Unterstützte Versionen für diese Funktion: Enterprise Plus; Education Standard und Education Plus. G Suite-Versionen vergleichen
Hier finden Sie Antworten auf häufig gestellte Fragen zur clientseitigen Verschlüsselung (Client-side Encryption, CSE) in Google Workspace.
Abschnitt öffnen | Alle minimieren
Verschlüsselung
Wo finde ich Informationen zur Standardverschlüsselung von Google?
Informationen zur Standardverschlüsselung von Google finden Sie auf der Google Cloud-Website.
Weitere Informationen zur Standardverschlüsselung in Gmail finden Sie in der Gmail-Hilfe unter E‑Mail-Verschlüsselung während der Zustellung.
Wie unterscheidet sich die clientseitige Verschlüsselung von der Ende-zu-Ende-Verschlüsselung?
Mit der Ende-zu-Ende-Verschlüsselung werden Ver- und Entschlüsselung immer auf den Quell- und Zielgeräten durchgeführt, z. B. auf Mobilgeräten für Chatnachrichten. Die Verschlüsselungsschlüssel werden auf den Clientgeräten generiert und Administratoren können sie nicht verwalten oder festlegen, wer sie verwenden darf. Außerdem sehen Sie nicht, welche Inhalte Nutzer verschlüsselt haben.
Bei der clientseitigen Verschlüsselung erfolgt die Ver- und Entschlüsselung ebenfalls an der Quelle und am Ziel. In diesem Fall sind das die Browser der Clientgeräte. Die hier verwendeten Verschlüsselungsschlüssel werden in einem cloudbasierten Key Management Service generiert und gespeichert, sodass Sie sie verwalten und festlegen können, wer darauf Zugriff hat. Sie können beispielsweise den Zugriff eines Nutzers auf Schlüssel widerrufen, die er selbst generiert hat. Außerdem sehen Sie, welche Dateien die Nutzer verschlüsseln.
Clientseitige Verschlüsselung aus Nutzersicht
Wie können Nutzer Daten mit der clientseitigen Verschlüsselung verschlüsseln?
Nutzer können die clientseitige Verschlüsselung über eine entsprechende Option in den unterstützten Diensten aktivieren. Weitere Informationen dazu, wie Nutzer die clientseitige Verschlüsselung in Web- und mobilen Apps aktivieren können, finden Sie unter Clientseitige Verschlüsselung – Übersicht.
Gibt es Einschränkungen für Nutzer bei der Verwendung der clientseitigen Verschlüsselung?
Ja, einige Funktionen in Google-Diensten sind nicht verfügbar, wenn die clientseitige Verschlüsselung aktiviert ist. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung – Übersicht.
Clientseitige Verschlüsselung einrichten
Was sind Verschlüsselungsschlüssel und wie erhalte ich sie?
Ein Verschlüsselungsschlüssel wird verwendet, um Daten in ein unlesbares Format umzuwandeln, damit sie zufällig erscheinen. So sind die Daten vor unbefugten Zugriffen geschützt. Zum Lesen verschlüsselter Daten benötigt eine Person oder eine Anwendung einen Schlüssel, um die Daten zurück in ihr ursprüngliches Format zu konvertieren.
Wenn Sie den Google Workspace-Daten Ihrer Organisation mithilfe von Verschlüsselungsschlüsseln eine Verschlüsselungsebene hinzufügen möchten, müssen Sie einen Key Management Service verwenden, der mit Google zusammenarbeitet, oder mit der CSE API von Google einen eigenen Schlüsseldienst erstellen. Alternativ können Sie nur für Gmail die Verschlüsselung mit Hardwareschlüsseln verwenden, bei der sich der Verschlüsselungsschlüssel des Nutzers auf einer Smartcard befindet.
Welche Key Management Services von Partnern kann ich mit der clientseitigen Verschlüsselung verwenden?
Verschiedene Key Management Services sind Partner von Google und können mit der clientseitigen Verschlüsselung verwendet werden. Eine Liste der Dienste finden Sie im Hilfeartikel Schlüsseldienst für clientseitige Verschlüsselung auswählen.
Kann ich Google als Key Management Service verwenden?
Nein. Sie müssen einen externen Key Management Service verwenden, um die clientseitige Verschlüsselung in Google Workspace einzurichten. Mit dieser Funktion können Sie Ihre eigenen Verschlüsselungsschlüssel verwalten, auf die Google nicht zugreifen kann, um Ihre Daten zu entschlüsseln.
Kann ich mehrere Schlüsseldienste nutzen?
Ja, Sie können mehrere Schlüsseldienste verwenden und einen Dienst auswählen, der für eine Organisationseinheit oder Gruppe verwendet werden soll. Außerdem können Sie verschlüsselte Inhalte von einem Dienst zu einem anderen migrieren.
Hinweis: In der Admin-Konsole können Sie einen einzelnen Schlüsseldienst für die clientseitige Verschlüsselung in Gmail einrichten. Weitere Optionen zur Verwaltung von Schlüsseln finden Sie unter Clientseitige Verschlüsselungs-API für Google Workspace.
Kann ich Smartcards mit der clientseitigen Verschlüsselung verwenden?
Ja. Wenn Ihre Organisation Smartcards für den Zugriff auf Einrichtungen und Systeme verwendet, können Sie die Verschlüsselung mit Hardwareschlüsseln für die clientseitige Verschlüsselung in Gmail einrichten. Nutzer mit dem Requires having the Assured Controls add-on. können ihre E‑Mails mit ihren Smartcards verschlüsseln, die ihren privaten Verschlüsselungsschlüssel enthalten. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselung mit Hardwareschlüsseln einrichten und verwalten.
Kann ich für Gmail sowohl einen Schlüsseldienst als auch Hardwareverschlüsselungsschlüssel verwenden?
Ja, Sie können sowohl einen Schlüsseldienst als auch Hardwareverschlüsselungsschlüssel für die clientseitige Verschlüsselung in Gmail einrichten. Requires having the Assured Controls add-on. Sie weisen einem Nutzer sowohl den Schlüsseldienst als auch die Hardwareschlüsselverschlüsselung zu. Nutzer können jedoch nur eine Art der Verschlüsselung für Gmail verwenden. Diese hängt davon ab, wie Sie den privaten Verschlüsselungsschlüssel für Gmail eingerichtet haben. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselungsschlüssel für die clientseitige Verschlüsselung hochladen.
Kann ich zu einem anderen Schlüsseldienst wechseln?
Ja, Sie können zu einem anderen Schlüsseldienst wechseln. In diesem Fall empfiehlt es sich, Inhalte, die mit Ihrem aktuellen Schlüsseldienst verschlüsselt sind, zum neuen Dienst zu migrieren. Weitere Informationen finden Sie im Hilfeartikel Zu einem neuen Schlüsseldienst wechseln.
Wie kann ich festlegen, welche Nutzer oder Gruppen Zugriff auf meinen externen Schlüsseldienst haben?
Sie verwalten die Key Access Control List (KACL) für Verschlüsselungsschlüssel über Ihren externen Schlüsseldienst. Ihre KACL muss alle Nutzer enthalten, die Inhalte entweder verschlüsseln oder entschlüsseln (aufrufen oder bearbeiten) müssen. Weitere Informationen erhalten Sie vom Anbieter.
Außerdem müssen Sie die clientseitige Verschlüsselung für alle Nutzer aktivieren, die Daten verschlüsseln müssen. Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung aktivieren oder deaktivieren.
Kann ich die Verwendung der clientseitigen Verschlüsselung für bestimmte Nutzer erzwingen?
Für Gmail, Google Drive und Google Kalender können Sie festlegen, dass die clientseitige Verschlüsselung für bestimmte Organisationseinheiten standardmäßig aktiviert ist. Requires having the Assured Controls add-on.
Wenn Sie angeben, dass die clientseitige Verschlüsselung standardmäßig aktiviert ist, können Nutzer die clientseitige Verschlüsselung bei Bedarf trotzdem deaktivieren.
Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung aktivieren oder deaktivieren.
Wie richte ich die clientseitige Verschlüsselung für geteilte Ablagen ein?
Sie müssen die clientseitige Verschlüsselung für geteilte Ablagen nicht gesondert konfigurieren. Der externe Schlüsseldienst, den Sie in der Admin-Konsole eingerichtet haben, funktioniert für Dateien in „Meine Ablage“ und in geteilten Ablagen.
Was ist, wenn ich beim Einrichten der clientseitigen Verschlüsselung eine Benachrichtigung erhalte?
Weitere Informationen zu Problemen mit der Einrichtung der clientseitigen Verschlüsselung finden Sie im Hilfeartikel Details zu Benachrichtigungen aufrufen.
Kann ich vorhandene E‑Mails mit clientseitiger Verschlüsselung importieren und verschlüsseln?
Ja. Weitere Informationen finden Sie unter Nachrichten als clientseitig verschlüsselte E‑Mails zu Gmail migrieren.
Kann ich externen Nutzern den Zugriff auf clientseitig verschlüsselte Inhalte unserer Organisation erlauben?
Ja. Weitere Informationen finden Sie unter Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Mit clientseitig verschlüsselten Inhalten arbeiten
Kann ich vorhandene Dateien mit einem anderen Verschlüsselungsschlüssel noch einmal verschlüsseln?
Sie können clientseitig verschlüsselte Dateien zu einem neuen Schlüsseldienst migrieren. Weitere Informationen finden Sie im Hilfeartikel Zu einem neuen Schlüsseldienst wechseln.
Kann ich die Verschlüsselung für eine Datei auf die Standardverschlüsselung von Google umstellen?
Ja, Sie können die clientseitige Verschlüsselung aus Google-Dokumenten, ‑Tabellen oder ‑Präsentationen entfernen. Weitere Informationen finden Sie im Hilfeartikel Verschlüsselung aus einem Dokument entfernen.
Wie kann ich exportierte Drive-Dateien und E‑Mails verschlüsseln?
Clientseitig verschlüsselte Dateien, die Sie mit dem Tool für den Datenexport oder Google Vault exportiert haben, lassen sich über ein Befehlszeilen-Dienstprogramm entschlüsseln. Weitere Informationen finden Sie im Hilfeartikel Exportierte clientseitig verschlüsselte Dateien und E‑Mails entschlüsseln.
Kann ich verschlüsselte Dateien und E‑Mails in Google Vault aufbewahren, suchen und exportieren?
Ja, wenn Ihre Google Workspace-Version Google Vault hat, können Sie clientseitig verschlüsselte Drive-Dateien und Gmail-E-Mails in Vault aufbewahren, suchen und exportieren.
Sie können nach clientseitig verschlüsselten Dateien anhand ihrer Metadaten suchen, z. B. Titel und Inhaber. Sie können jedoch den Inhalt nicht suchen, nicht nach Dateityp suchen und keine Vorschau ansehen oder Inhalte aus der Vorschauansicht herunterladen.
Weitere Informationen finden Sie in der Google Vault-Hilfe.
Clientseitig verschlüsselte Dateien und E‑Mails prüfen
Werden clientseitig verschlüsselte Inhalte in Drive und Gmail automatisch auf Sicherheitsbedrohungen geprüft?
Clientseitig verschlüsselte Dateien und E-Mails werden nicht auf Phishing und Malware geprüft, da die Google-Server keinen Zugriff auf den Inhalt haben.
Kann ich die Inhalte von clientseitig verschlüsselten Dateien oder E-Mails mit der Funktion „Schutz vor Datenverlust“ (Data Loss Prevention, DLP) prüfen?
Nein. Sie erstellen DLP-Regeln jedoch für Folgendes:
- Prüfen der unverschlüsselten Metadaten von Drive-Dateien, z. B. Titel und Drive-Labels. So lassen sich sensible Daten besser schützen.
- Prüfen von Drive-Dateien, um festzustellen, ob sie clientseitig verschlüsselt sind. Wählen Sie dazu die Regelbedingung Status der Dateiverschlüsselung > Ist > Clientseitig verschlüsselt oder Nicht clientseitig verschlüsselt aus.
Weitere Informationen zum Erstellen von DLP-Regeln für Google Drive finden Sie im Hilfeartikel DLP-Regeln und benutzerdefinierte Inhaltsdetektoren für Google Drive erstellen.
Zu einer Google Workspace-Version wechseln, die die clientseitige Verschlüsselung nicht unterstützt
Was geschieht mit verschlüsselten Inhalten, wenn die Lizenzen der Nutzer keine clientseitige Verschlüsselung mehr umfassen?
Wenn Sie Nutzer auf eine Google Workspace-Lizenz umstellen, die keine clientseitige Verschlüsselung bietet, können sie weiterhin clientseitig verschlüsselte Elemente wie Dateien und E‑Mails aufrufen und bearbeiten. Sie können jedoch keine neuen clientseitig verschlüsselten Elemente erstellen.
Kann ich die Verschlüsselung von Inhalten entfernen, wenn ich die clientseitige Verschlüsselung nicht mehr verwenden möchte?
Wenn Sie die clientseitige Verschlüsselung nicht mehr verwenden und Elemente wie Dateien und E-Mails entschlüsseln möchten, müssen Sie sie zuerst mit dem Tool für den Datenexport exportieren. Entfernen Sie dann mit dem Dienstprogramm zur Entschlüsselung die clientseitige Verschlüsselung.
