Manipulierte Konten erkennen und sichern

Falls Sie vermuten, dass Konten manipuliert oder gehackt wurden, können Sie als Administrator diese Checkliste nutzen, um sie zu sichern. Arbeiten Sie gemeinsam mit den betroffenen Nutzern die Gmail-Sicherheits-Checkliste ab.

Zu ergreifende Sicherheitsmaßnahmen

1. Schritt: Vermutlich manipulierte Nutzerkonten vorübergehend sperren
  1. Sperren Sie Nutzer, um unbefugte Zugriffe zu verhindern.

    Hinweis: Wenn Sie einen Nutzer sperren, werden seine Anmeldecookies und OAuth-Tokens zurückgesetzt.

  2. Untersuchen Sie die potenziell unzulässigen Aktivitäten. Anschließend können Sie das Konto wiederherstellen. Optional können Sie eine Bestätigung in zwei Schritten für die Domain festlegen.
  3. Bitten Sie den betroffenen Nutzer, seine Wiederherstellungsadresse zu prüfen und alle Punkte der Gmail-Sicherheits-Checkliste umzusetzen.
2. Schritt: Konten auf unzulässige Aktivitäten untersuchen
  1. Falls der manipulierte Nutzer ein G Suite-Administrator ist, sollten Sie einen Blick auf die Administrator-Audit-Logs werfen. Achten Sie dabei auf Konfigurationsänderungen, die dieser Nutzer kürzlich vorgenommen hat. Überspringen Sie den Schritt, wenn er nicht zutrifft.
  2. Überprüfen Sie die mit dem betroffenen Konto verbundenen Mobilgeräte und löschen Sie Geräte, die Ihnen verdächtig vorkommen.
  3. Untersuchen Sie die potenziell unzulässigen Aktivitäten:
    1. In der Admin-Konsole finden Sie das Audit-Log zu Anmeldeaktivitäten. Dieses Audit-Log umfasst eine Liste erfolgreicher und nicht erfolgreicher webbasierter Anmeldungen in Ihrer Domain innerhalb der letzten sechs Monate. Verdächtige Anmeldungen werden mit einem Warnsymbol gekennzeichnet. Sie können auch die G Suite Reports API verwenden, um die Anmeldedaten für Domainkonten abzurufen.
    2. Mit der E-Mail-Protokollsuche haben Sie die Möglichkeit, die Zustellungsprotokolle für Ihre Domains zu überprüfen und die Nachrichtenübertragung (Empfang und Versand) bei manipulierten Konten auszuwerten. Wird das Konto in Vault verwaltet, können Sie mit dieser Funktion auch die E-Mail-Aktivitäten nachvollziehen.
      Hinweis: Nutzer, die zu G Suite Business oder G Suite Enterprise mit Vault wechseln, können auch endgültig gelöschte E-Mails und Dokumente wiederherstellen.
    3. Anhand des Sicherheitsberichts lässt sich beurteilen, wie gefährdet die Daten in der Domain sind. Sie sollten sich diese Berichte ansehen:
    4. Vergewissern Sie sich, dass keine schädlichen Einstellungen vorgenommen wurden. Mithilfe der Gmail API können Sie Einstellungen für Nutzerkonten abrufen, z. B. Weiterleitungsoptionen, um festzustellen, ob schädliche Einstellungen vorliegen. Wenn Sie vermuten, dass ein privates Gmail-Konto, z. B. kunde@gmail.com, an dieser Manipulation beteiligt ist, melden Sie dies bitte.
3. Schritt: Zugriff auf betroffene Konten widerrufen
  1. Befolgen Sie die Schritte im Artikel Nutzerpasswort zurücksetzen.
  2. Widerrufen Sie OAuth-2.0-Tokens für den Nutzer. 
  3. Nach dem Zurücksetzen eines Nutzerpassworts können einige Anwendungen mit OAuth-2.0-Authentifizierung nicht mehr auf Daten zugreifen. Der betroffene Nutzer muss sich mit seinem Kontonamen und dem neuen Passwort anmelden, um ein neues OAuth-2.0-Token abzurufen.
  4. Entfernen Sie die App-Passwörter, die der Nutzer erstellt hat.
4. Schritt: Dem Nutzer wieder die Zugriffsberechtigung erteilen
  1. Heben Sie die Kontosperrung auf.
  2. Teilen Sie den Nutzern ihr neues temporäres Passwort mit und bitten Sie sie, ein neues Passwort festzulegen, das nicht für andere Websites oder Anwendungen verwendet wird.
  3. Aktivieren Sie für die Domain die Bestätigung in zwei Schritten und registrieren Sie die Nutzer mit U2F-Sicherheitsschlüsseln. Diese bieten einen besseren Schutz als Codes für die Bestätigung in zwei Schritten.
  4. Arbeiten Sie gemeinsam mit den Nutzern die Gmail-Sicherheits-Checkliste für Endnutzer ab. Achten Sie beispielsweise auf die korrekte Konfiguration von Filtern und Weiterleitungsoptionen im Konto der Nutzer.
    1. Kontowiederherstellungsoptionen aktualisieren
    2. Konto auf ungewöhnliche Aktivitäten überprüfen
    3. Fehlende oder verdächtige Nachrichten suchen
    4. Kontakte auf Fehler überprüfen
    5. Gmail-Einstellungen überprüfen  

Zusätzliche Sicherheitsmaßnahmen ergreifen 

Wir empfehlen Ihnen, diese zusätzlichen Schritte auszuführen, um die Sicherheit der G Suite-Konten der Nutzer zu gewährleisten.

1. Schritt: Bestätigung in zwei Schritten mit Sicherheitsschlüsseln einrichten

Die Bestätigung in zwei Schritten bietet eine zusätzliche Sicherheitsstufe für die G Suite-Konten der Nutzer. Dabei sind zur Kontoanmeldung nicht nur ein Nutzername und das zugehörige Passwort erforderlich, sondern auch ein Bestätigungscode. Weitere Details finden Sie unter Bestätigung in zwei Schritten hinzufügen. Wir empfehlen, statt 2SV-Sicherheitscodes lieber Sicherheitsschlüssel einzusetzen. So sind Sie noch besser vor Phishing geschützt.

2. Schritt: Wiederherstellungsoptionen hinzufügen, sichern oder aktualisieren

Unter Wiederherstellungsoptionen zu Ihrem Administratorkonto hinzufügen erfahren Sie, wie sekundäre E-Mail-Adressen und Telefonnummern hinzugefügt werden. Wir empfehlen, die sekundäre E-Mail-Adresse zu schützen, indem Sie das Passwort ändern oder eine alternative Adresse einsetzen.

3. Schritt: Benachrichtigungen zu Kontoaktivitäten aktivieren

Als Administrator können Sie festlegen, dass Sie über wichtige Kontoaktivitäten benachrichtigt werden, z. B. bei potenziell verdächtigen Anmeldeversuchen oder wenn andere Administratoren Diensteinstellungen ändern.

Allgemeine Empfehlungen zur Aufrechterhaltung der Kontosicherheit finden Sie auch im Sicherheitscenter.

War das hilfreich?
Wie können wir die Seite verbessern?