc.


Das Modul bietet folgende Funktionen an:
Systemsteuerung für die Einstellung der Schutzebene
Proaktiver Filter (Web Application Firewall)
Einmalkennwort-Technologie
Schutz autorisierter Sitzungen
Aktivitätskontrolle
Schutz vor Phishing
Protokoll der Angriffe
IP basierter Schutz der Systemsteuerung
Stopplisten
Kontrolle der Skriptvollständigkeit




Branchenspezifische Sicherheitsschwachstellen
Prozentsatz der anfälligen Webseiten, geordnet nach Branchen. 
 
Quelle: White Hat Security, "Website Security Statistics" by Trey Ford.



Über 600 russische Hacker haben während der "Bitrix Real-Time Hack Competition" gleichzeitig versucht das brandneue Bitrix Proactive Protection System zu knacken. Dieser Crash Test wurde im Rahmen des "Chaos Constructions CC9 Festival" im August 2009 durchgeführt. Während der Veranstaltung wurden von dem proaktiven Schutzsystem über 25.000 registriert und abgewehrt, und somit die hervorragende Stabilität des Systems bestätigt. Lesen Sie weiter (eng.).

Lesen Sie mehr in unserer Bitrix Software Security Präsentation (eng.). Download als .ppt oder .zip.



Web Antivirus

Bitrix Web-Antivirus: Ihr persönliche Intranet-Sicherheit

Das PRO+PRO System enthält ab sofort einen neuen Bestandteil des proaktiven Schutzes – Bitrix Web-Antivirus. Der Web-Antivirus verleiht zusätzliche Sicherheit für Webprojekt, die mit Bitrix Intranet Portal oder mit Bitrix Site Manager erstellt sind.

  • Ein durchdachtes Web-Antivirus-System
  • Schützt Webseiten vor dem schädlichen HTML-Code
  • Spürt 90% potentieller Gefahren auf
  • Meldet dem Administrator die gefährlichen Stellen im Code
  • Findet und berichtet über die Zusammenhanglosigkeiten von Code-Stücken
  • Enthält eine “White List” um falsch-positive Alarme zu vermeiden.


Bitrix Web-Antivirus ist kein Ersatz für eine gewöhnliche Antivirus-Software auf Ihrem Computer. Wir empfehlen Ihnen, dass Sie Bitrix Web-Antivirus zusätzlich zu Ihrem gewöhnlichen Antivirus-Programm zu verwenden.


Funktionen
Proaktiver Filter (Web Application Firewall)
Systemsteuerung für die Einstellung der Schutzebene
Einmalkennwörter
Schutz der autorisierten Sitzungen
Aktivitätskontrolle
Schutz vor Phishing
Protokoll der Eindringversuche
IP-basierter Schutz der Systemsteuerung
Stopplisten
Prüfung der Unversehrtheit des Kontrollskripts

Proaktiver Filter (Web Application Firewall)


 Web Application Firewall schützt Ihr System vor den meisten bekannten Webangriffen. Der Filter erkennt die Gefahren in den eingehenden Anfragen und blockiert die Angriffe. Proaktiver Filter ist der beste Weg um vor möglichen Schwachstellen in den Webimplementierungen (XSS, SQL Injection, einschließlich PHP, etc.) zu schützen. Der Filter analysiert alle Nutzerdaten in Variablen und Cookies.

* Bitte beachten Sie, dass manche harmlose Handlungen der Nutzer unter Umständen auch als Gefahr eingestuft werden können, wodurch die Reaktion des Filters hervorgerufen wird.


  • Schutz vor den meisten bekannten Internetgefahren;
  • Abschirmung der Webanwendung vor den meisten Angriffen;
  • Liste der Filterausnahmen (mit Eingabemasken);
  • Erkennung von meisten Internetgefahren;
  • Abblockung von Eindringversuchen;
  • Schutz vor möglichen Sicherheitsfehlern;
  • Protokollführung aller Angriffe;
  • Meldung aller Eindringversuche an den Administrator;
  • Flexible Einstellungsmöglichkeiten für Firewall-Reaktionen auf Eindringversuche:
    • Daten sicher machen;
    • unsichere Daten entfernen;
    • die IP-Adresse des Angreifers vorübergehend in die Stoppliste hinzufügen.
  • die letzten Updates.


Systemsteuerung für die Einstellung der Schutzebene


Auf jeder Bitrix Intranet Portal basierter Website ist immer die Basisschutzebene voreingestellt. Sie können jedoch Ihre Sitesicherheit enorm steigern, in dem Sie eine der Proactive Protection Einstellungen wählen: Standard, Hoch oder Sehr hoch. Das System zeigt Ihnen aller Schritte, die notwendig sind, um die entsprechende Sicherheitsstufe zu konfigurieren.


  • Grundlevel – eingestellt auf allen Webprojekten, die ohne den Proactive Protection Modul laufen;

  • Standardlevel – bietet fast alle gängigen Funktionen des proaktiven Schutzes an:
    • proaktiver Filter (auf der ganzen Site);
    • wöchentlicher Protokoll der Eindringversuche;
    • Aktivitätskontrolle;
    • Hohes Sicherheitslevel für Administratoren;
    • CAPTCHA geschützte Anmeldung;
    • Fehlerprotokoll (Nur Fehler).

  • Hoher Sicherheitslevel ist empfehlenswert für alle Projekte, die zusätzlich zu den Funktionen des Standardsicherheitslevels folgende Funktionen benötigen:
    • Ereignisprotokoll des Kernmoduls;
    • Schutz der Systemsteuerung;
    • Speicherung aller Sitzungen in der Datenbank;
    • Änderung der Sitzungsidentifizierung.

  • Das höchste Sicherheitslevel beinhaltet zusätzliche Schutzmechanismen für Websites, die Nutzerdaten geheim halten müssen (Onlineshops, etc.). Dieser Level bietet zusätzlich folgende Funktionen an:
    • Einmalkennwort;
    • Kontrolle der Skriptvollständigkeit.


Protokoll über Eindringversuche


Hier werden alle Systemereignisse eingetragen, darunter auch ungewöhnliche und bösartige. Das Protokoll wird in Echtzeit aktualisiert, dadurch sehen Sie die Ereignisse sofort, wenn sie registriert werden. Diese Funktion bieten Ihnen die Möglichkeit Angriffe und Eindringversuche sofort zu entdecken und Gegenmaßnahmen zu treffen oder sie sogar vorzubeugen.



  • Sofortige Registrierung aller Systemereignisse;
  • Protokollführung für alle Angriffe, die von dem proaktiven Filter entdeckt werden:
    • Versuch der Einschleusung von SQL;
    • Angriff über XSS;
    • Versuch der Einschleusung von PHP.

  • Filter für bösartige Ereignisse;
  • Ansicht und Analyse der Ereignisse in Echtzeit um mögliche Angriffe vorzubeugen;
  • sofortige Reaktion auf bösartige Ereignisse.


Einmalkennwörter


Das Proactive Protection Modul unterstützt die Einmalkennwörter für beliebige Sitenutzer. Solche Kennwörter sind besonders empfehlenswert für Siteadministratoren, da sie die Sicherheit der "Administratoren"-Anwendergruppe enorm erhöhen.

Das Konzept der Einmalkennwörter verbessert die Standardautorisierung und erhöht enorm die Webprojektsicherheit. Das Einmalkennwortsystem erfordert einen physischen Hardware-Schlüssel (Token) (z.B. Aladdin eToken PASS) oder spezielle OTP-Software.

Diese Technologie gibt Ihnen die eindeutige Kenntnis davon, dass auf der Website nur diejenigen Nutzer autorisiert werden, an die Sie die Token ausgegeben haben. Der Passwortdiebstahl verliert dabei jeden Sinn, da jedes Passwort nur ein Mal verwendet wird. Der Token ist dabei ein physisches Gerät, das auf Knopfdruck jedes Mal ein neues Passwort ausgibt. Somit kann der Token-Besitzer sein Passwort auch nicht an Dritte weitergeben.



  • Verbesserung der Portalsicherheit;
  • Verwendung von Hardware-Token oder OTP-Software;
  • Erweiterte OTP-Authentifizierung: Der Anwender muss das Einmalkennwort an sein Standardpasswort anhängen;
  • Verwendung von zwei Einmalkennwörtern, die durch den Token generiert wurden;
  • Synchronisation von Token und Serverzahlengenerator im Fall des Verlusts.


Kontrolle der Dateivollständigkeit


Die Kontrolle der Dateivollständigkeit hilft dem Administrator die verdächtig veränderten Systemdateien aufzuspüren. Sie können jederzeit die Unversehrtheit des Systemkerns, System- oder öffentlichen Dateien prüfen.



  • Beobachtung der Änderungen im Dateiensystem;
  • Überprüfung der Kernunversehrtheit;
  • Überprüfung des Systembereiches;
  • Überprüfung der Vollständigkeit der öffentlichen Dateien.



Prüfung der Unversehrtheit des Kontrollskripts


Vor der Überprüfung auf Unversehrtheit ist es notwendig, das Kontrollskript nach möglichen Änderungen zu prüfen. Beim ersten Durchlauf des Skripts geben Sie ein beliebiges Passwort an (Buchstaben und Zahlen) und ein beliebiges Schlüsselwort (anderes als Passwort) an und klicken Sie auf "Set New Key".



  • Überprüfung des Kontrollskripts auf mögliche Änderungen;
  • Schutz des Skripts durch die Verbindung von Passwort und Schlüsselwort.


Schutz der Systemsteuerung


Dieser Schutztyp reguliert streng die Netze, die als sicher eingestuft werden und aus den Nutzern erlaubt ist das Portal zu administrieren. Alles, was Sie tun müssen, ist gültige IP-Adressen festzulegen. Machen Sie sich keine Sorgen darüber, dass Sie vergessen, sich selbst in diese Liste einzugeben, dies wird von dem System selbst übernommen.

Was bringt Ihnen das? Jeder XSS/CSS-Angriffsversuch wird uneffektiv, und Diebstahl von Autorisierungsdaten absolut sinnlos.



  • Zugriff auf die Systemsteuerung nur von angegebenen IP-Adressen;
  • Automatische Erkennung der IP-Adresse der Anwenders;
  • Manuelle Angabe erlaubter IP-Adressen.


Schutz der Sitzungen


Die meisten Angriffe auf Webanwendungen haben zum Ziel den Diebstahl der Daten der autorisierten Sitzung des Anwenders. Durch den Sitzungsschutz wird der Diebstahl von Sitzungsdaten sinnlos. Und wenn es sich um die autorisierte Sitzung des Administrators handelt, ist der Schutz dieser Sitzung eine besonders wichtige Aufgabe.

Zusätzlich zu den Standardsicherheitseinstellungen, die in den Gruppeneinstellungen eingestellt werden, beinhaltet der Sitzungsschutzmechanismus zusätzliche einzigartige Einstellungen.

Aufbewahrung der Sitzungsdaten in der Moduldatenbank ermöglicht es den Diebstahl dieser Daten durch andere Skripte zu vermeiden. Dadurch werden Fehler bei der Konfiguration der virtuellen Hostings, Fehler bei den Einstellungen der Zugriffsrechte in temporären Ordnern und einige andere Probleme mit dem Betriebssystem vermieden. Zusätzlich verringert es den Druck auf das Dateisystem, indem es die Belastung auf den Datenbankserver überträgt.



  • verschiedene Schutzmethoden:
    • Beschränkte Lebenszeit der Sitzung (Minuten);
    • regelmäßige Veränderung der Sitzungs-ID;
    • Netzwerkmaske zur Anbindung der Sitzung an spezielle IP;
    • Aufbewahrung der Sitzungsdaten in der Moduldatenbank.

  • Vermeidung der der Hosting- und Betriebssystemeinstellungsfehler;
  • Vermeidung falscher Zugriffsrechte für temporärer Ordner;
  • Verringerung der Auslastung des Dateisystems;
  • Sinnlosigkeit der Sitzungsdatenklau.


Aktivitätskontrolle


Aktivitätskontrolle schützt Ihr System vor überaktiven Nutzern, Programmrobots, einigen Arten von DDoS-Angriffen, und vermeidet Brute Force Attacken. Sie können die maximale Aktivität Ihrer Portalnutzer einstellen (z.B. Anzahl der Anfragen pro Sekunde).

Kontrolle der Nutzeraktivität wird auf der Basis des Web Analytics Moduls geführt, und ist somit, nur in Editionen vorhanden, die dieses Modul beinhalten.



  • Schutz vor überaktiver Nutzer;
  • Schutz vor Robots und DDos-Angriffen;
  • Vorbeugung von Brute Force Attacken;
  • Einstellung der höchstmöglichen Nutzeraktivität;
  • Eintragung der Aktivitätssteigerung in das Eindringprotokoll;
  • Sperrung der Nutzer mit übersteigender Aktivität;
  • Spezielle Informationsseite für gesperrte Anwender.


Stopplisten


Eine Stoppliste ist eine Tabelle die verschiedene Parameter enthält, mit den der Zugriff der Nutzer zum Portal eingeschränkt wird. Portalbesucher, deren IP-Adressen in der Stoppliste eingetragen sind, werden gesperrt.



  • Weiterleitung der Nutzer mit Einträgen in der Stoppliste;
  • Sperrung der Nutzer abhängig Ihrer IP-Adresse;
  • Verwaltung der Stopplisteneinträge;
  • Statistikerfassung für Nutzer mit Eigenschaften, die der Stoppliste entsprechen;
  • Flexible Einstellungsmöglichkeiten für Sperrdauer der Nutzer, IP-Adressen, Netzwerkmasken, UserAgents, und verweisender Links;
  • Einstellbare Nachricht an den gesperrten Nutzer.


Schutz vor Phishing


Als Phishing werden Versuche gekennzeichnet, über gefälschte Webadressen an Daten eines Internet-Benutzers zu gelangen.



Es gibt zwei Möglichkeiten um Phishing-Angriffe vorzubeugen:
  • Böswillige Weiterleitungen aufspüren, durch verdächtige Links im HTTP-Header
  • Links mit digitaler Signatur versehen und diese vor der Weiterleitung überprüfen
Folgendes können Sie tun, um Phishing vorzubeugen:
  • Warnungen bei Weiterleitungen anzeigen
  • Besucher nur an geprüfte Sites weiterleiten
Empfohlen für das hohe Sicherheitslevel.

Zertifizierungen

Zertifizierungen

Bitrix praktiziert permanentes Überwachen und Testen aller Systemschutzmechanismen. Um die Unvoreingenommenheit und Objektivität solcher Tests zu gewährleisten, beauftragen wir unabhängige Experten damit, Prüfungen durchzuführen. Zertifikate, die von den Security Audit Firmen ausgestellt sind, bestätigen die Qualität der Schutzmechanismen und ihre Übereinstimmung mit den Informationssicherheitsanforderungen.

Positive Technologies Certificate

"Protected Web Application"
(Bitrix Intranet Portal 8)

Das Zertifikat ist ausgestellt von der Firma Positive Technologies, die den Audit der neuen Sicherheitsfunktionen in Bitrix Intranet Portal durchgeführt hat. Das eingebaute Sicherheitssystem entspricht vollkommen den Anforderungen der Web Application Firewall Evaluation Criteria, die von dem Web Application Security Consortium bestimmt sind.

Die Qualität der Schutzmechanismen von Bitrix Intranet Portal bietet den Anwendern nicht nur die Zuverlässigkeit des Systemkerns, sondern auch von jeder Lösung, die auf seiner Basis entwickelt wurde, einschließlich Add-Ons und Modifizierungen, die von autorisierten Bitrix Partnern durchgeführt wurden.

Partner Program
Free Online Training
Support