Unterstützte Versionen für diese Funktion: Enterprise Plus; Education Standard und Education Plus. G Suite-Versionen vergleichen
Sie können die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace für Nutzer aktivieren, die verschlüsselte Inhalte mit diesen Diensten erstellen müssen:
- Google Drive: Aktivieren Sie die clientseitige Verschlüsselung nur für Nutzer, die clientseitig verschlüsselte Dokumente, Tabellen und Präsentationen erstellen oder clientseitig verschlüsselte Dateien in Drive hochladen müssen. Für Nutzer, die lediglich für sie freigegebene Dateien ansehen und bearbeiten, ist die Funktion nicht erforderlich.
- Gmail: Aktivieren Sie die clientseitige Verschlüsselung nur für Nutzer, die verschlüsselte Nachrichten senden oder empfangen müssen.
Bevor Sie die clientseitige Verschlüsselung für Gmail aktivieren:Aktivieren Sie die Gmail API und laden Sie die Verschlüsselungsschlüssel der Nutzer hoch. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselungsschlüssel für clientseitige Verschlüsselung hochladen.
- Google Kalender: Aktivieren Sie die clientseitige Verschlüsselung nur für Nutzer, die clientseitig verschlüsselte Kalendertermine erstellen müssen. Außerdem müssen Sie die clientseitige Verschlüsselung für Google Drive und Google Meet für diese Nutzer aktivieren, wenn sie clientseitig verschlüsselte Dokumente anhängen und clientseitig verschlüsselte Videokonferenzen hosten sollen. Für Eingeladene ist die Funktion nicht erforderlich.
- Google Meet: Aktivieren Sie die clientseitige Verschlüsselung nur für Nutzer, die clientseitig verschlüsselte Videokonferenzen organisieren. Für andere Besprechungsteilnehmer müssen Sie die clientseitige Verschlüsselung nicht aktivieren.
Für Nutzer, die verschlüsselte Inhalte nur aufrufen oder bearbeiten, ist Folgendes zu beachten:
- Interne Nutzer wurden der Key Access Control List (KACL) hinzugefügt. Weitere Informationen finden Sie unter Schlüsseldienst für clientseitige Verschlüsselung einrichten.
- Der Identitätsanbieter (Identity Provider, IdP) externer Nutzer befindet sich auf der Zulassungsliste Ihres Schlüsseldienstes. Weitere Informationen
Hinweise
Abschnitt öffnen | Alle minimieren
- Schlüsseldienst auswählen
- Stellen Sie eine Verbindung zu Ihrem Identitätsanbieter (Identity Provider, IdP) her.
- Richten Sie Ihren externen Schlüsseldienst oder die Verschlüsselung mit Hardwareschlüsseln ein.
- Weisen Sie Organisationseinheiten oder Gruppen einen Schlüsseldienst oder eine Hardwareschlüsselverschlüsselung zu.
Wenn Sie mehrere Schlüsseldienste verwenden, achten Sie darauf, dass sie den entsprechenden Organisationseinheiten oder Konfigurationsgruppen zugewiesen sind.
Sie müssen die Nutzer den Organisationseinheiten oder Gruppen zuordnen, für die Sie die clientseitige Verschlüsselung für alle oder bestimmte Dienste aktivieren möchten.
Requires having the Assured Controls add-on.
Wenn Sie die clientseitige Verschlüsselung für Organisationseinheiten aktivieren, können Sie sie als Standardeinstellung für die folgenden Dienste festlegen, einschließlich Web- und mobiler Apps:
- Gmail: Inhalte werden standardmäßig verschlüsselt, wenn Nutzer E-Mails schreiben, beantworten oder weiterleiten.
- Google Drive: Inhalte werden standardmäßig verschlüsselt, wenn Nutzer neue Dateien erstellen, z. B. Dokumente, Tabellen und Präsentationen.
- Google Kalender: Terminbeschreibungen werden standardmäßig verschlüsselt, wenn Nutzer einen Termin erstellen. Außerdem werden Videokonferenzen in Google Meet standardmäßig verschlüsselt.
Auch wenn Sie die clientseitige Verschlüsselung standardmäßig aktivieren, können Nutzer die Verschlüsselung bei Bedarf trotzdem deaktivieren. Mit dem Sicherheits-Prüftool können Sie sehen, wie Nutzer die clientseitige Verschlüsselung für Google Drive und Google Kalender deaktivieren. Weitere Informationen finden Sie im Hilfeartikel Protokolle und Berichte zur clientseitigen Verschlüsselung aufrufen.
Hinweis: Die clientseitige Verschlüsselung als Standard für einen Dienst ist derzeit nur für Organisationseinheiten und nicht für Konfigurationsgruppen verfügbar.
Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren
Wenn Sie die clientseitige Verschlüsselung für Nutzer benötigen, aktivieren Sie sie für die Organisationseinheiten oder Konfigurationsgruppen, denen diese Nutzer angehören. Wenn Sie den Nutzerzugriff für die clientseitige Verschlüsselung aktivieren, können Nutzer auswählen, ob sie Inhalte verschlüsseln möchten.
Wenn Sie die clientseitige Verschlüsselung für eine Organisationseinheit aktivieren, können Sie sie als Standard für Gmail, Google Drive und Google Kalender festlegen – sowohl für Web- als auch für mobile Apps. Requires having the Assured Controls add-on.
Wenn Sie verhindern möchten, dass Nutzer Inhalte verschlüsseln, können Sie die clientseitige Verschlüsselung für die Organisationseinheiten oder Konfigurationsgruppen, zu denen sie gehören, deaktivieren. Wenn Sie die clientseitige Verschlüsselung für Nutzer deaktivieren, bleiben alle clientseitig verschlüsselten Inhalte verschlüsselt und zugänglich.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“
Sicherheit
Zugriff und Datenkontrolle
- Klicken Sie unter Apps auf den Namen des Google-Dienstes, für den Sie die CSE für Nutzer aktivieren oder deaktivieren möchten.
Alternativ können Sie unter Verschlüsselung mit externem Schlüsseldienst oder Verschlüsselung mit Hardwareschlüsseln auf Zuweisen klicken. Wählen Sie dann unter Verschlüsselung nach App den Google-Dienst aus, für den Sie die clientseitige Verschlüsselung aktivieren möchten.
- Wählen Sie links die entsprechende Organisationseinheit oder Gruppe aus.
- Klicken Sie unter Nutzerzugriff auf An oder Aus.
- Bestätigen Sie Ihre Auswahl im Pop-up-Fenster.
- Optional für Organisationseinheiten: Wenn Sie Gmail-, Drive- oder Kalender-Inhalte standardmäßig mit dem Google-Dienst verschlüsseln möchten, klicken Sie auf das Kästchen neben Clientseitige Verschlüsselung standardmäßig aktivieren. Nutzer haben weiterhin die Möglichkeit, die Verschlüsselung zu deaktivieren.
Requires having the Assured Controls add-on. - Klicken Sie auf Überschreiben, um Ihre Einstellung beizubehalten, wenn die CSE-Einstellungen für die übergeordnete Organisationseinheit geändert werden.
- Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
- Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
- Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
Wenn Sie die clientseitige Verschlüsselung für Gmail aktiviert haben
Für jeden Nutzer, der die clientseitige Verschlüsselung für Gmail verwendet, müssen Sie die S/MIME-Zertifikate und die verschlüsselten Metadaten des privaten Schlüssels in Gmail vorbereiten und hochladen. Weitere Informationen finden Sie im Hilfeartikel Gmail-CSE für Nutzer einrichten.
Wenn Nutzer Probleme bei der Verwendung der clientseitigen Verschlüsselung haben
Sehen Sie in der Benachrichtigungszentrale nach, falls Nutzer Probleme bei der Verwendung der clientseitigen Verschlüsselung haben. Weitere Informationen finden Sie im Hilfeartikel Clientseitiger Verschlüsselungsdienst nicht verfügbar.
