Clientseitige Verschlüsselung

Versionen mit dieser Funktion: Kontakt zum Vertriebsteam für Enterprise-Funktionen aufnehmen, Education Standard und Education Plus  G Suite-Versionen vergleichen

Zusätzlich zur Standardverschlüsselung in Google Workspace können Sie auch eigene Schlüssel für die Daten Ihrer Organisation verwenden. Mit der clientseitigen Verschlüsselung (Client-side encryption, CSE) in Google Workspace erfolgt die Verschlüsselung im Client-Browser, bevor Daten übertragen oder im cloudbasierten Speicher von Google Drive abgelegt werden. So können die Google-Server nicht auf Ihre Verschlüsselungsschlüssel zugreifen, um Ihre Daten zu entschlüsseln.

Um die clientseitige Verschlüsselung verwenden zu können, müssen Sie Google Workspace mit einem externen Schlüsseldienst und einem Identitätsanbieter (Identity Provider, IdP) verbinden. 

Ihre Nutzer können Dateien mit clientseitiger Verschlüsselung intern oder für externe Organisationen freigeben, wenn diese Organisationen auch Google Workspace verwenden und die clientseitige Verschlüsselung einrichten.

Vorteile der clientseitigen Verschlüsselung

In Google Workspace werden ruhende Daten ebenso wie Daten, die zwischen unseren Rechenzentren übertragen werden, nach den neuesten Standards verschlüsselt. Mit der clientseitigen Verschlüsselung können Sie die Verschlüsselungsschlüssel selbst verwalten sowie den Identitätsanbieter für den Zugriff darauf auswählen. So lassen sich vertrauliche und streng regulierte Daten noch besser schützen.

Die clientseitige Verschlüsselung kann aus verschiedenen Gründen erforderlich sein. Hier einige Beispiele:

  • Datenschutz: Ihre Organisation arbeitet mit extrem vertraulichem geistigen Eigentum.
  • Gesetzliche Vorschriften: Ihre Organisation ist in einer streng regulierten Branche angesiedelt, z. B. Luft- und Raumfahrt, Verteidigung, Finanzdienstleistungen oder Behörden.

Verfügbarkeit der clientseitigen Verschlüsselung

Die clientseitige Verschlüsselung in Google Workspace ist derzeit nur für folgende Daten verfügbar:

  • Google Drive-Daten, einschließlich in den Google Docs-Editoren erstellte Dateien (Dokumente, Tabellen, Präsentationen) sowie hochgeladene Dateien wie PDFs und Microsoft Office-Dateien
  • Audio- und Videostreams von Google Meet (Beta), einschließlich der Daten, die bei der Bildschirmfreigabe zwischen den Teilnehmern einer Videokonferenz und Google übertragen werden

In einer künftigen Version wird diese Funktion auch für weitere Google-Dienste verfügbar sein.

Einstieg in CSE

Abschnitt öffnen  |  Alle minimieren und nach oben

Schritte zur Einrichtung der clientseitigen Verschlüsselung

Dies sind die grundlegenden Schritte zur Einrichtung der clientseitigen Verschlüsselung in Google Workspace.

Schritt 1: Externen Schlüsseldienst einrichten

Als Erstes richten Sie einen Schlüsseldienst ein. Dazu können Sie einen der Partnerdienste von Google verwenden oder mit der Google CSE API einen eigenen Dienst erstellen. Mit diesem Dienst verwalten Sie die Verschlüsselungsschlüssel der obersten Ebene zum Schutz Ihrer Daten. Weitere Informationen

Schritt 2: Google Workspace mit dem externen Schlüsseldienst verbinden

Als Nächstes fügen Sie den Ort (URL) des externen Schlüsseldienstes hinzu, sodass Google Workspace damit verbunden werden kann, um die clientseitige Verschlüsselung für unterstützte Apps zu ermöglichen. Weitere Informationen

Schritt 3: Google Workspace mit dem Identitätsanbieter verbinden

Hierzu stellen Sie über die Admin-Konsole oder eine auf Ihrem Server gehostete .well-known-Datei eine Verbindung zu einem externen Identitätsanbieter oder der Google-Identität her. Der IdP überprüft die Identität von Nutzern, bevor sie Inhalte verschlüsseln und auf verschlüsselte Inhalte zugreifen können. Weitere Informationen

Schritt 4: Clientseitige Verschlüsselung für Nutzer aktivieren

Sie können die clientseitige Verschlüsselung für alle Organisationseinheiten oder Gruppen in Ihrer Organisation aktivieren. Sie müssen die CSE aber nur für Nutzer aktivieren, die clientseitig verschlüsselte Inhalte erstellen müssen:

  • Google Drive – Nutzer, die clientseitig verschlüsselte Dokumente, Tabellen und Präsentationen erstellen oder clientseitig verschlüsselte Dateien in Drive hochladen müssen. Für Nutzer, die lediglich für sie freigegebene Dateien ansehen und bearbeiten, ist die Funktion nicht erforderlich.
  • Google Meet (Beta) – Nutzer, die clientseitig verschlüsselte Videokonferenzen organisieren. Für die Teilnehmer an Videokonferenzen ist die Funktion nicht erforderlich.

Weitere Informationen dazu, wie Sie die clientseitige Verschlüsselung für Nutzer aktivieren, finden Sie im Hilfeartikel Richtlinien für die clientseitige Verschlüsselung erstellen.

Clientseitige Verschlüsselung verwenden

Die Nutzer, für die Sie die clientseitige Verschlüsselung aktivieren, haben die Möglichkeit, sie mit den folgenden Diensten zu verwenden.

Google Drive

Nutzer können in den Google Docs-Editoren clientseitig verschlüsselte Dateien erstellen (z. B. Dokumente oder Tabellen) sowie Dateien verschlüsseln, die sie in Google Drive hochladen, z. B. PDFs.

Einige Optionen sind für verschlüsselte Dateien nicht verfügbar. Beispiele:

  • Die Rechtschreib- und Grammatikprüfung funktioniert nicht für verschlüsselte Dateien, die in den Docs-Editoren erstellt wurden. Verschlüsselte Dokumente lassen sich außerdem jeweils nur von einem Nutzer bearbeiten. Ansehen können das Dokument jedoch beliebig viele Nutzer.
  • Bei in Drive hochgeladenen verschlüsselten Dateien funktionieren die Volltextsuche und die Dateivorschau nicht.

Drive for Desktop

Sie können CSE für Drive for Desktop einrichten, wenn Sie Google Workspace mit Ihrem IdP verbinden. 

In Drive for Desktop werden synchronisierte verschlüsselte Dateien unter Windows als Verknüpfungen und auf dem Mac als symbolische Links angezeigt. Wenn ein Nutzer auf eine Verknüpfung oder einen Link zu einer verschlüsselten Datei aus Google Docs, Google Tabellen oder Google Präsentationen klickt, wird ein neues Browserfenster geöffnet.

Außerdem haben Nutzer folgende Möglichkeiten:

  • Lokale Dateien verschlüsseln und hochladen 
  • Bestimmte Typen von verschlüsselten Dateien lesen und schreiben, z. B. PDF- und Microsoft Office-Dateien

Verschlüsselte vertrauliche Informationen nicht in Drive speichern: Informieren Sie Ihre Drive for Desktop-Nutzer darüber, dass sie bei der Verwendung der Option Herunterladen und entschlüsseln in Drive die entschlüsselten Dateien nicht in lokalen Ordnern speichern sollten, die mit Drive synchronisiert werden.

Weitere Informationen

Weitere Informationen zu der Verwendung und den Einschränkungen der clientseitigen Verschlüsselung in Google Drive finden Sie unter folgenden Links:

Google Meet (Beta)

Organisatoren können ihre Videokonferenzen clientseitig verschlüsseln lassen, indem sie die entsprechende Option auswählen, wenn sie die Videokonferenz in Google Kalender planen oder eine Ad-hoc-Videokonferenz starten.

Einige Optionen sind bei verschlüsselten Videokonferenzen nicht verfügbar. Beispiele:

  • Aufzeichnungsfunktion (wenn die Aufzeichnung in Google Drive gespeichert wird)
  • Livestreaming
  • Audio über Telefon
  • Chat
  • Umfragen
  • Whiteboard
  • Verwendung mit Hardware für Konferenzräume und mobilen Apps (demnächst verfügbar)
Möglicher Datenverlust, wenn Sie Schlüssel deaktivieren oder löschen
Warnung: Wenn Sie einen Schlüssel zum Verschlüsseln von Dateien in Drive deaktivieren oder löschen, lassen sich diese Dateien von Google Workspace-Apps nicht mehr entschlüsseln. Nutzer können die Dateien dann nicht mehr ansehen, bearbeiten, herunterladen oder anderweitig verwenden. Bevor Sie die clientseitige Verschlüsselung verwenden, besprechen Sie mit dem Anbieter Ihres externen Schlüsseldienstes die Optionen zur Sicherung und Wiederherstellung der Schlüssel. Außerdem sollten Sie Änderungen beim Schlüsseldienst sorgfältig planen, um eine Unterbrechung der Nutzerdienste zu vermeiden.
Voraussetzungen für die clientseitige Verschlüsselung

Administratoren

 Die clientseitige Verschlüsselung in Google Workspace kann nur von Super Admins für Google Workspace der jeweiligen Organisation eingerichtet werden.

Nutzer

  • Für Folgendes benötigen Nutzer eine Google Workspace Enterprise Plus- oder Google Workspace for Education Plus-Lizenz:
    • Clientseitig verschlüsselte Dateien erstellen oder hochladen
    • Clientseitig verschlüsselte Videokonferenzen organisieren
  • Mit einer beliebigen Google Workspace- oder Cloud Identity-Lizenz können Nutzer:
    • Clientseitig verschlüsselte Dateien ansehen, bearbeiten und herunterladen
    • An clientseitig verschlüsselten Videokonferenzen teilnehmen
  • Nutzer mit einem privaten Google-Konto (z. B. Gmail) können clientseitig verschlüsselte Dateien nicht öffnen und nicht an clientseitig verschlüsselten Videokonferenzen teilnehmen.
  • Zum Ansehen und Bearbeiten von verschlüsselten Dateien müssen Nutzer den Google Chrome-Browser oder Microsoft Edge (Chromium) verwenden.
  • Zur Teilnahme an einer clientseitig verschlüsselten Videokonferenz müssen Nutzer während der Konferenz eingeladen oder hinzugefügt werden. Das Anklopfen ist nicht möglich.
  • Wer auf clientseitig verschlüsselte Dateien und Videokonferenzen zugreifen kann, hängt von den entsprechenden Richtlinien Ihrer Organisation ab.

Externe Nutzer

  • Externe Organisationen, mit denen Ihre Nutzer zusammenarbeiten, müssen die clientseitige Verschlüsselung ebenfalls einrichten, entweder in der Admin-Konsole oder mit einer .well-known-Datei.
  • Externe Nutzer benötigen eine Google Workspace-Lizenz, um auf clientseitig verschlüsselte Inhalte zugreifen zu können. Nutzer mit einem privaten Google-Konto oder einem Besucherkonto haben keinen Zugriff auf clientseitig verschlüsselte Dateien.
  • Ihr externer Verschlüsselungsdienst muss den externen IdP auf die Zulassungsliste setzen. Dies ist der IdP, der von den Nutzern in der externen Organisation verwendet wird, für die Ihre Nutzer clientseitig verschlüsselte Dateien freigeben sollen. Normalerweise finden Sie den IdP in der öffentlichen .well-known-Datei, sofern eine solche erstellt wurde. Andernfalls können Sie den Google Workspace-Administrator der externen Organisation um die Informationen zum IdP bitten.
Externe Nutzer müssen Identitätsinformationen freigeben: Sie müssen den Administrator der externen Organisation darüber informieren, dass seine Nutzer ihr Authentifizierungstoken für Ihren Schlüsseldienst bereitstellen müssen, damit sie verschlüsselte Dateien der Nutzer in Ihrer Organisation aufrufen oder bearbeiten können. Bei der Authentifizierung müssen die Nutzer ihre IP-Adresse und weitere Informationen angeben. Weitere Informationen finden Sie im Abschnitt zu Authentifizierungstokens im API-Referenzhandbuch zur clientseitigen Verschlüsselung.
Protokolle und Berichte zur clientseitigen Verschlüsselung aufrufen

Für Google Drive können Sie die folgenden Protokolle und Berichte zur clientseitigen Verschlüsselung aufrufen. Für Google Meet sind diese noch nicht verfügbar.

Audit-Log

Enthält den Änderungsverlauf der Einstellungen für die clientseitige Verschlüsselung in Ihrer Organisation.

Sie finden das Audit-Log unter Berichteund dannAudit-Logund dannAdmin.

Bericht über Uploads und Downloads verschlüsselter Dateien

Enthält die Anzahl der verschlüsselten Dateien, die hoch- und heruntergeladen wurden.

Sie finden den Bericht unter Sicherheitund dannDashboardund dannClientseitige Verschlüsselung.

Prüfbericht für verschlüsselte Dateien

Mit dem Sicherheits-Prüftool können Sie einen Bericht zu den Aktivitäten für verschlüsselte Dateien in Drive abrufen.

  1. Sie finden dieses unter Sicherheitund dannPrüftool.
  2. Klicken Sie auf Datenquelleund dannDrive-Protokollereignisse.
  3. Klicken Sie auf Bedingung hinzufügenund dannBedingung hinzufügenund dannVerschlüsselt.
  4. Setzen Sie die Bedingung auf Wahr.
  5. Klicken Sie auf Suchen.

Häufig gestellte Fragen zur clientseitigen Verschlüsselung

Abschnitt öffnen  |  Alle minimieren und nach oben

Allgemeine Fragen

Wo finde ich Informationen zur Standardverschlüsselung von Google?
Informationen zur Standardverschlüsselung von Google finden Sie auf der Google Cloud-Website.
Wie unterscheidet sich die clientseitige Verschlüsselung von der Ende-zu-Ende-Verschlüsselung?
Mit der Ende-zu-Ende-Verschlüsselung werden Ver- und Entschlüsselung immer auf den Quell- und Zielgeräten durchgeführt, z. B. auf Mobilgeräten für Chatnachrichten. Die Verschlüsselungsschlüssel werden auf den Clientgeräten generiert und Administratoren können sie nicht verwalten oder festlegen, wer sie verwenden darf. Außerdem sehen Sie nicht, welche Inhalte Nutzer verschlüsselt haben.
Bei der clientseitigen Verschlüsselung erfolgt die Ver- und Entschlüsselung ebenfalls an der Quelle und am Ziel. In diesem Fall sind das die Browser der Clientgeräte. Die hier verwendeten Verschlüsselungsschlüssel werden in einem cloudbasierten Key Management Service generiert und gespeichert, sodass Sie sie verwalten und festlegen können, wer darauf Zugriff hat. Sie können beispielsweise den Zugriff eines Nutzers auf Schlüssel widerrufen, die er selbst generiert hat. Außerdem sehen Sie, welche Dateien die Nutzer verschlüsseln.

Clientseitige Verschlüsselung einrichten

Welche Key Management Services von Partnern kann ich mit der clientseitigen Verschlüsselung verwenden?

Die folgenden Key Management Services sind Partner von Google und können mit der clientseitigen Verschlüsselung verwendet werden:

Kann ich Google als Key Management Service verwenden?
Nein. Sie müssen einen externen Key Management Service verwenden, um die clientseitige Verschlüsselung in Google Workspace einzurichten. Mit dieser Funktion können Sie Ihre eigenen Verschlüsselungsschlüssel verwalten, auf die Google nicht zugreifen kann, um Ihre Daten zu entschlüsseln.
Wie kann ich festlegen, welche Nutzer oder Gruppen Zugriff auf meinen externen Schlüsseldienst haben?
Sie verwalten die Access Control List (ACL) für Verschlüsselungsschlüssel über Ihren externen Schlüsseldienst. Weitere Informationen erhalten Sie vom Anbieter.
Wie richte ich die clientseitige Verschlüsselung für geteilte Ablagen ein?
Sie müssen die clientseitige Verschlüsselung für geteilte Ablagen nicht gesondert konfigurieren. Der externe Schlüsseldienst, den Sie in der Admin-Konsole eingerichtet haben, funktioniert für Dateien in „Meine Ablage“ und in geteilten Ablagen.

Mit clientseitig verschlüsselten Dateien arbeiten

Welche Daten werden verschlüsselt?

Google Drive:

  • Der gesamte Inhalt einer Datei, z. B. der Textteil eines Dokuments
  • Eingebettete Inhalte, z. B. Bilder in einer Google Docs-Datei

Google Meet (Beta):

Video- und Audiodaten in Medienstreams, die zwischen den Teilnehmern einer Videokonferenz und Google übertragen werden

Welche Daten werden nicht verschlüsselt?

Google Drive:

  • Titel von Dateien
  • Metadaten wie Eigentümer, Ersteller und Zeitstempel der letzten Änderung
  • Drive-Labels (auch als Drive-Metadaten bezeichnet)
  • Verknüpfte Inhalte außerhalb von Google Docs oder Google Drive, z. B. ein YouTube-Video, das in einem Google-Dokument verlinkt ist
  • Nutzereinstellungen, z. B. Überschriftenstile in Google Docs

Google Meet (Beta):

Daten außerhalb des Medienstreams (Audio und Video)

Kann ich vorhandene Dateien mit einem anderen Schlüssel noch einmal verschlüsseln?
Diese Funktion wird in einer späteren Version verfügbar sein.
Wie kann ich exportierte Dateien entschlüsseln?
Clientseitig verschlüsselte Dateien, die Sie mit dem Tool für den Datenexport oder Google Vault exportiert haben, lassen sich über ein Befehlszeilen-Dienstprogramm entschlüsseln. Weitere Informationen
Kann ich verschlüsselte Dateien in Google Vault aufbewahren, suchen und exportieren?
Ja. Wenn Ihre Google Workspace-Version Google Vault beinhaltet, können Sie diese Dateien in Vault aufbewahren, suchen und exportieren. Sie können nach clientseitig verschlüsselten Dateien anhand ihrer Metadaten suchen, z. B. Titel und Inhaber. Sie können jedoch den Inhalt nicht suchen, nicht nach Dateityp suchen und keine Vorschau ansehen oder Inhalte aus der Vorschauansicht herunterladen. Weitere Informationen

Clientseitig verschlüsselte Dateien scannen

Werden clientseitig verschlüsselte Dateien in Drive automatisch auf Sicherheitsbedrohungen geprüft?
Clientseitig verschlüsselte Dateien werden nicht auf Phishing und Malware geprüft, da die Google-Server keinen Zugriff auf den Inhalt dieser Dateien haben.
Kann ich die Inhalte von clientseitig verschlüsselten Dateien mit der Funktion „Schutz vor Datenverlust“ (Data Loss Protection, DLP) scannen?
Nein. Aber Sie können die nicht verschlüsselten Metadaten der Dateien wie Titel und Drive-Labels scannen, um sensible Daten besser zu schützen.

Clientseitige Verschlüsselung mit Drive for Desktop verwenden

Werden clientseitig verschlüsselte Dateien in Drive for Desktop synchronisiert?
In Drive for Desktop werden synchronisierte verschlüsselte Dateien unter Windows als Verknüpfungen und auf dem Mac als symbolische Links angezeigt.
Werden heruntergeladene clientseitig verschlüsselte Dateien in Drive for Desktop neu verschlüsselt, wenn sie wieder mit Drive synchronisiert werden?
Nein, eine clientseitig verschlüsselte Datei, die heruntergeladen und in einem lokalen Ordner entschlüsselt wurde, der mit Drive synchronisiert wird, wird in Google Drive unverschlüsselt gespeichert.

Verschlüsselte vertrauliche Informationen nicht in Drive speichern: Informieren Sie Ihre Drive for Desktop-Nutzer darüber, dass sie bei der Verwendung der Option Herunterladen und entschlüsseln in Drive die entschlüsselten Dateien nicht in lokalen Ordnern speichern sollten, die mit Drive synchronisiert werden.

War das hilfreich?
Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Anmelden, um weitere Supportoptionen zu erhalten und das Problem schnell zu beheben

Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
Suchen in der Hilfe
true
73010
false
false