Warenkorb

keine Produkte im Warenkorb

Sophos Central Email Encryption – Erfahrungsbericht

Um euch bezüglich Sophos Central immer auf dem Laufenden zu halten, habe ich mich vor kurzem am EAP (Early Access Programm) für Email Encryption angemeldet und mir die neuen Funktionen etwas genauer angeschaut und natürlich getestet.

In diesem Artikel teile ich meine bisher gemachten Erfahrungen und möchte euch zeigen, was ihr von dieser neuen Funktion erwarten könnt.

Voraussetzungen

Um am EAP für Email Encryption teilzunehmen und dieses Feature auch nach dieser Testphase zu nutzen, wird eine Sophos Central Email Gateway Advanced Lizenz vorausgesetzt.

Email Encryption einrichten

Wer sich am EAP für Email Encryption angemeldet hat, findet neu in den Einstellungen von Central Email Gateway den Punkt Verschlüsselungseinstellungen. Sobald diese Funktion aktiviert wird, kann man noch ein paar Regeln für die Nachrichtenverschlüsselung festlegen.

  • Gesamte Nachricht oder nur Anhänge: Standardmässig wird die komplette Nachricht als PDF verschlüsselt. Es ist aber auch möglich, nur Anhänge verschlüsseln zu lassen und die Nachricht weiterhin als Klartext zu senden.
  • Nachrichten mit einem Betreffzeilen-Tag senden: Mit dieser Option legt ihr eine beliebige Zeichenfolge fest, die dann jeweils am Anfang eines Betreffs stehen muss, damit eine Nachricht automatisch verschlüsselt wird. Wenn euer Betreffzeilen-Tag beispielsweise „Secure:“ heisst, wird jede E-Mail, die im Betreff mit diesem Tag beginnt, verschlüsselt. Es wird aber allerdings nicht zwischen Gross- und Kleinschreibung unterschieden.
  • Adressen und Domänen: Um nicht jedes Mal mit dem Betreffzeilen-Tag zu arbeiten, um eine E-Mail verschlüsseln zu lassen, gibt es noch eine komfortablere Variante. Ihr könnt euch eine Liste mit Adresse und Domänen anlegen, an die nur noch verschlüsselte Nachrichten raus geschickt werden.

Email Encryption in der Praxis

Damit die Verschlüsselung überhaupt funktioniert, darf man nicht vergessen, bei der Domain-Konfiguration den eingehenden und ausgehenden Verkehr von Sophos Email scannen zu lassen. Wenn die ausgehenden E-Mails nicht über Sophos Email geleitet werden, kann natürlich auch keine Verschlüsselung stattfinden.

Als Outbound-Gateway habe ich in meinen Tests Microsoft Office 365 verwendet.

E-Mails versenden

Wenn alles korrekt konfiguriert wurde, ist das Versenden von verschlüsselten E-Mails wirklich ein Kinderspiel! Für diese Lösung von Sophos braucht es keinen speziellen E-Mail-Client oder eine spezielle Software, die zuerst noch installiert werden muss. An der Art und Weise, wie ihr bisher E-Mails verschickt habt, ändert sich eigentlich nichts. Einzig bei der Lösung mit dem Betreffzeilen-Tag müsst ihr daran denken, den Betreff entsprechend zu benennen, damit die Nachricht dann nicht doch versehentlich unverschlüsselt rausgeht. Selbst auf mobilen Betriebssystemen, wie iOS oder Android, hat diese in meinen Tests wunderbar funktioniert.

Für alle Office 365 Benutzer unter euch, bietet Sophos auch ein Outlook Plugin an. Dadurch bekommt ihr in der Menüleiste eine Schaltfläche, um mit einem Klick die Nachricht vor dem Senden noch zu verschlüsseln. Funktionierte in meinen Tests übrigens sowohl im neusten Outlook auf Windows und Mac, sowie in der Browser-Variante.

Um die Lösung mit der Betreffzeile weitgehend zu umgehen und den Komfort noch weiter zu steigern, solltet ihr einfach gleich zu Beginn in den Einstellungen von Email Encryption eine Liste mit Domains und Adressen anlegen, an die immer verschlüsselt verschickt wird.

Wie ihr vielleicht schon in den oben beschriebenen Einstellungsmöglichkeiten gelesen habt, verpackt Sophos Email eure Nachricht in einen mit AES-256 verschlüsselten PDF-Container. Auch Anhänge, wie PDFs, Bilder, Word und Excel Dokumente, etc. könnt ihr mit eurer Nachricht mitschicken.

E-Mails empfangen

Der Empfänger bekommt zuerst eine E-Mail von Sophos, die ihn darüber informiert, dass eine verschlüsselte Nachricht auf ihn wartet. Der Empfänger muss dann über einen Link zuerst ein Passwort definieren, mit dem er zukünftig alle Nachrichten von Sophos Email Encryption entschlüsseln kann. Anschliessend wird ihm die Nachricht zugestellt, was zum aktuellen Zeitpunkt so ausschaut:

Da ich in den Einstellungen definiert habe, dass sowohl meine E-Mail-Nachricht, wie auch alle Anhänge verschlüsselt werden sollen, versteckt sich mein Text nun im angehängten message.pdf, welches nur mit dem entsprechenden Passwort geöffnet werden kann.

Auch wenn von Sophos empfohlen wird, den Adobe Acrobat zu verwenden, konnte ich das message.pdf sogar in der Webversion von Outlook öffnen.

In meinen Tests wurden Bilder, Textdateien und Open Office Dokumente in ein separates PDF mit der Bezeichnung attachments.pdf gepackt. Diese konnte ich dann mit dem Acrobat anschauen und exportieren. Dies sollte theoretisch in jedem PDF-Viewer funktionieren, der das Anzeigen von Anhängen in PDF-Dokumenten unterstützt.

Bei PDFs, Word oder Excel Dokumenten (.docx, .xlsx) konnte ich feststellen, dass diese nur verschlüsselt und weiterhin einzeln im Anhang geführt werden. Einzig die älteren Microsoft-Formate, wie .doc oder .xls wurden zu den Bildern und Textdateien ins separate attachments.pdf gelegt.

Auf E-Mails antworten

Um auf eine verschlüsselte Nachricht zu antworten, klickt der Empfänger einfach im message.pdf auf einen Link.

Im Browser öffnet sich dann eine Eingabemaske, die genügend Funktionen bietet, um eine anständige E-Mail zu verfassen. Auch Anhänge können hochgeladen werden.

Passwort vergessen?

Sollte das Passwort für das Entschlüsseln einer Nachricht einmal vergessen gehen, was mir während meinen Tests selbst sogar passiert ist 😅, schickt Sophos in jeder Nachricht einen Link mit, um sein Passwort zurückzusetzen.

Was mich an diesem Prozess positiv überrascht hat, ist die Tatsache, dass es nicht zwingend notwendig ist, gleich ein neues Passwort zu vergeben. Die Seite für die Passwortwiederherstellung dient auch dazu, das bisherige Passwort einzusehen und dieses wiederzuverwenden. In einer Liste wird angezeigt, welches Passwort in welchem Zeitraum bisher verwendet wurde. Dies ist dann sehr hilfreich, wenn man eine frühere Nachricht noch einmal anschauen möchte, die aber mit einem früheren Passwort verschlüsselt wurde.

Fazit

Das Thema E-Mail-Verschlüsselung ist schon seit vielen Jahren immer wieder präsent. Obwohl jeder gerne eine sichere E-Mail-Lösung nutzen würde, scheitert es schlussendlich immer beim Eindringen in die Komfortzone. Das Versenden von E-Mails muss einfach sein und weil die meisten Menschen dies bereits seit vielen Jahren tun, darf es auf keinen Fall komplizierter werden.

Mit Sophos Central Email Encryption hat Sophos meiner Ansicht nach eine sehr gute Lösung gefunden, wie verschlüsselte E-Mails super einfach versendet werden können, ohne am gewohnten Ablauf etwas zu verändern. Dieser Prozess funktioniert mit jedem E-Mail-Client und auf jedem Betriebssystem, ohne vorher etwas installieren zu müssen. Die Konfiguration wird völlig unabhängig über Sophos Central vorgenommen.

Wo ich jetzt aber noch nicht in Begeisterungsstürme ausbreche, ist die Art und Weise, wie der Empfänger diese verschlüsselte Nachricht bekommt. Abgesehen vom im Moment noch sehr aggressiven Sophos Branding, frage ich mich, ob wir uns zukünftig daran gewöhnen können, jedes Mal ein verschlüsseltes PDF zu öffnen, um eine E-Mail zu lesen? Wird dies eine Lösung sein, die sich bezüglich Komfort als massentauglich erweist? In diesem Punkt bin ich mir wirklich noch nicht so sicher.

Was ich an Sophos Central Email Encryption aber wirklich gelungen finde, ist die Verarbeitung der Anhänge. Wer häufig Word-Dokumente oder PDFs mit sensiblen Inhalten herumschickt, bekommt mit Email Encryption eine automatisierte Lösung, die sich um die Verschlüsslung von solchen Anhängen kümmert. Da sehe ich auch beim Empfänger keinen grossen Verstoss gegen seine Komfortzone, da die Entschlüsselung solcher Dokumente mit einfachen Bordmitteln erledigt werden kann. Wie in meinem Testbericht geschrieben, konnte ich ein verschlüsseltes PDF sogar im Outlook Webmail entschlüsseln und öffnen.

Auch wenn wir uns hier noch im EAP befinden, hinterlässt Central Email Encryption bei mir bereits einen sehr kompletten Eindruck. In meinen Tests funktionierte zumindest technisch gesehen alles einwandfrei. Einzig bezüglich Branding hoffe ich, dass uns Sophos hier in Zukunft etwas mehr Spielraum lässt. Bisher habe ich beispielsweise keine Möglichkeit gefunden, ein eigenes Firmenlogo in den E-Mails zu verwenden. Lassen wir uns mal überraschen, was hier für die Zukunft noch geplant ist.

David
David

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.