Gehackte Konten erkennen und sichern

1. Sie können Nutzer vorübergehend sperren, um unbefugte Zugriffe zu verhindern.

   Hinweis: Wenn Sie einen Nutzer sperren, werden seine Anmeldecookies und OAuth-Tokens zurückgesetzt.

2. Untersuchen Sie die potenziell unzulässigen Aktivitäten. Anschließend können Sie das Konto wiederherstellen. Optional können Sie eine Bestätigung in zwei Schritten für die Domain festlegen.
3. Bitten Sie den betroffenen Nutzer, seine Wiederherstellungsadresse zu prüfen und alle Punkte der Sicherheits-Checkliste für Gmail umzusetzen.

1. Falls der manipulierte Nutzer ein Administrator ist, sollten Sie einen Blick auf die Administrator-Audit-Logs werfen. Achten Sie dabei auf Konfigurationsänderungen, die dieser Nutzer kürzlich vorgenommen hat. Überspringen Sie den Schritt, wenn das nicht zutrifft.
2. Prüfen Sie die mit dem betroffenen Konto verbundenen Mobilgeräte und löschen Sie Geräte, die Ihnen verdächtig vorkommen.
3. Untersuchen Sie die potenziell unzulässigen Aktivitäten:
   1. In der Admin-Konsole finden Sie das User Logereignisse. Es umfasst eine Liste erfolgreicher und nicht erfolgreicher webbasierter Anmeldungen in Ihrer Domain innerhalb der letzten sechs Monate. Verdächtige Anmeldungen sind mit einem Warnsymbol gekennzeichnet. Sie können auch die Reports API verwenden, um die Anmeldedaten für Domainkonten abzurufen.
   2. Mit der E-Mail-Protokollsuche haben Sie die Möglichkeit, die Zustellungsprotokolle für Ihre Domains zu prüfen und die Nachrichtenübertragung (Empfang und Versand) bei gehackten Konten auszuwerten. Wird das Konto in Vault verwaltet, können Sie mit dieser Funktion auch die E-Mail-Aktivitäten nachvollziehen.
      Hinweis: Nutzer, die ein Upgrade auf eine Version mit Vault durchgeführt haben, können endgültig gelöschte E-Mails oder Dokumente wiederherstellen.
   3. Anhand der Sicherheitsberichte können Sie beurteilen, wie gefährdet die Daten in der Domain sind. Sie sollten sich diese Berichte ansehen:
      • OAuth-Protokollereignisse
      • Groups-Protokollereignisse
      • Drive-Protokollereignisse

        Versionen mit dieser Funktion: Frontline Starter und Frontline Standard Business Starter, Business Standard und Business Plus, Enterprise Standard und Enterprise Plus Education Fundamentals, Education Standard, Teaching and Learning Upgrade und Education Plus Essentials Starter, Essentials, Enterprise Essentials und Enterprise Essentials Plus; G Suite Business.  G Suite-Versionen vergleichen

      • Kalender-Protokollereignisse
   4. Vergewissern Sie sich, dass keine schädlichen Einstellungen vorgenommen wurden. Mit der Gmail API können Sie die Einstellungen für Nutzerkonten abrufen, etwa die Weiterleitungseinstellungen. Wenn Sie vermuten, dass ein privates Gmail-Konto an dieser Manipulation beteiligt ist, melden Sie dies bitte.

1. Befolgen Sie die Schritte im Hilfeartikel Nutzerpasswort zurücksetzen.
2. Widerrufen Sie OAuth-2.0-Tokens für den Nutzer. 
3. Nach dem Zurücksetzen eines Nutzerpassworts ist der Zugriff auf Daten für einige Anwendungen mit OAuth-2.0-Authentifizierung nicht mehr möglich. Der betroffene Nutzer muss sich mit seinem Kontonamen und dem neuen Passwort anmelden, um ein neues OAuth-2.0-Token abzurufen.
4. Entfernen Sie App-Passwörter, die der Nutzer erstellt hat.

1. Heben Sie die Kontosperrung auf.
2. Teilen Sie den Nutzern ihr neues temporäres Passwort mit und bitten Sie sie, ein neues Passwort festzulegen, das nicht für andere Websites oder Anwendungen verwendet wird.
3. Aktivieren Sie für die Domain die Bestätigung in zwei Schritten und registrieren Sie die Nutzer mit Sicherheitsschlüsseln. Diese bieten einen besseren Schutz als Codes für die Bestätigung in zwei Schritten.
4. Arbeiten Sie gemeinsam mit den Nutzern die Gmail-Sicherheits-Checkliste für Endnutzer ab. Achten Sie beispielsweise auf die korrekte Konfiguration von Filtern und Weiterleitungsoptionen im Konto der Endnutzer.
   1. Kontowiederherstellungsoptionen aktualisieren
   2. Konto auf ungewöhnliche Aktivitäten überprüfen
   3. Fehlende oder verdächtige Nachrichten suchen
   4. Kontakte auf Fehler überprüfen
   5. Gmail-Einstellungen überprüfen 

Die Bestätigung in zwei Schritten bietet eine zusätzliche Sicherheitsstufe für die Konten Ihrer Nutzer. Dabei sind zur Kontoanmeldung nicht nur ein Nutzername und das zugehörige Passwort erforderlich, sondern auch ein Bestätigungscode. Weitere Details finden Sie im Hilfeartikel Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen. Wir empfehlen, statt 2SV-Sicherheitscodes lieber Sicherheitsschlüssel für die Bestätigung in zwei Schritten zu verwenden. So sind Sie noch besser vor Phishing geschützt.

Im Hilfeartikel Meinem Administratorkonto Wiederherstellungsoptionen hinzufügen erfahren Sie, wie sekundäre E-Mail-Adressen und Telefonnummern hinterlegt werden. Wir empfehlen, die sekundäre E-Mail-Adresse zu schützen, indem Sie das Passwort ändern oder eine alternative Adresse einsetzen.

Als Administrator können Sie festlegen, dass Sie über wichtige Kontoaktivitäten benachrichtigt werden, z. B. bei potenziell verdächtigen Anmeldeversuchen oder wenn andere Administratoren Diensteinstellungen ändern.

Allgemeine Empfehlungen zur Aufrechterhaltung der Kontosicherheit finden Sie auch im Sicherheitscenter.