Mitarbeiter in Unternehmen arbeiten von verschiedenen Orten aus und gleichzeitig mit externen Partnern zusammen. Der sichere Austausch vertraulicher Dateien sowie größerer Datenmengen bleibt dabei eine Herausforderung für die IT. Der Onlinedienst Tresorit bietet sich als flexible wie geschützte Cloudumgebung an und konnte im Test dank Sicherheit und Benutzerfreundlichkeit punkten.
Der klassische Desktop ist zu einem Workspace geworden, den Administratoren ihren Anwendern zur Verfügung stellen müssen. Traditionelle, auf den Computer beschränkte Desktops sind zu unflexibel und Remotezugriffe über Terminalserverfarmen und VPNs für manche Einsatzbereiche ebenfalls zu starr. Eine Lösung liegt darin, die sichere Ablage von Dokumenten aus dem verschlossenen Silo der Fileserver und dem Unternehmensnetz in eine Cloudumgebung zu verlagern und die Dokumente dort zu bearbeiten, freizugeben und bei Bedarf auch Dritten zugänglich zu machen.
Microsoft hat dies mit Office 365 bereits umfänglich auf den Weg gebracht, jedoch ist die Administration einer auf Sicherheit getrimmten O365-Umgebung nicht unbedingt die einfachste Aufgabe. Dienste wie Tresorit stellen eine spezialisierte Alternative für einen sicheren digitalen Workspace dar.
In den überaus informativen Produktvideos und ansprechend gestalteten Grafiken beschreibt der Hersteller unter der Überschrift "Behalten Sie die Kontrolle über Ihre Daten" die verschiedenen Aspekte, um die es bei Tresorit geht: Sicherer interner und externer Datentransfer, bei dem Teams, Kunden und Partner über Links Zugriff auf verschlüsselte Informationen erhalten. Der sichere Zugriff von Mobilgeräten für unterwegs und die Möglichkeit zur Speicherung und Sicherung von sensiblen Daten in einer geschützten Cloud ist das dritte Einsatzgebiet und an Admins gerichtet: "Verwalten Sie Ihre Nutzer, Richtlinien und Filesharing-Aktivitäten zentral auf eine datenschutzkonforme Weise".
Der klassische Desktop ist zu einem Workspace geworden, den Administratoren ihren Anwendern zur Verfügung stellen müssen. Traditionelle, auf den Computer beschränkte Desktops sind zu unflexibel und Remotezugriffe über Terminalserverfarmen und VPNs für manche Einsatzbereiche ebenfalls zu starr. Eine Lösung liegt darin, die sichere Ablage von Dokumenten aus dem verschlossenen Silo der Fileserver und dem Unternehmensnetz in eine Cloudumgebung zu verlagern und die Dokumente dort zu bearbeiten, freizugeben und bei Bedarf auch Dritten zugänglich zu machen.
Microsoft hat dies mit Office 365 bereits umfänglich auf den Weg gebracht, jedoch ist die Administration einer auf Sicherheit getrimmten O365-Umgebung nicht unbedingt die einfachste Aufgabe. Dienste wie Tresorit stellen eine spezialisierte Alternative für einen sicheren digitalen Workspace dar.
In den überaus informativen Produktvideos und ansprechend gestalteten Grafiken beschreibt der Hersteller unter der Überschrift "Behalten Sie die Kontrolle über Ihre Daten" die verschiedenen Aspekte, um die es bei Tresorit geht: Sicherer interner und externer Datentransfer, bei dem Teams, Kunden und Partner über Links Zugriff auf verschlüsselte Informationen erhalten. Der sichere Zugriff von Mobilgeräten für unterwegs und die Möglichkeit zur Speicherung und Sicherung von sensiblen Daten in einer geschützten Cloud ist das dritte Einsatzgebiet und an Admins gerichtet: "Verwalten Sie Ihre Nutzer, Richtlinien und Filesharing-Aktivitäten zentral auf eine datenschutzkonforme Weise".
Tresorit ist, technisch betrachtet, eine Ende-zu-Ende-verschlüsselte (E2EE) Filesharing-Plattform mit einer eigenen Rechteverwaltung. Diese E2EE bildet eine sichere Grundlage, da nur der Sender und der Empfänger in der Lage sind, den verschlüsselten Datenstrom zu entschlüsseln. Der Dienst chiffriert dabei sämtliche über die Software verwalteten Dateien und relevanten Metadaten auf dem Gerät mit einmaligen, zufällig generierten Verschlüsselungscodes unter Verwendung von clientseitiger Ende-zu-Ende-Verschlüsselung und Zero-Knowledge-Technologie.
Diese Schlüssel sollen nie unverschlüsselt an die Server gesendet werden. Damit können nur Dateneigentümer und befugte Empfänger auf die in Tresorit gespeicherten Files zugreifen. Schlussendlich geht es also darum, Dateien gesichert über die Cloud verschiedenen Personen zugänglich zu machen, nur eben vollständig kontrolliert.
Die Checkmk Enterprise Edition beginnt bei rund 980 Euro pro Jahr bei der Überwachung von rund 3000 Services auf circa 100 Host-Systemen. Eine spezielle Webseite hilft bei der Berechnung der zu erwartenden Services durch Eingabe der Anzahl von Swichtes, Routers, Server, Virtualisierungs-Hosts oder Applikationen.
Systemanforderungen
Red Hat Enterprise Linux und binärkompatible Derivate wie CentOS, AlmaLinux, Rocky Linux, Oracle Linux ab Version 7.x, SUSE Linux Enterprise Server, Version 12 ab SP5 und Version 15 ab SP1, Debian ab Version 10.0, Ubuntu in den Versionen 20.04 und 22.04. Prinzipiell unterstützt der Hersteller die LTSVariante, die bei Veröffentlichung der jeweiligen Checkmk-Version im aktiven Support war. Checkmk benötigt einen erreichbaren SMTP-Server für den Versand von E-Mails.
Wie die meisten professionellen Angebote hat auch Tresorit sein Produkt in mehreren Ausbaustufen im Portfolio. Die drei Pakete heißen "Business Standard", "Business Plus" und "Enterprise". Erwartungsgemäß steigt in ebendieser Reihenfolge der Leistungsumfang und folglich auch der Preis. Während die Preisangabe für die ersten beiden Pakete direkt auf der Webseite ersichtlich ist, wünscht sich der Anbieter für die Enterprise-Variante eine Kontaktaufnahme für die genaue Preisgestaltung, die sich in erster Linie über die Anzahl der Benutzer darstellt.
Die grundlegenden Features von Tresorit teilen sich die Pakete: Verschlüsselter Speicher pro Benutzer, Verfügbarkeit für die gängigen Systemplattformen Windows, macOS, Linux, Android, iOS und der Zugriff über einen aktuellen Webbrowser. Die Synchronisation zwischen den Geräten, die redundante Speicherung und den Offlinezugriff teilen sich die Versionen ebenso wie das Vorliegen eines ISO-27001-Zertifikats und die DSGVO-, TISAX- und FINRA-Compliance.
Für unseren Test stellte uns der Anbieter einen kostenfreien Sechsmonatszugang für zehn Konten in der Enterprise-Variante zur Verfügung. Dabei erhielten wir für unseren ersten Benutzer einen Link per E-Mail und meldeten uns mit der genannten E-Mail-Adresse an. Die erste Aufgabe bestand nun darin, ein Passwort für den Zugriff festzulegen. Jeder Erstbenutzer von Tresorit wird mit einem "Erkunden"-Dialog begrüßt, der sich über acht Schritte erstreckt: Beginnend von der Installation von Tresorit auf dem Desktop, dem Erstellen eines Ordners, Einladen von Mitgliedern zu einem Ordner, Erzeugen von Links auf Dateien, Konto öffnen, Tresorit als App auf das Smartphone holen bis hin zum Zugriff über den Webzugang.
Insgesamt ist es den Entwicklern und Produktverantwortlichen gut gelungen, einen freundlichen Empfang und eine einfache Bedienung zu bieten und dennoch unter der Haube eine ganze Reihe professioneller Sicherheitseinstellungen und -funktionen zu integrieren.
Geringer administrativer Aufwand
Praktischerweise sorgt der Aufbau der Tresorit-Umgebung bei Admins für wenig Aufwand. Wie bei allen SaaS-Angeboten besteht die eigentliche Arbeit im Anpassen des Systems auf die eigenen Bedürfnisse. Administrativ berechtigte Personen finden in der linken Menübaumstruktur beim Webzugriff unterhalb des Basisbefehle "Ordner", "Geteilte Links", "File Requests", "eSign" und "Integrationen" den Link auf das "Admin-Center".
Der wichtigste administrative Dialog ist das Fenster "Richtlinien". Hier gilt es, in insgesamt 16 Kategorien die Arbeitsweise von Tresorit zu bestimmen. Glücklicherweise sind die Einstellungen bereits mit einer funktionellen Default-Konfiguration versehen und das Regelwerk lässt sich duplizieren, um eine eigene Ausprägung zu erstellen, ohne die Standardvorlage zu verändern. Die Parameter reichen von Löschfristen, welche Clientsysteme unterstützt werden sollen über Passwortregeln, zulässige IP-Adressbereiche bis hin zur Definition, ob "selbstzerstörende geteilte Dokumente" zur Anwendung kommen dürfen.
Einfache Nutzerintegration
Nachdem wir uns ein wenig mit der Oberfläche und den Funktionalitäten vertraut gemacht hatten, luden wir die ersten Benutzer in Tresorit ein. Hierzu gibt es im Kopfbereich über dem Dashboard im "Admin Center" eine Schaltfläche "Nutzer einladen" und unter dem entsprechenden Menü "Nutzer" ebenfalls. Die Anzahl der verfügbaren Lizenzen ist für administrativ berechtigte Anwender jederzeit einsehbar, ebenso der Status oder die letzte Aktivität. Wird beispielsweise eine Einladung, die per E-Mail versandt wird, nicht angenommen, bleibt der Eintrag auf "Keine Aktivität". Eine einmal versendete E-Mail-Einladung kann der Administrator durch einen Klick auf ein beim Selektieren sichtbares Zahnradsymbol erneut versenden, oder die Einladung widerrufen.
Der eingeladene Anwender erhält, passend zum hinterlegten Branding von Tresorit, eine E-Mail, die ihn auf die Einladung hinweist – noch ergänzt um die Information, wer die Einladung für welches Unternehmen ausgesprochen hat. Eine einzelne Schaltfläche findet sich unterhalb des Hinweistexts "Tresorit ist eine verschlüsselte Content Collaboration Platform, die Teams sichere Zusammenarbeit ermöglicht. Erstellen Sie Ihr Konto und schließen Sie sich Ihrem Team noch heute an." Nach einem Klick auf den Button beginnt die Vervollständigung der erforderlichen Daten wie Vor- und Nachname und die Hinterlegung eines persönlichen Passworts.
Wenige Augenblicke später öffnet sich die Weboberfläche von Tresorit und begrüßt den Neuanwender mit dem bereits erwähnten Dialog zum Kennenlernen der Software. Passend zur identifizierten Betriebssystemversion des Computers bietet Tresorit die Installation der entsprechenden Clientsoftware an. Diesen Schritt kann der Anwender schon jetzt vollziehen oder zu einem späteren Zeitpunkt durch den Klick auf das Benutzermenü oben rechts im Browserfenster starten.
Wir installierten die Software im Zuge unserer Tests auf Windows 10, Windows Server 2019, macOS 13.4 Ventura und auf einem Linux-Rechner mit einem Ubuntu-basierten ElementaryOS 7.0. Die manuelle Installation ist weitgehend unkompliziert, jedoch benötigt die Windows-App für deren Einbindung schlussendlich Administrationsrechte, um vollständig nutzbar zu sein. Dem Linux-Nutzer geht es auf eine andere Art nicht viel besser, da kein DEB/RPM-Paket, sondern ein generisches Shell-Skript für die Installation zur Anwendung kommt. Dieses benötigt zwar keine root-Rechte, muss aber über die Konsole manuell ausgeführt werden. Glücklicherweise kommt das Setup des Windows-Clients von Haus aus mit der "/silent"-Option daher und lässt sich beispielsweise über Gruppenrichtlinien oder über Intune verteilen.
In den Einstellungen stehen Admins weitere Anpassungsmöglichkeiten zur Verfügung, um Tresorit in der eigenen Umgebung einfacher und sicherer nutzen zu können. Über den "Active Directory Connector" ist eine zeitgesteuerte Synchronisation von Benutzerinformationen möglich. Der Connector wird hierzu auf einem Windows-Computer in der Domäne installiert. Das Tool ist für den Einsatz in größeren Umgebungen vorgesehen – Dateien selbst synchronisiert es nicht, sondern Benutzerkonten und Tresorit-Mitgliedschaften aus dem firmeneigenen Verzeichnisdienst oder einer anderen Datenquelle mit dem Tresorit-Business-Konto.
Ein weiteres Feature in den Einstellungen ist Single Sign-on (SSO). Diese Authentifizierungsmethode erlaubt es Nutzern, sich mit denselben Anmeldeinformationen auf verschiedenen Plattformen anzumelden, was einen einfacheren Login ermöglicht und administrative Prozesse vereinfacht. Die Onlinehilfe beschreibt die Umsetzung für SSO für Google, Okta und Azure AD detailliert.
Verschiedene Nutzungsmöglichkeiten
Aus der Perspektive des Anwenders ist Tresorit eine wirklich einfach zu bedienende Software mit vielen Möglichkeiten. Ist der Desktopclient lokal auf dem Computer installiert, synchronisiert Tresorit die Dateien auf Wunsch des Anwenders in das lokale Dateisystem. Praktischerweise bemerkt der Benutzer überhaupt nicht, dass es sich bei der zusätzlichen Ordnerstruktur im Dateisystem um die eingehängte Freigabe eines Clouddienstleisters handelt. Alle Datei- und Ordneroperationen des Betriebssystems kommen, wie gewohnt, auch hier zur Anwendung. Lediglich auf der obersten Ebene – dem Root-Level – ist das Erstellen von Ordnern über die Standardfunktionen des Betriebssystems nicht möglich. Auf einem Computer mit Windows-Installation wird auch ein Laufwerksbuchstabe zugewiesen und der Explorer führt den verfügbaren und bereits verwendeten Speicherplatz des Laufwerks auf.
Freigaben von Dateien und Ordnern, aber auch sogenannte Dateianforderungen kann der Benutzer direkt über das Kontextmenü im Explorer des Betriebssystems tätigen, wird dabei aber auf den speziellen Dialog in der Tresorit-Client-Software weitergeleitet. Dateianforderungen erlauben es dem Anwender über die Bereitstellung eines Links, von gewünschten Personen Files oder Ordnerinhalte gesichert zu empfangen. Ist eine Datei eingetroffen, zeigt dies die Clientsoftware über einen Zähler an. Zusätzlich erhält der Empfänger eine E-Mail und kann über einen Dialog in der Software festlegen, ob er die Datei annimmt oder nicht.
Tresorit unterscheidet zwei Varianten von Ordnern: den "Klassischen Ordner" und den "Next-Gen-Ordner". Letztere sind die Umsetzung eines häufig gewünschten Features aus dem Jahr 2022: Die gesteuerte Unterordnerfreigabe. In Next-Gen-Ordnern können Anwender beliebige Personen, die über ein Tresorit-Konto verfügen, in Unterordner einladen, ohne dafür den übergeordneten Ordner teilen zu müssen. Dies macht Next-Gen-Ordner zu einem idealen Ort für die Projektarbeit. Indem projektleitende Kollegen nur in spezifische Unterordner innerhalb eines Hauptordners einladen, können diese sicherstellen, dass jeder Zugriff auf das passende Informationslevel hat.
Die Freigabe eines Ordners für weitere Personen ist aus der Tresorit-Clientsoftware, dem Webbrowser oder über die Desktopintegration möglich – Letzteres jedoch nur, wenn es sich um einen Next- Gen-Ordner handelt. Die Freigabe kennt grundsätzlich drei verschiedene Rechtestufen: Manager, Co-Autor und Betrachter. Ein Manager ist in der Lage, den Ordner ebenfalls für weitere Personen freizugeben, der Co-Autor hat Lese-, Lösch- und Schreibrechte innerhalb des Ordners und der Betrachter ist nur mit einem Leserecht ausgestattet.
Praktischerweise speichert Tresorit, in Abhängigkeit zu den Einstellungen und der lizenzierten Variante, eine Anzahl von Dateiversionen und protokolliert, wer zu welchem Zeitpunkt das Dokument gespeichert oder überspeichert hat. Eine Überspeicherung mit einer gleichnamigen Datei führt zu einem neuen Versionseintrag. Jeder Benutzer hat die Möglichkeit, auf die Vorgängerversion zuzugreifen.
In unseren Tests konnten wir untereinander Ordner freigeben, Dateien bearbeiten und in den Protokollen und Übersichten alle Aktivitäten einsehen. Geteilte Links und Ordner kann der Benutzer jederzeit widerrufen oder über Zugriffsprotokolle einsehen, ob überhaupt und wenn, von wem zu welchem Zeitpunkt zugegriffen wurde. Auf ein Problem stießen wir bei den Tests nicht. Kommt der Desktop-Client zum Einsatz und ist ein Office-Programm verfügbar, ist die Arbeitsweise komplett identisch zu jedem anderen Netzwerkordner – angereichert durch die Bereitstellungsmöglichkeiten. Aus dem Webclient heraus, der beinahe den identischen Leistungsumfang bietet, fehlt die Möglichkeit, Officeartige Dokumente direkt bearbeiten zu können, da Tresorit über kein eingebundenes Weboffice verfügt. Hier bleiben nur der Down- und der anschließende Upload.
Hoher Sicherheitsstandard
Insgesamt sind die Entwickler von Tresorit an einem hohen Sicherheitsstandard interessiert. Meldet sich ein Anwender über einen Browser am Dienst an, wird eine E-Mail an die hinterlegte Adresse der jeweiligen Person verschickt, die über den Anmeldevorgang mit Namen des Geräts, Standort und IP-Adresse hinweist. In der Grundeinstellung wird der verwendete Browser in die für den Anwender individuelle Liste für bekannte Websitzungen hinzugefügt. Sinnvollerweise ist die E-Mail noch um folgenden Satz ergänzt: "Sollten Sie sich nicht von diesem Browser angemeldet haben, entfernen Sie ihn bitte umgehend von der Liste und ändern Ihr Passwort. Jemand könnte unberechtigt auf Ihr Konto zugegriffen haben."
In den administrativen Einstellungen finden Verantwortliche eine Funktion, um die E-Mail-Domänen der Tresorit-Benutzer zu prüfen. Der Dialog verschafft dabei einen vollständigen Überblick über die Nutzung des Tresorit-Abonnements durch alle User und alle Tresorit-Konten, die nicht Teil des Unternehmensabonnements sind, um sicherzustellen, dass keine Informationen ohne zentrale Kontrolle weitergegeben werden. Hierzu gibt der Administrator die E-Mail-Domäne des eigenen Unternehmens an und erweitert den DNS-Eintrag beim Domain-Anbieter um einen "Value"-Eintrag wie beispielsweise "tresorit-verification=2HskDjqBh2p...".
Auch eine SIEM-Integration haben die Entwickler von Tresorit für Microsoft Sentinel eingearbeitet. Hierzu werden die Event-Kategorien Nutzeraktivität, Nutzermanagement und Admin-Aktivität, beispielsweise bei der Einrichtung von Integrationen oder Richtlinienbearbeitungen, an Sentinel übermittelt.
Sein Basissystem zur Dokumenten- und Ordnerteilung erweitert der Anbieter übrigens mit drei möglichen Ergänzungen: "Tresorit eSign" ist eine Erweiterung für digitale Signaturen, die laut Hersteller mit Fokus auf Sicherheit und Nutzerfreundlichkeit entwickelt wurde. Eine rechtsverbindliche Signatur für Dokumente, zumindest nach Schweizerischem Obligationenrecht, erlaubt die Erweiterung "SwissID Sign" und mit "Tresorit E-Mail Encryption" wird Tresorit dahingehend erweitert, dass vertrauliche Informationen und Anhänge mit nur einem Klick in Outlook teilbar sind.
Fazit
Alles in allem ist Tresorit eine äußerst gelungene, leistungsfähige und gleichzeitig leicht zu bedienende Umgebung zur Bereitstellung von verschlüsselten Inhalten. Alle Arbeitsschritte gehen leicht von der Hand, die Bedienung wirkt logisch durchdacht und die Dialoge sind selbsterklärend. Hinsichtlich der Schutzfunktionen gab es im Zuge unseres Tests keinerlei Hinweise, dass ein unberechtigter Zugriff auf die bereitgestellten Daten möglich wäre. Etwas schade ist die Tatsache, dass sich die Entwickler und Produktverantwortlichen bei der Browsernutzung auf die Anzeige von Office-Dokumenten beschränken. Andere Marktbegleiter zeigen sich durch die Integration webbasierter Office-Pakete in diesem Bereich flexibler, auch wenn die praktische Nutzbarkeit nicht immer den Erwartungen entspricht.
(dr)
So urteilt IT-Administrator
Bewertung
Nutzerintegration
8
Funktionen zur Dateiablage
8
Freigabe von Dateien
8
Bearbeiten von Dateien
5
Plattformunterstützung
8
Dieses Produkt eignet sich
optimal
für Firmen beliebiger Größe mit Bedarf für eine technisch ausgereifte, sichere und leicht zu bedienende Plattform zum Dateiaustausch.
bedingt
für Unternehmen, die bereits ein anderes Werkzeug im Einsatz haben und den organisatorischen Umstellungsprozess vermeiden wollen.
nicht
für Firmen, die keinen Bedarf am Austausch von sensiblen Daten haben.