Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen
Bevor Sie die clientseitige Verschlüsselung (Client-side Encryption, CSE) von Google Workspace einrichten, sollten Sie sich die Anforderungen, Optionen für Verschlüsselungsschlüssel und den Einrichtungsüberblick ansehen.
Voraussetzungen für die clientseitige Verschlüsselung
Abschnitt öffnen | Alle minimieren
Sie benötigen Super Admin-Berechtigungen für Google Workspace, um die clientseitige Verschlüsselung für Ihre Organisation zu verwalten, darunter:
- Schlüsseldienste hinzufügen und verwalten
- Schlüsseldienste zu Organisationseinheiten und Gruppen zuweisen
- Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren
Anforderungen für Nutzerlizenzen
- Für Folgendes benötigen Nutzer eine Google Workspace Frontline Plus-, Google Workspace Enterprise Plus-, Google Workspace Education Standard- oder Google Workspace for Education Plus-Lizenz:
- Clientseitig verschlüsselte Inhalte erstellen oder hochladen
- Verschlüsselte Videokonferenzen organisieren
- Verschlüsselte E-Mails senden oder empfangen
- Mit einer beliebigen Google Workspace- oder Cloud Identity-Lizenz können Nutzer:
- Clientseitig verschlüsselte Inhalte aufrufen, bearbeiten oder herunterladen
- Über einen Computer, ein Mobilgerät oder ein Google Meet-Hardwaregerät an einer clientseitig verschlüsselten Videokonferenz teilnehmen
- Nutzer mit einem privaten Google-Konto, z. B. Gmail-Nutzer, können nicht auf clientseitig verschlüsselte Inhalte zugreifen, keine verschlüsselten E-Mails senden oder an clientseitig verschlüsselten Videokonferenzen teilnehmen.
Browseranforderungen
Wenn sie clientseitig verschlüsselte Inhalte aufrufen oder bearbeiten möchten, müssen Nutzer entweder den Browser Google Chrome oder Microsoft Edge (Chromium) verwenden.
Sie können externen Nutzern Zugriff auf clientseitig verschlüsselte Inhalte gewähren. Für den Zugriff auf die verschlüsselten Gmail-Nachrichten Ihrer Nutzer müssen externe Nutzer lediglich S/MIME verwenden. Für andere Inhalte variieren die Anforderungen je nach Methode, die Sie für den externen Zugriff verwenden. Weitere Informationen finden Sie im Hilfeartikel Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Optionen für Verschlüsselungsschlüssel
Abschnitt öffnen | Alle minimieren
- Verwenden Sie einen externen Schlüsseldienst, der mit Google zusammenarbeitet. Ihr Schlüsseldienst unterstützt Sie bei der Einrichtung des Dienstes für Google Workspace. Weitere Informationen finden Sie im Hilfeartikel Schlüsseldienst für clientseitige Verschlüsselung auswählen.
- Erstellen Sie einen eigenen Schlüsseldienst mit der Google Workspace CSE API.
Erfordert das Add-on „Assured Controls“ oder „Assured Controls Plus“.
Clientseitige Verschlüsselung einrichten
Im Folgenden finden Sie eine Übersicht dazu, wie Sie die clientseitige Verschlüsselung in Google Workspace einrichten. Die Einrichtung der clientseitigen Verschlüsselung hängt davon ab, welche Art von Verschlüsselungsschlüsseln Sie verwenden möchten.
Wenn Sie einen externen Schlüsseldienst verwenden
So richten Sie die Verschlüsselung für Google Drive, Google Kalender und Google Meet ein: Sie führen diese Schritte auch für Gmail aus, es sei denn, Sie möchten nur Hardwareverschlüsselungsschlüssel für Gmail verwenden.
| Schritt | Beschreibung | So schließen Sie diesen Schritt ab |
|---|---|---|
| Schritt 1: Externen Schlüsseldienst auswählen |
Registrieren Sie sich bei einem der Partner für Schlüsseldienste von Google oder erstellen Sie mit der Google Workspace CSE API Ihren eigenen Dienst. Mit Ihrem Schlüsseldienst verwalten Sie die Verschlüsselungsschlüssel der obersten Ebene zum Schutz Ihrer Daten.
|
Schlüsseldienst für clientseitige Verschlüsselung auswählen |
| Schritt 2: Mit dem Identitätsanbieter Google Workspace verbinden |
Stellen Sie über die Admin-Konsole oder eine auf Ihrem Server gehostete .well-known-Datei eine Verbindung zu einem externen Identitätsanbieter oder der Google-Identität her. Ihr IdP überprüft die Identität von Nutzern, bevor sie Inhalte verschlüsseln und auf verschlüsselte Inhalte zugreifen können. |
Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen |
| Schritt 3: Externen Schlüsseldienst einrichten |
Richten Sie den Dienst für die clientseitige Verschlüsselung in Google Workspace zusammen mit Ihrem Schlüsseldienstpartner ein. Hinweis: Wenn Sie die clientseitige Verschlüsselung mit Meet-Hardware verwenden, muss der für die Schlüsselverwaltung verwendete Server des externen Schlüsseldienstes den Aufruf „delegate“ unterstützen, der zur Autorisierung eines Raums verwendet wird, um im Namen eines authentifizierten Nutzers an einer Besprechung teilzunehmen. Weitere Informationen erhalten Sie von Ihrem Schlüsseldienst. |
Schlüsseldienst für clientseitige Verschlüsselung einrichten |
| Schritt 4: Informationen zum Schlüsseldienst in der Admin-Konsole hinzufügen |
Fügen Sie die URL des externen Schlüsseldienstes der Admin-Konsole hinzu, um den Dienst mit Google Workspace zu verbinden. Sie können mehrere Schlüsseldienste hinzufügen, um für bestimmte Organisationseinheiten oder Gruppen unterschiedliche Schlüsseldienste zuzuweisen. |
Schlüsseldienste für clientseitige Verschlüsselung hinzufügen und verwalten |
| Schritt 5: Nutzern den Schlüsseldienst zuweisen | Weisen Sie Ihren Schlüsseldienst oder mehrere Dienste Ihren Organisationseinheiten und Gruppen zu. Sie müssen einen Schlüsseldienst als Standard für Ihre Organisation zuweisen. | Nutzern die clientseitige Verschlüsselung zuweisen |
| Schritt 6: (Optional nur für Gmail-S/MIME-Nachrichten) Verschlüsselungsschlüssel von Nutzern hochladen |
Wichtig: Wenn Sie das Add-on „Sichere Kontrollen“ haben und keine Hardwareschlüsselverschlüsselung verwenden, können Sie diesen Schritt überspringen und stattdessen die Ende-zu-Ende-Verschlüsselung (E2EE) von Gmail verwenden, indem Sie die Option Verschlüsselung mit Gastkonten aktivieren.
Erstellen Sie ein GCP-Projekt (Google Cloud Platform) und aktivieren Sie die Gmail API. Gewähren Sie der API dann Zugriff auf Ihre gesamte Organisation, aktivieren Sie die clientseitige Verschlüsselung für Gmail-Nutzer und laden Sie private und öffentliche Verschlüsselungsschlüssel in Gmail hoch. Hinweis: Für diesen Schritt ist Erfahrung mit APIs und Python-Scripts erforderlich. |
Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren |
| Schritt 7: Clientseitige Verschlüsselung für Nutzer aktivieren |
Aktivieren Sie die clientseitige Verschlüsselung für alle Organisationseinheiten oder Gruppen in Ihrer Organisation mit Nutzern, die clientseitig verschlüsselte Inhalte erstellen müssen. Sie können die clientseitige Verschlüsselung für alle unterstützten Dienste oder nur für bestimmte Dienste (Gmail, Meet, Drive und Kalender) aktivieren. Gmail-CSE: Wenn Sie das Add-on „Assured Controls“ haben und keine Hardwareschlüsselverschlüsselung für Gmail verwenden, können Sie in diesem Schritt die Option Verschlüsselung mit Gastkonten auswählen, um die E2EE für Gmail automatisch zu aktivieren, ohne S/MIME-Zertifikate konfigurieren zu müssen. |
Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren |
| Schritt 8 (optional): Externen Zugriff einrichten | Sie können externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren, indem Sie einen Gast-Identitätsanbieter (IdP) für Organisationen konfigurieren, die nicht die clientseitige Verschlüsselung (Client-side Encryption, CSE) von Google Workspace verwenden. | Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren |
| Schritt 9: (Optional) Nachrichten als clientseitig verschlüsselte S/MIME-Nachrichten in Gmail importieren | Wenn Ihre Organisation Nachrichten in einem anderen Dienst oder in einem anderen Verschlüsselungsformat hat, können Sie diese Nachrichten als Administrator als clientseitig verschlüsselte Nachrichten im Format S/MIME zu Gmail migrieren. | Nachrichten als clientseitig verschlüsselte E‑Mails zu Gmail migrieren |
Wenn Sie Hardwareverschlüsselungsschlüssel für Gmail verwenden
Erfordert das Add-on „Assured Controls“ oder „Assured Controls Plus“.
Führen Sie diese Schritte aus, wenn Sie Hardwareverschlüsselungsschlüssel für alle oder einige Ihrer Gmail-Nutzer anstelle eines externen Schlüsseldienstes einrichten möchten.
| Schritt | Beschreibung | So schließen Sie diesen Schritt ab |
|---|---|---|
| Schritt 1: Google Workspace mit dem Identitätsanbieter verbinden | Stellen Sie über die Admin-Konsole oder eine auf Ihrem Server gehostete .well-known-Datei eine Verbindung zu einem externen Identitätsanbieter oder der Google-Identität her. Ihr IdP überprüft die Identität von Nutzern, bevor sie Inhalte verschlüsseln und auf verschlüsselte Inhalte zugreifen können. | Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen |
| Schritt 2: Hardwareverschlüsselungsschlüssel einrichten |
Installieren Sie die Google Workspace-Hardwareschlüssel-App auf den Windows-Geräten der Nutzer. Hinweis: Für diesen Schritt ist Erfahrung mit PowerShell-Scripts erforderlich. |
Nur Gmail: Hardwareverschlüsselungsschlüssel einrichten und verwalten |
| Schritt 3: Informationen zur Hardwareverschlüsselung in der Admin-Konsole hinzufügen | Geben Sie die Portnummer ein, über die Google Workspace mit dem Smartcard-Lesegerät auf den Windows-Geräten der Nutzer kommuniziert. | Nur Gmail: Hardwareverschlüsselungsschlüssel einrichten und verwalten |
| Schritt 4: Nutzern die Hardwareverschlüsselung zuweisen | Weisen Sie Ihren Organisationseinheiten und Gruppen die Verschlüsselung mit Hardwareschlüsseln zu. | Nutzern die clientseitige Verschlüsselung zuweisen |
| Schritt 5: Öffentliche Verschlüsselungsschlüssel der Nutzer hochladen |
Erstellen Sie ein CGP-Projekt (Google Cloud Platform) und aktivieren Sie die Gmail API. Gewähren Sie der API dann Zugriff auf Ihre gesamte Organisation, aktivieren Sie die clientseitige Verschlüsselung für Gmail-Nutzer und laden Sie öffentliche Verschlüsselungsschlüssel in Gmail hoch. Hinweis: Für diesen Schritt ist Erfahrung mit APIs und Python-Scripts erforderlich. |
Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren |
| Schritt 6: (Optional) Nachrichten als clientseitig verschlüsselte E‑Mails in Gmail importieren | Wenn Ihre Organisation Nachrichten in einem anderen Dienst oder in einem anderen Verschlüsselungsformat hat, können Sie diese Nachrichten als Administrator als clientseitig verschlüsselte Nachrichten im Format S/MIME zu Gmail migrieren. | Nachrichten als clientseitig verschlüsselte E‑Mails zu Gmail migrieren |
CSE für Meet-Hardware
Standardmäßig verschlüsselt Meet alle Anrufmedien, sowohl bei der Übertragung als auch im Ruhezustand. Nur Besprechungsteilnehmer und die Rechenzentrumsdienste von Google können diese Informationen entschlüsseln.
Die clientseitige Verschlüsselung bietet eine zusätzliche Datenschutzebene, da Anrufmedien direkt im Browser jedes Teilnehmers mit Schlüsseln verschlüsselt werden, auf die nur die Teilnehmer Zugriff haben. Nur der Teilnehmer kann Videokonferenzinformationen entschlüsseln, die von seinem Browser mit seinen Schlüsseln verschlüsselt wurden.
Damit Nutzer die clientseitige Verschlüsselung nutzen können, müssen Administratoren Workspace mit einem externen Identitätsanbieter und einem Verschlüsselungsschlüsseldienst verbinden (IdP+Schlüsseldienst). Weitere Informationen zum Einrichten eines Identitätsanbieters und Schlüsseldienstes finden Sie auf dieser Seite unter Übersicht über die Einrichtung der clientseitigen Verschlüsselung.
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.
