Zum Inhalt springen
Avanet
Sophos Central Email Encryption - Erfahrungsbericht

Sophos Central Email Encryption - Erfahrungsbericht

Um euch bezüglich Sophos Central immer auf dem Laufenden zu halten, habe ich mich vor Kurzem am EAP (Early Access Programm) für Email Encryption angemeldet, mir die neuen Funktionen etwas genauer angeschaut und natürlich getestet.

In diesem Artikel teile ich meine bisher gemachten Erfahrungen und möchte euch zeigen, was ihr von dieser neuen Funktion erwarten könnt.

Voraussetzungen

Um am EAP für Email Encryption teilzunehmen und dieses Feature auch nach dieser Testphase zu nutzen, wird eine Sophos Central Email Gateway Advanced-Lizenz vorausgesetzt.

Email Encryption einrichten

Wer sich am EAP für Email Encryption angemeldet hat, findet neu in den Einstellungen von Central Email Gateway den Punkt Verschlüsselungseinstellungen. Sobald diese Funktion aktiviert wird, kann man noch ein paar Regeln für die Nachrichtenverschlüsselung festlegen.

Email Gateway Verschlüsselungseinstellungen
  • Gesamte Nachricht oder nur Anhänge: Standardmässig wird die komplette Nachricht als PDF verschlüsselt. Es ist aber auch möglich, nur Anhänge verschlüsseln zu lassen und die Nachricht weiterhin als Klartext zu senden.
  • Nachrichten mit einem Betreffzeilen-Tag senden: Mit dieser Option legt ihr eine beliebige Zeichenfolge fest, die dann jeweils am Anfang eines Betreffs stehen muss, damit eine Nachricht automatisch verschlüsselt wird. Wenn euer Betreffzeilen-Tag beispielsweise „Secure:“ heisst, wird jede E-Mail, die im Betreff mit diesem Tag beginnt, verschlüsselt. Es wird allerdings nicht zwischen Gross- und Kleinschreibung unterschieden.
  • Adressen und Domänen: Um nicht jedes Mal mit dem Betreffzeilen-Tag zu arbeiten, um eine E-Mail verschlüsseln zu lassen, gibt es noch eine komfortablere Variante. Ihr könnt euch eine Liste mit Adressen und Domänen anlegen, an die nur noch verschlüsselte Nachrichten rausgeschickt werden.

Email Encryption in der Praxis

Damit die Verschlüsselung überhaupt funktioniert, darf man nicht vergessen, bei der Domain-Konfiguration den eingehenden und ausgehenden Verkehr von Sophos Email scannen zu lassen. Wenn die ausgehenden E-Mails nicht über Sophos Email geleitet werden, kann natürlich auch keine Verschlüsselung stattfinden.

Als Outbound-Gateway habe ich in meinen Tests Microsoft Office 365 verwendet.

Email Encryption Domain Einstellungen

E-Mails versenden

Wenn alles korrekt konfiguriert wurde, ist das Versenden von verschlüsselten E-Mails wirklich ein Kinderspiel! Für diese Lösung von Sophos braucht es keinen speziellen E-Mail-Client oder eine spezielle Software, die zuerst noch installiert werden muss. An der Art und Weise, wie ihr bisher E-Mails verschickt habt, ändert sich eigentlich nichts. Einzig bei der Lösung mit dem Betreffzeilen-Tag müsst ihr daran denken, den Betreff entsprechend zu benennen, damit die Nachricht dann nicht doch versehentlich unverschlüsselt rausgeht. Selbst auf mobilen Betriebssystemen wie iOS oder Android hat dies in meinen Tests wunderbar funktioniert.

Für alle Office-365-Benutzer unter euch bietet Sophos auch ein Outlook-Plugin an. Dadurch bekommt ihr in der Menüleiste eine Schaltfläche, um mit einem Klick die Nachricht vor dem Senden noch zu verschlüsseln. Funktionierte in meinen Tests übrigens sowohl im neusten Outlook auf Windows und Mac als auch in der Browser-Variante.

Email Encryption Office 365 Outlook Plugin

Um die Lösung mit der Betreffzeile weitgehend zu umgehen und den Komfort noch weiter zu steigern, solltet ihr einfach gleich zu Beginn in den Einstellungen von Email Encryption eine Liste mit Domains und Adressen anlegen, an die immer verschlüsselt verschickt wird.

Wie ihr vielleicht schon in den oben beschriebenen Einstellungsmöglichkeiten gelesen habt, verpackt Sophos Email eure Nachricht in einen mit AES-256 verschlüsselten PDF-Container. Auch Anhänge wie PDFs, Bilder, Word- und Excel-Dokumente etc. könnt ihr mit eurer Nachricht mitschicken.

E-Mails empfangen

Der Empfänger bekommt zuerst eine E-Mail von Sophos, die ihn darüber informiert, dass eine verschlüsselte Nachricht auf ihn wartet. Der Empfänger muss dann über einen Link zuerst ein Passwort definieren, mit dem er zukünftig alle Nachrichten von Sophos Email Encryption entschlüsseln kann. Anschliessend wird ihm die Nachricht zugestellt, was zum aktuellen Zeitpunkt so ausschaut:

Email Encryption Benachrichtigung

Da ich in den Einstellungen definiert habe, dass sowohl meine E-Mail-Nachricht als auch alle Anhänge verschlüsselt werden sollen, versteckt sich mein Text nun in der angehängten Datei message.pdf, die nur mit dem entsprechenden Passwort geöffnet werden kann.

Auch wenn von Sophos empfohlen wird, Adobe Acrobat zu verwenden, konnte ich das message.pdf sogar in der Webversion von Outlook öffnen.

In meinen Tests wurden Bilder, Textdateien und OpenOffice-Dokumente in ein separates PDF mit der Bezeichnung attachments.pdf gepackt. Diese konnte ich dann in Acrobat anschauen und exportieren. Dies sollte theoretisch in jedem PDF-Viewer funktionieren, der das Anzeigen von Anhängen in PDF-Dokumenten unterstützt.

Email Encryption PDF-Anhänge

Bei einigen Dateitypen konnte ich feststellen, dass diese nur verschlüsselt und weiterhin einzeln im Anhang geführt werden. Einzig die älteren Microsoft-Formate wie .doc oder .xls wurden zu den Bildern und Textdateien ins separate attachments.pdf gelegt.

Auf E-Mails antworten

Um auf eine verschlüsselte Nachricht zu antworten, klickt der Empfänger einfach im message.pdf auf einen Link.

Email Encryption - Antwort Link im PDF

Im Browser öffnet sich dann eine Eingabemaske, die genügend Funktionen bietet, um eine anständige E-Mail zu verfassen. Auch Anhänge können hochgeladen werden.

Email Encryption - Antwort Eingabemaske

Passwort vergessen?

Sollte das Passwort für das Entschlüsseln einer Nachricht einmal vergessen gehen, was mir während meiner Tests selbst sogar passiert ist 😅, schickt Sophos in jeder Nachricht einen Link mit, um sein Passwort zurückzusetzen.

Was mich an diesem Prozess positiv überrascht hat, ist die Tatsache, dass es nicht zwingend notwendig ist, gleich ein neues Passwort zu vergeben. Die Seite für die Passwortwiederherstellung dient auch dazu, das bisherige Passwort einzusehen und dieses wiederzuverwenden. In einer Liste wird angezeigt, welches Passwort in welchem Zeitraum bisher verwendet wurde. Dies ist dann sehr hilfreich, wenn man eine frühere Nachricht noch einmal anschauen möchte, die aber mit einem früheren Passwort verschlüsselt wurde.

Email Encryption - PDF Passwort vergessen

Fazit

Das Thema E-Mail-Verschlüsselung ist schon seit vielen Jahren immer wieder präsent. Obwohl jeder gerne eine sichere E-Mail-Lösung nutzen würde, scheitert es schlussendlich immer am Verlassen der Komfortzone. Das Versenden von E-Mails muss einfach sein und weil die meisten Menschen dies bereits seit vielen Jahren tun, darf es auf keinen Fall komplizierter werden.

Mit Sophos Central Email Encryption hat Sophos meiner Ansicht nach eine sehr gute Lösung gefunden, wie verschlüsselte E-Mails super einfach versendet werden können, ohne am gewohnten Ablauf etwas zu verändern. Dieser Prozess funktioniert mit jedem E-Mail-Client und auf jedem Betriebssystem, ohne vorher etwas installieren zu müssen. Die Konfiguration wird völlig unabhängig über Sophos Central vorgenommen.

Wo ich jetzt aber noch nicht in Begeisterungsstürme ausbreche, ist die Art und Weise, wie der Empfänger diese verschlüsselte Nachricht bekommt. Abgesehen vom im Moment noch sehr aggressiven Sophos Branding frage ich mich, ob wir uns zukünftig daran gewöhnen können, jedes Mal ein verschlüsseltes PDF zu öffnen, um eine E-Mail zu lesen? Wird dies eine Lösung sein, die sich bezüglich Komfort als massentauglich erweist? In diesem Punkt bin ich mir wirklich noch nicht so sicher.

Was ich an Sophos Central Email Encryption aber wirklich gelungen finde, ist die Verarbeitung der Anhänge. Wer häufig Word-Dokumente oder PDFs mit sensiblen Inhalten herumschickt, bekommt mit Email Encryption eine automatisierte Lösung, die sich um die Verschlüsselung von solchen Anhängen kümmert. Da sehe ich auch beim Empfänger keinen grossen Bruch mit seiner Komfortzone, da die Entschlüsselung solcher Dokumente mit einfachen Bordmitteln erledigt werden kann. Wie in meinem Testbericht geschrieben, konnte ich ein verschlüsseltes PDF sogar im Outlook Webmail entschlüsseln und öffnen.

Auch wenn wir uns hier noch im EAP befinden, hinterlässt Central Email Encryption bei mir bereits einen sehr kompletten Eindruck. In meinen Tests funktionierte zumindest technisch gesehen alles einwandfrei. Einzig bezüglich Branding hoffe ich, dass uns Sophos hier in Zukunft etwas mehr Spielraum lässt. Bisher habe ich beispielsweise keine Möglichkeit gefunden, ein eigenes Firmenlogo in den E-Mails zu verwenden. Lassen wir uns mal überraschen, was hier für die Zukunft noch geplant ist.

David

David

David verantwortet Inhalte, Struktur und digitale Umsetzung bei Avanet. Sein Fokus liegt darauf, komplexe technische Themen klar, präzise und suchmaschinenfreundlich aufzubereiten.