NEU: Sophos Workspace Protection – Bundle für mehr Sicherheit in hybriden Arbeitsumgebungen

In den Kategorien: Ankündigungen & Hinweise Rss feed , Sophos Central Rss feed , Sophos News Rss feed NEU: Sophos Workspace Protection – Bundle für mehr Sicherheit in hybriden Arbeitsumgebungen

Sophos Workspace Protection für Hybrid Work: Browser wird zur Security-Kontrollfläche

Sophos Workspace Protection adressiert ein Problem, das viele IT-Teams täglich sehen. Richtlinien funktionieren im Büro meist sauber, greifen außerhalb des LANs aber oft nur eingeschränkt. Das betrifft besonders SaaS, private Web-Apps und die Nutzung generativer KI.

Sophos setzt dabei auf einen Ansatz, der auf Umsetzung im Alltag zielt. Zentrale Kontrollen wandern in den gehärteten Chromium-Browser namens Sophos Protected Browser. So sollen Policy Enforcement, SaaS-Kontrolle, Web-Filter, lokale Datenkontrollen und ZTNA-Zugriff direkt dort greifen, wo Hybrid Worker arbeiten.

Die Verwaltung erfolgt zentral über Sophos Central. Für Admins ist damit weniger die Frage nach einem weiteren Produkt entscheidend. Wichtig ist, welche Lücken sich damit schneller schließen lassen als mit SWG, CASB oder SSE. Ebenso wichtig ist, welche klassischen Maßnahmen weiterhin nötig bleiben.

Die Vier Workspace Protection Komponenten im Überblick

Sophos Workspace Protection bündelt vier Bausteine, die in Sophos Central gemeinsam ausgerollt und gesteuert werden. Der Mehrwert entsteht nicht durch einzelne Features, sondern durch die Kombination aus Browser-Kontrolle, Zugriffspolitik, DNS-Schutz und zusätzlicher E-Mail-Telemetrie.

Sophos Protected Browser

Der Sophos Protected Browser ist ein gehärteter Chromium-Browser, der zur zentralen Arbeitsumgebung für Web und SaaS werden soll. Er bringt Richtlinien dorthin, wo Remote- und Hybridnutzer tatsächlich arbeiten. Typische Controls sind App-Nutzung und Web-Filter sowie lokale Datenkontrollen wie Copy and Paste, Upload und Download und der Umgang mit lokalen Dateien. Ziel ist, das Risiko über den Browser zu reduzieren und Shadow IT sowie unkontrollierte KI-Nutzung besser zu steuern.

Sophos ZTNA

Sophos ZTNA ist in den Browser integriert und kann ohne klassischen Vollagent genutzt werden. Der Zugriff auf private Web-Apps lässt sich so auf Nutzer und Geräte beschränken, die eine definierte Sicherheitslage erfüllen. In Kombination mit Sophos Endpoint kann die Gerätehaltung als Bedingung genutzt werden, inklusive Synchronized Security Heartbeat. Für bestehende ZTNA-Kunden ist relevant, dass sie laut Sophos automatisch Zugriff auf die erweiterten Bundle-Funktionen erhalten.

Sophos DNS Protection für Endpoints

Sophos DNS Protection für Endpoints ergänzt den Schutz über den Browser hinaus und wirkt über alle Anwendungen, Ports und Protokolle auf Windows-Geräten. Damit lassen sich bekannte bösartige Domains blockieren und DNS-Telemetrie für bessere Sichtbarkeit nutzen. DNS over HTTPS soll zusätzlich für mehr Integrität und Datenschutz beim DNS-Transport sorgen. In der Praxis kann das ein sinnvoller Basisschutz sein, wenn User außerhalb des Firmennetzes arbeiten und nicht dauerhaft über ein Gateway geführt werden.

Sophos Email Monitoring System

Das Sophos Email Monitoring System wird neben Microsoft- oder Google-Mailumgebungen betrieben und soll zusätzliche Einblicke in E-Mail-Bedrohungen liefern. Im Fokus stehen Erkennung und Analyse von unerwünschten oder bösartigen Mails, insbesondere Phishing. Für Security-Teams ist vor allem interessant, ob sich daraus schnellere Korrelationen mit Web- und Endpoint-Ereignissen in Sophos Central ergeben.

Sophos Central Protected Browser Dashboard mit Setup-Schritten und blockierten Risky-Browsing-Versuchen

Enterprise Browser statt SASE und SSE: Einordnung für IT-Admins

Sophos positioniert Workspace Protection als Alternative zu klassischen SASE- und SSE-Konzepten für kleinere und mittlere Umgebungen. Der zentrale Unterschied liegt im Kontrollpunkt. Bei vielen SSE-Stacks laufen Web und SaaS über Cloud Gateways. Das erhöht die Komplexität und kann Latenz verursachen. Sophos verlagert die Steuerung in den Browser und ergänzt sie um ZTNA und DNS-Schutz am Endpoint.

Das kann Vorteile bringen, wenn Remote Traffic nicht über zusätzliche Cloud Infrastruktur geführt werden soll. Abhängigkeiten von PoPs sinken und der Rollout für externe Nutzer, Gäste oder kurzzeitig eingebundene Dienstleister wird einfacher. In vielen Szenarien reicht es aus, wenn der geschäftliche Zugriff über den Protected Browser erfolgt und private Nutzung davon getrennt bleibt.

Sophos Protected Browser Startseite mit Secured Workspace Kacheln für SaaS und Web-Apps

Wann der Browser Ansatz stark ist

  • SaaS und Web Apps als Schwerpunkt mit klaren Policies für Upload, Download und Datenablage
  • Hybrid Workforce mit wechselnden Netzen und Geräten, bei denen konsistente Regeln nötig sind
  • Gäste und Contractors mit temporärem Zugriff auf definierte Anwendungen ohne Vollzugriff auf das Netzwerk
  • Shadow IT und Shadow AI wenn Nutzung und Datenabfluss im Browser kontrolliert werden sollen

Wo ergänzende Kontrollen sinnvoll sind

  • Traffic außerhalb des Browsers bei fat clients, eigenen Protokollen oder Spezialanwendungen können Virtual Firewalls den Schutz über klassische Netzwerkfunktionen, App Control und Threat Prevention am Übergang zwischen Netzen.
  • Netzwerksegmentierung und Ost West Kontrolle lässt sich über Hardware Firewalls mit Zonen, Regeln und optionaler Intrusion Prevention umsetzen, während Workspace Protection die Richtlinien für Web Apps und SaaS im Browser durchsetzt.
  • DLP Anforderungen über Browser Regeln hinaus werden in der Praxis oft mit einem Mix aus Richtlinien im Protected Browser und ergänzenden Endpoint Kontrollen abgedeckt, zum Beispiel über Sophos Endpoint und passende Data Controls im jeweiligen Datenfluss.

MDR und XDR: So ergänzt Workspace Protection den Betrieb

Workspace Protection erzeugt zusätzliche Security Signale aus dem Browser, aus DNS und aus dem E Mail Monitoring. Diese Telemetrie wird in Sophos Central sichtbar und kann so die operative Erkennung und Einordnung von Vorfällen unterstützen. In der Praxis ist das vor allem dann hilfreich, wenn Web Nutzung, SaaS Zugriff und Phishing in einem Vorfall zusammenlaufen.

Für Umgebungen mit eigenem SOC oder externem Security Betrieb kann Sophos Workspace Protection dadurch eine sinnvolle Ergänzung zur zentralen Sicht in Sophos XDR sein. Wenn ein durchgängiges 24 mal 7 Monitoring und Reaktion benötigt wird, ergänzt Sophos MDR den Stack als Managed Service. Workspace Protection liefert dafür zusätzliche Kontextdaten aus dem Workspace, ohne dass dafür ein klassisches SASE Gateway Projekt nötig ist.

Passt die Sophos Workspace Protection zu uns?

Für die Planung hilft ein einfacher Realitätscheck. Relevant ist der Anteil geschäftlicher Nutzung, der tatsächlich im Browser stattfindet. Wenn SaaS, Web Portale und private Web Apps dominieren, kann der Enterprise Browser Ansatz ein schneller Hebel sein. Wenn Workloads stark aus fat clients bestehen, bleibt SSE oder ein klassisches Netzwerk Security Design häufig die bessere Basis.

5 Use Cases für die Workspace Protection

Der praktische Nutzen von Sophos Workspace Protection zeigt sich vor allem dort, wo Web Apps und SaaS den Arbeitsalltag bestimmen. Der Protected Browser wird zur kontrollierten Arbeitsoberfläche. ZTNA steuert den Zugriff auf private Apps. DNS Protection ergänzt den Schutz auf Windows Endpoints. Das Email Monitoring System liefert zusätzliche Signale für Phishing und verdächtige Mailflüsse.

Use Case 1: Hybrid Worker mit SaaS und Web Portalen

Viele Rollen arbeiten fast vollständig in Browser und SaaS. Workspace Protection eignet sich für ein klares Policy Set für Web App Nutzung, Web Filter und lokale Datenkontrollen. So entstehen konsistente Regeln für Office, Home Office und unterwegs, ohne dass der gesamte Traffic über eine externe Gateway Struktur geführt werden muss.

Use Case 2: Externe Dienstleister und Subunternehmer mit unmanaged Devices

Externe Dienstleister und Subunternehmer bringen häufig eigene Geräte mit. Ein kontrollierter Zugriff auf definierte Anwendungen kann über den Protected Browser und ZTNA umgesetzt werden. Das reduziert Risiko durch lokale Datenspeicherung und unterstützt schnelles Onboarding und Offboarding. Der Fokus liegt auf minimalem Zugriff und klarer Trennung von privaten und geschäftlichen Kontexten.

Use Case 3: Gäste und temporärer Zugriff auf definierte Ressourcen

Gäste, Besucher oder kurzfristig eingesetztes Personal benötigen oft nur Zugriff auf einzelne Web Apps oder Self Service Portale. Workspace Protection unterstützt einen temporären, klar begrenzten Zugriff, der zentral verwaltet wird. Dadurch entsteht ein reproduzierbarer Prozess für kurzfristige Berechtigungen ohne dauerhafte Öffnung der internen Umgebung.

Use Case 4: Fusionen und Übernahmen mit schneller Anbindung neuer Teams

Bei Fusionen und Übernahmen zählen Geschwindigkeit und Kontrolle. Der Browser Ansatz kann helfen, neue Nutzergruppen schnell auf definierte SaaS und Web Apps zu bringen, bevor Netzdesign, Standortkopplung oder langfristige Endpoint Standards final sind. ZTNA kann private Apps absichern, während parallel die Integration der Infrastruktur läuft.

Use Case 5: Shadow IT und Shadow AI unter Kontrolle bringen

Wenn Fachbereiche eigenständig Tools nutzen, fehlt oft Governance. Workspace Protection setzt Kontrollpunkte dort, wo Shadow IT entsteht. Im Browser lassen sich App Nutzung, Web Zugriff und Datenflüsse gezielter steuern. Das unterstützt eine kontrollierte Einführung von GenAI Diensten, ohne dass sensible Inhalte ungewollt abfließen.

Workspace Protection Rollout-Checklistearrow_drop_down

Pilot- & Rollout-Checkliste für Sophos Workspace Protection

Workspace Protection ist schnell gestartet, wenn die Grundlagen stimmen. Ein kurzer Pilot sollte die wichtigsten Datenflüsse abdecken und direkt zeigen, ob der Browser Ansatz zur eigenen Anwendungslandschaft passt. Die folgende Checkliste ist bewusst praxisnah gehalten und auf einen sauberen Rollout in Sophos Central ausgerichtet.

1. Scope und Zielbild festlegen

  • Zielgruppe definieren: etwa Hybrid Worker, externe Dienstleister, Gäste oder neue Teams nach Fusionen
  • App Liste erstellen: SaaS Anwendungen, Web Portale, private Web Apps, RDP und SSH Ziele
  • Datenflüsse bewerten: Upload, Download, Clipboard Nutzung, lokale Dateien, Sessions in GenAI Tools

2. Identity und Zugriff sauber aufsetzen

  • SSO und Benutzerquellen: IdP Anbindung und Gruppenstruktur für Policies
  • ZTNA Policies: Zugriff nur für definierte Apps und definierte Nutzergruppen
  • Device Health als Bedingung: wenn Sophos Endpoint im Einsatz ist, kann Gerätehaltung als Policy Baustein genutzt werden

3. Browser Policies priorisieren

  • Web Filter und Kategorien: schneller Basisschutz für Hybrid Work
  • SaaS Nutzung steuern: erlaubte Apps und unerwünschte Tools begrenzen
  • Lokale Datenkontrollen: Regeln für Copy and Paste, Upload und Download sowie lokale Datenablage

4. DNS Protection auf Windows Endpoints testen

  • Rollout Gruppe: kleine Pilotgruppe mit realistischen Nutzerprofilen
  • Blocklisten und Ausnahmen: saubere Allowlist für Business Domains
  • Telemetrie prüfen: Sichtbarkeit und Signalqualität für verdächtige Domains und Anfragen

5. Email Monitoring System als Signalquelle einbinden

  • Mail Umgebung: Microsoft oder Google als Basis, Monitoring ergänzend aktivieren
  • Phishing Fokus: Tests mit typischen Angriffsmustern und internen Kampagnen
  • Operationalisierung: wer reagiert, wie wird priorisiert, wie wird dokumentiert

6. Betriebsmodell und Rollen definieren

  • Policy Ownership: wer verantwortet Browser Regeln, ZTNA Regeln, DNS Regeln
  • Change Prozess: wie neue SaaS Apps bewertet und freigegeben werden
  • Offboarding: Standardprozess für externe Dienstleister und temporäre Accounts

7. Messpunkte und Erfolgskriterien

  • Security Wirkung: weniger Phishing, weniger Shadow Tools, weniger riskante Uploads
  • User Experience: Performance im Alltag, Support Tickets, Akzeptanz der Arbeitsoberfläche
  • IT Aufwand: Zeit für Rollout, Policy Pflege, Onboarding und Offboarding

Verfügbarkeit und Lizenzierung: Early Access jetzt, GA Ende Februar 2026

Sophos hat Sophos Workspace Protection am 20. Januar 2026 angekündigt. Die allgemeine Verfügbarkeit ist für Ende Februar 2026 geplant. Ein kostenloser Test für das komplette Bundle soll ab dem GA Termin verfügbar sein. Einzelne Bausteine sind bereits vorher als Early Access oder Trial in Sophos Central verfügbar.

Was ist bereits verfügbar

  • Sophos Protected Browser ist als Early Access in Sophos Central verfügbar
  • Sophos DNS Protection für Endpoints ist als Early Access in Sophos Central verfügbar
  • Sophos Email Monitoring System ist als kostenlose Trial Option in Sophos Central verfügbar

Was kommt mit GA Ende Februar 2026

  • Sophos Workspace Protection als vollständiges Bundle
  • Sophos ZTNA als Bundle Bestandteil innerhalb von Workspace Protection
  • Kostenloser Test für Sophos Workspace Protection ab GA

Lizenzmodell in Kurzform

Sophos Workspace Protection wird als Bundle pro Benutzer lizenziert und umfasst vier integrierte Komponenten. Die Bausteine sind modular nutzbar, sodass nur die benötigten Funktionen ausgerollt werden. Als Kaufoptionen nennt Sophos Laufzeitlizenzen sowie monatliche Abrechnung über MSP Flex.

Was für die Planung wichtig ist

  • Early Access Zugang erfordert in der Regel einen lizenzierten Sophos Central Tenant
  • Bestehende Sophos ZTNA Kunden sollen automatisch Zugriff auf die erweiterten Bundle Funktionen erhalten
  • Testen vor Rollout lohnt sich besonders für Browser Policies, ZTNA App Zugriffe und DNS Ausnahmen

Fazit: Wo Sophos Workspace Protection schnell Mehrwert liefert

Sophos Workspace Protection setzt den Kontrollpunkt bewusst in den Browser und ergänzt ihn um ZTNA, DNS Schutz und zusätzliche E Mail Signale. Das passt besonders gut zu Umgebungen, in denen SaaS und Web Apps den Großteil der Arbeit ausmachen und in denen Remote und Hybrid Work konsistent abgesichert werden soll.

Der größte Nutzen entsteht, wenn Richtlinien für Zugriff und Datenflüsse direkt in der Arbeitsoberfläche greifen und gleichzeitig der Betriebsaufwand niedrig bleibt. Für viele Szenarien reicht es, den geschäftlichen Zugriff über den Protected Browser zu standardisieren und private Nutzung davon zu trennen. Klassische Netzwerk und Endpoint Kontrollen bleiben als Ergänzung relevant, wenn Anwendungen außerhalb des Browsers laufen oder Segmentierung und tiefergehende Data Controls gefordert sind.

Mit Early Access für Protected Browser und DNS Protection sowie Trial Optionen für das Email Monitoring System lässt sich der Ansatz vor der GA Ende Februar 2026 realistisch bewerten. Damit entsteht eine klare Entscheidungsgrundlage, ob Workspace Protection als Standalone Lösung genutzt wird oder als Ergänzung zu bestehenden Sophos Bausteinen im Stack.

Verwandte Beiträge

Unsere Experten beraten Sie gerne

Sie haben Fragen, benötigen Informationen oder wünschen eine individuelle Produktvorstellung? Unser Team freut sich auf Ihre Anfrage!

×