IT-Administratoren in mittleren und großen Unternehmen sollten diese Best Practices befolgen, um die Sicherheit und den Schutz von Unternehmensdaten zu erhöhen. In der Admin-Konsole finden Sie verschiedene Einstellungen, mit denen sich die nachstehenden Best Practices implementieren lassen.
Falls es in Ihrem Unternehmen keinen IT-Administrator gibt, prüfen Sie bitte, ob möglicherweise eher die Empfehlungen in der Sicherheits-Checkliste für kleine Unternehmen (1–100 Nutzer) auf Ihr Unternehmen zutreffen.
Hinweis: Nicht alle hier beschriebenen Einstellungen sind in jeder Google Workspace-Version oder Cloud Identity-Version verfügbar.
Best Practices für die Sicherheit – Einrichtung
Zum Schutz Ihres Unternehmens sind viele der in dieser Checkliste empfohlenen Einstellungen standardmäßig aktiviert.
Da Super Admins den Zugriff auf alle Geschäfts- und Mitarbeiterdaten in der Organisation kontrollieren, müssen ihre Konten besonders gut geschützt sein.
Eine vollständige Liste der Empfehlungen finden Sie unter Best Practices für die Sicherheit von Administratorkonten.
Multi-Faktor-Authentifizierung erzwingen
|
|
Bestätigung in zwei Schritten für Nutzer erzwingen Die Bestätigung in zwei Schritten schützt Nutzerkonten vor unberechtigten Zugriffen, falls jemand das dazugehörige Passwort herausfinden sollte. Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen | Bestätigung in zwei Schritten implementieren |
|
|
Sicherheitsschlüssel zumindest für Administratoren und andere wichtige Konten erzwingen Sicherheitsschlüssel sind kleine Hardwaregeräte, die bei der Anmeldung verwendet werden und durch eine Zwei-Faktor-Authentifizierung vor Phishingangriffen schützen. |
Passwörter schützen
|
|
Wiederverwendung von Passwörtern mit der Passwort-Warnung verhindern Mit der Passwort-Warnung wird sichergestellt, dass Nutzer die Anmeldedaten für Ihre Organisation nicht auf anderen Websites verwenden. |
|
|
Eindeutige Passwörter verwenden Ein gutes Passwort ist die erste Maßnahme, um Nutzer- und Administratorkonten zu schützen. Eindeutige Passwörter sind nicht leicht zu erraten. Daher sollten Sie auch verhindern, dass Passwörter mehrfach verwendet werden, z. B. für ein E-Mail-Konto und das Onlinebanking. Starkes Passwort erstellen und für mehr Kontosicherheit sorgen |
Gehackte Konten vermeiden und wiederherstellen
|
|
Aktivitätsberichte und -benachrichtigungen regelmäßig überprüfen In den Berichten zur Kontoaktivität erhalten Sie Aufschluss über den Konto- und Admin-Status sowie Details zur Einrichtung der Bestätigung in zwei Schritten. |
|
|
E-Mail-Benachrichtigungen für Administratoren einrichten Mit diesen Benachrichtigungen können Sie sich über potenziell gefährliche Ereignisse informieren lassen, z. B. verdächtige Anmeldeversuche, manipulierte Mobilgeräte oder durch einen anderen Administrator geänderte Einstellungen. Administrator-E-Mail-Benachrichtigungen und systemdefinierte Regeln |
|
|
Identitätsbestätigungen einrichten Richten Sie Identitätsbestätigungen für verdächtige Anmeldeversuche ein. Nutzer müssen dann einen Bestätigungscode eingeben, der an ihre Telefonnummer oder E-Mail-Adresse zur Kontowiederherstellung gesendet wurde, oder sie müssen eine Frage beantworten, die nur der Kontoinhaber beantworten kann. Identitätsbestätigung mit zusätzlichen Sicherheitsmaßnahmen | Mitarbeiter-ID als zusätzliche Identitätsbestätigung einrichten |
|
|
Gehackte Konten erkennen und sichern Wenn Sie vermuten, dass ein Konto gehackt wurde, sollten Sie es sperren und auf schädliche Aktivitäten untersuchen sowie gegebenenfalls Maßnahmen ergreifen.
|
|
|
Download von Google-Daten bei Bedarf deaktivieren Wenn ein Konto gehackt wird oder der Nutzer das Unternehmen verlässt, verhindern Sie, dass dieser Nutzer alle seine Google-Daten mit Google Datenexport herunterlädt. |
 |
Unbefugten Zugriff nach dem Ausscheiden eines Mitarbeiters verhindern Um Datenlecks zu vermeiden, sperren Sie den Zugriff eines Nutzers auf die Daten Ihrer Organisation, wenn er das Unternehmen verlässt. |
|
|
Zugriff von Drittanbieter-Apps auf Hauptdienste prüfen Sie sollten wissen, welche Drittanbieter-Apps Zugriff auf die Hauptdienste von Google Workspace wie Gmail und Drive haben, und diesen Zugriff verwalten. Zugriff externer und interner Apps auf Google Workspace-Daten verwalten |
|
Zugriff auf weniger sichere Apps sperren Durch Apps ohne aktuelle Sicherheitsstandards wie OAuth steigt das Risiko, dass Konten und Geräte gehackt werden. |
|
|
Liste vertrauenswürdiger Apps erstellen Erstellen Sie eine Zulassungsliste mit den Drittanbieter-Apps, die auf die Hauptdienste von Google Workspace zugreifen dürfen. Zugriff externer und interner Apps auf Google Workspace-Daten verwalten |
|
Zugriff auf Google-Hauptdienste verwalten Sie können den Zugriff auf Google-Apps wie Gmail, Google Drive und Google Kalender basierend auf der IP-Adresse, dem Standort, den Sicherheitsrichtlinien oder dem Betriebssystem eines Geräts zulassen oder sperren. So können Sie z. B. Drive für Desktop nur auf unternehmenseigenen Geräten in bestimmten Ländern/Regionen zulassen. |
|
App-Daten der Nutzer eine weitere Verschlüsselungsebene hinzufügen Wenn Ihre Organisation mit sensiblem geistigem Eigentum arbeitet oder in einer stark regulierten Branche tätig ist, können Sie die clientseitige Verschlüsselung in Gmail, Google Drive, Google Meet und Google Kalender hinzufügen. |
|
|
Externe Kalenderfreigabe einschränken Die externe Freigabe von Kalenderdaten sollte nur auf den Verfügbarkeitsstatus beschränkt werden. So verringern Sie das Risiko von Datenlecks. Sichtbarkeit und Freigabeoptionen für Google Kalender festlegen |
|
Nutzer warnen, wenn sie externe Gäste einladen Standardmäßig warnt Google Kalender Nutzer, wenn sie externe Gäste einladen. So verringern Sie das Risiko von Datenlecks. Diese Warnung sollte für alle Nutzer aktiviert sein. Einladen von externen Gästen für Google Kalender-Termine zulassen |
|
Beschränken, wer extern chatten kann Erlauben Sie nur den Nutzern, für die es zwingend erforderlich ist, Nachrichten an Nutzer außerhalb Ihrer Organisation zu senden oder Chatrooms mit solchen Nutzern zu erstellen. Dadurch können externe Teilnehmer vorherige interne Diskussionen nicht sehen und das Risiko von Datenlecks wird verringert. |
|
|
Nutzer bei Chats mit externen Personen warnen (nur klassisches Hangouts) Sie können für Nutzer eine Warnung einblenden lassen, wenn sie mit Personen außerhalb ihrer Domain chatten. Wenn Sie diese Option aktivieren, werden Gruppenchats aufgeteilt, sobald eine externe Person der Unterhaltung hinzugefügt wird. Dadurch können externe Teilnehmer vorherige interne Diskussionen nicht sehen und das Risiko von Datenlecks wird verringert. In Google Chat werden externe Nutzer und Chatrooms immer als „Extern“ gekennzeichnet. |
|
|
Richtlinien für Chateinladungen festlegen Legen Sie fest, welche Nutzer Chateinladungen basierend auf der Richtlinie Ihrer Organisation zur Zusammenarbeit automatisch annehmen können. |
|
|
Chrome-Browser und Chrome OS aktualisieren Damit Ihre Nutzer über die neuesten Sicherheitspatches verfügen, lassen Sie Updates zu. Für Chrome-Browser sollten Sie immer Updates zulassen. Wenn eine neue Version von Chrome OS verfügbar ist, werden Chrome-Geräte standardmäßig automatisch aktualisiert. Die automatischen Updates müssen für alle Nutzer Ihrer Chrome OS-Geräte aktiviert sein. Chrome-Richtlinien für Nutzer oder Browser festlegen | Updates auf Chrome OS-Geräten verwalten |
|
Neustart erzwingen, damit Updates angewendet werden Stellen Sie den Chrome-Browser und Chrome OS-Geräte so ein, dass Nutzer aufgefordert werden, ihren Browser oder ihre Geräte neu zu starten, damit das Update angewendet wird, und dass ein Neustart nach einer festgelegten Zeit erzwungen wird, wenn der Nutzer keine Maßnahmen ergreift. Nutzer zum Neustart auffordern, damit ausstehende Updates angewendet werden |
|
|
Grundlegende Richtlinien für Chrome OS-Geräte und Chrome-Browser festlegen Legen Sie in Ihrer Admin-Konsole die folgenden Richtlinien fest:
|
|
|
Erweiterte Richtlinien für den Chrome-Browser festlegen Legen Sie die folgenden erweiterten Richtlinien fest, um unbefugten Zugriff, gefährliche Downloads und Datenlecks zwischen Websites zu verhindern:
Chrome-Richtlinien auf Geräteebene für verwaltete PCs festlegen | Konfigurationshandbuch für die Sicherheitseinstellungen von Google Chrome für Unternehmen (Windows) |
|
|
Richtlinie für den Windows-Desktop-Browser festlegen Wenn in Ihrer Organisation generell Chrome verwendet werden soll, die Nutzer jedoch für ältere Websites und Apps weiterhin den Internet Explorer benötigen, können sie mit der Chrome-Erweiterung „Unterstützung älterer Browser“ automatisch zwischen beiden wechseln. Integrierte Unterstützung älterer Browser unter Windows einrichten |
Mit der Google-Endpunktverwaltung können Sie Nutzerkonten und ihre Arbeitsdaten auf Mobilgeräten, Tablets, Laptops und Computern schützen.
Eine vollständige Liste der Empfehlungen finden Sie in der Sicherheitscheckliste für die Geräteverwaltung.
Freigabe und Zusammenarbeit außerhalb Ihrer Domain einschränken
|
|
Optionen für die Dateifreigabe außerhalb Ihrer Organisation festlegen oder Regeln erstellen Beschränken Sie die Dateifreigabe auf Ihre Domains. Deaktivieren Sie dazu die Freigabeoptionen oder erstellen Sie Vertrauensregeln, mit denen Sie die Freigabe genauer steuern können. Dies verringert das Risiko von Datenlecks und Daten-Exfiltration. Sollte die Freigabe außerhalb Ihrer Organisation aus geschäftlichen Gründen erforderlich sein, können Sie festlegen, wie die Freigabe für Organisationseinheiten funktioniert. Alternativ können Sie auch Domains auf Ihre Zulassungsliste setzen. Freigabe außerhalb zulässiger Domains einschränken | Freigabe außerhalb Ihrer Organisation einschränken | Externe Freigabe mit Vertrauensregeln einschränken |
|
Nutzer warnen, wenn sie eine Datei außerhalb Ihrer Domain freigeben Falls Sie die Dateifreigabe außerhalb der Domain ermöglichen, sollten Sie für Nutzer eine Warnung anzeigen lassen, bevor sie eine Datei freigeben. So können sie bestätigen, dass diese Aktion tatsächlich ausgeführt werden soll. Das Risiko von Datenlecks wird dadurch verringert. |
|
Verhindern, dass Nutzer Inhalte im Web veröffentlichen können Wenn Sie die Veröffentlichung von Dateien im Web deaktivieren, verringern Sie das Risiko von Datenlecks. |
|
|
Allgemeine Zugriffsoptionen für die Dateifreigabe festlegen Legen Sie Eingeschränkt als Option für den Standardzugriff fest. Nur der Eigentümer der Datei sollte Zugriff darauf haben. Optional können Sie benutzerdefinierte Freigabegruppen (Zielgruppen) für Nutzer in verschiedenen Abteilungen erstellen. |
|
|
Dateizugriff auf Empfänger beschränken Gibt ein Nutzer eine Datei über ein anderes Google-Produkt als Google Docs oder Google Drive frei, indem er z. B. einen Link in eine Gmail-Nachricht einfügt, kann mit der Zugriffsprüfung sichergestellt werden, dass die Empfänger auf die Datei zugreifen können. Wählen Sie für die Zugriffsprüfung die Einstellung Nur Empfänger aus. So können Sie den Zugriff auf freigegebene Links steuern und verringern das Risiko von Datenlecks. |
|
Risiko, dass externe Nutzer die Gruppenmitgliedschaften Ihrer Organisation erkennen können, verhindern oder begrenzen Wenn Sie die Gruppenmitgliedschaften Ihrer Organisation nicht mit Nutzern in einer anderen Organisation, die Google Workspace verwendet, teilen möchten, sollten Sie externen Organisationen nicht erlauben, Dateien für Ihre Nutzer freizugeben. Sie können diese Art von Risiko auch begrenzen, indem Sie die externe Freigabe nur für Domains auf der Zulassungsliste erlauben. Wenn Sie Google Drive-Freigabeeinstellungen verwenden: Führen Sie für jede Organisationseinheit, die Sie vor diesem Risiko schützen möchten, einen der folgenden Schritte aus:
Weitere Informationen finden Sie im Hilfeartikel Externe Freigabe für Ihre Organisation verwalten. Wenn Sie Vertrauensregeln für die Freigabe in Google Drive verwenden: Um dieses Risiko zu begrenzen, erstellen Sie zuerst eine Vertrauensregel mit den folgenden Einstellungen:
Informationen dazu finden Sie im Hilfeartikel „Vertrauensregeln für die Freigabe in Drive erstellen und verwalten“ unter Vertrauensregel erstellen. Deaktivieren Sie als Nächstes die Standardregel [Standardeinstellung] Nutzer in meiner Organisation dürfen Elemente freigeben (mit Warnmeldung) und von beliebigen anderen Personen freigegebene Elemente aufrufen. Informationen dazu finden Sie im Hilfeartikel „Vertrauensregeln für die Freigabe in Drive erstellen und verwalten“ unter Details zu Vertrauensregeln ansehen oder bearbeiten. |
|
|
Google-Anmeldung für externe Mitbearbeiter erzwingen Legen Sie fest, dass sich externe Mitbearbeiter mit einem Google-Konto anmelden müssen. Wenn sie kein Google-Konto haben, können sie kostenlos eines erstellen. So verringern Sie das Risiko von Datenlecks. Einladungen für Drittanbieterkonten außerhalb Ihrer Domain deaktivieren |
|
|
Beschränken, wer Inhalte aus geteilten Ablagen verschieben darf Nur Nutzer in Ihrer Organisation sollten berechtigt sein, Dateien aus geteilten Ablagen an einen Drive-Speicherort einer anderen Organisation zu verschieben. |
|
|
Freigabeberechtigungen für Inhalte in neuen geteilten Ablagen verwalten Einschränken, wer geteilte Ablagen erstellen, auf Inhalte zugreifen und die Einstellungen für neue geteilte Ablagen ändern kann. |
Lokale Kopien von Drive-Daten einschränken
|
|
Zugriff auf Offlinedokumente deaktivieren Um das Risiko von Datenlecks zu verringern, sollten Sie den Zugriff auf Offlinedokumente deaktivieren. Offline zugängliche Dokumente werden lokal als Kopie gespeichert. Wenn Sie den Offlinezugriff aus geschäftlichen Gründen benötigen, aktivieren Sie diese Funktion nur für die betroffenen Organisationseinheiten, um das Risiko weitestgehend zu minimieren. |
|
|
Desktopzugriff auf Drive deaktivieren Nutzer können mit Google Drive für den Desktop Desktopzugriff auf Google Drive erhalten. Um das Risiko von Datenlecks zu verringern, sollten Sie den Desktopzugriff auf Google Drive jedoch deaktivieren. Wenn Sie den Desktopzugriff aktivieren, achten Sie darauf, ihn nur für Nutzer zu aktivieren, die den Zugriff wirklich benötigen. |
Datenzugriff durch Drittanbieter-Apps verwalten
|
|
Add-ons für Google Docs nicht zulassen Sie sollten Nutzern nicht erlauben, Add-ons für Google Docs aus dem Store zu installieren. Dadurch verringern Sie das Risiko von Datenlecks. Falls dies aus geschäftlichen Gründen erforderlich ist, können Sie Add-ons für Google Docs bereitstellen, die den Richtlinien Ihrer Organisation entsprechen. |
Sensible Daten schützen
|
Beim Teilen von Dateien mit sensiblen Daten blockieren oder warnen Um das Risiko von Datenlecks zu verringern, sollten Sie Regeln zum Schutz vor Datenverlust einrichten. Damit können Sie Dateien auf sensible Daten prüfen und Maßnahmen ergreifen, wenn Nutzer solche Daten extern freigeben. Sie können beispielsweise die externe Freigabe von Dokumenten mit Reisepassnummern blockieren und eine E-Mail-Benachrichtigung erhalten. DLP für Google Drive verwenden, um Datenverluste zu verhindern |
Authentifizierung und Infrastruktur einrichten
|
|
E-Mails mit SPF, DKIM und DMARC authentifizieren Mit SPF, DKIM und DMARC können Sie E-Mails validieren. Dazu werden Nachrichten über die DNS-Einstellungen authentifiziert und digital signiert. Außerdem wird Ihre Domain vor Spoofing geschützt. Angreifer fälschen manchmal die Absenderadresse, sodass E-Mails scheinbar von einem Nutzer Ihrer Domain stammen. Um dies zu verhindern, können Sie SPF und DKIM für alle ausgehenden E-Mail-Streams einrichten. Anschließend können Sie einen DMARC-Eintrag einrichten, um festzulegen, wie Google und andere Empfänger nicht authentifizierte E-Mails behandeln sollen, die angeblich aus Ihrer Domain stammen. Mit der Gmail-Authentifizierung Spam, Spoofing und Phishing verhindern |
|
|
Gateways für eingehende E-Mails für SPF konfigurieren Mit SPF können Sie verhindern, dass Ihre ausgehenden Nachrichten in den Spamordner verschoben werden. Ein Gateway kann sich aber auf die Funktionsweise von SPF auswirken. Wenn Sie eingehende E-Mails über ein Gateway weiterleiten, sollte es richtig für das Sender Policy Framework (SPF) konfiguriert sein. |
|
|
TLS für Partnerdomains erzwingen Richten Sie die TLS-Einstellung so ein, dass für Partnerdomains eine sichere E-Mail-Verbindung erforderlich ist – sowohl für eingehende als auch für ausgehende E-Mails. |
|
|
Authentifizierung für alle zugelassenen Absender erzwingen Wenn Sie eine Adressenliste der zugelassenen Absender erstellen, für die die Spamklassifizierung umgangen werden kann, sollten Sie eine Authentifizierung erzwingen. Ohne die Absenderauthentifizierung kann in Gmail nicht festgestellt werden, ob die Nachricht wirklich von der Person gesendet wurde, von der sie angeblich stammt. Mit einer Authentifizierung verringern Sie das Risiko von Spoofing und Phishing/Whaling. Weitere Informationen zur Absenderauthentifizierung |
|
|
MX-Einträge konfigurieren, damit E-Mails richtig zugestellt werden Sie sollten die MX-Einträge so konfigurieren, dass der mit der höchsten Priorität auf die Mailserver von Google verweist, damit E-Mails richtig an die Nutzer in Ihrer Google Workspace-Domain zugestellt werden. Dadurch wird das Risiko von Datenlöschungen (durch verloren gegangene E-Mails) und einer Bedrohung durch Malware verringert. MX-Einträge für den E-Mail-Dienst von Google Workspace einrichten | Werte für die MX-Einträge von Google Workspace |
Nutzer und Organisationen schützen
|
|
POP/IMAP-Zugriff deaktivieren Mit IMAP- und POP-Desktop-Clients können Nutzer über Drittanbieterprodukte auf Gmail zugreifen. Sie sollten diese Option für Nutzer deaktivieren, die sie nicht unbedingt benötigen. So verringern Sie das Risiko von Datenlecks, Datenlöschungen und Daten-Exfiltration. Dies kann auch das Angriffsrisiko verringern, da IMAP-Clients möglicherweise nicht so gut geschützt sind wie Erstanbieter-Clients. |
|
|
Automatische Weiterleitung deaktivieren Verhindern Sie, dass Nutzer eingehende E-Mails automatisch an eine andere Adresse weiterleiten lassen. So verringern Sie das Risiko einer Daten-Exfiltration, die häufig von Angreifern genutzt wird. |
|
|
Umfassenden E-Mail-Speicher aktivieren Mit dieser Einstellung wird eine Kopie aller gesendeten und empfangenen Nachrichten in Ihrer Domain im Postfach der jeweiligen Nutzer gespeichert. Das gilt auch für Nachrichten, die über Postfächer anderer Anbieter als Gmail gesendet oder empfangen werden. Aktivieren Sie diese Einstellung, um das Risiko von Datenlöschungen zu verringern. Wenn Sie Google Vault verwenden, müssen E-Mails aufbewahrt oder auf „Hold“ gesetzt werden. Umfassenden E-Mail-Speicher einrichten | Umfassender E-Mail-Speicher und Google Vault |
|
|
Spamfilter für interne Absender nicht umgehen Deaktivieren Sie Spamfilter für interne Absender umgehen, da alle externen Adressen, die zu Gruppen hinzugefügt wurden, als interne Adressen behandelt werden. Durch das Deaktivieren dieser Einstellung wird dafür gesorgt, dass alle E-Mails von Nutzern nach Spam gefiltert werden – auch die von internen Absendern. So verringern Sie das Risiko von Spoofing und Phishing/Whaling. |
|
|
Allen Standardrouting-Regeln eine Einstellung für Spam-Header hinzufügen Mit Spam-Headern können Sie die Filterkapazität nachgelagerter E-Mail-Server maximieren und das Risiko von Spoofing und Phishing/Whaling verringern. Aktivieren Sie beim Einrichten von Standardrouting-Regeln das Kästchen Header X-Gm-Spam- und X-Gm-Phishy hinzufügen, damit diese Header in Gmail hinzugefügt werden, um den Spam- und Phishing-Status der Nachricht anzugeben. Administratoren von nachgelagerten Servern können diese Informationen dann beispielsweise nutzen, um gezielt Regeln zum Umgang mit Spam und Phishing festzulegen. |
|
|
Nachrichtenprüfung vor der Zustellung aktivieren Mit dieser Einstellung haben Sie in Gmail Zugriff auf zusätzliche Prüfungen für Nachrichten, die als Spam oder Phishing eingestuft wurden. Erweiterte Prüfung von Nachrichten vor der Zustellung verwenden |
|
|
Warnung bei externen Empfängern aktivieren Gmail erkennt, ob ein Nutzer regelmäßig mit einem externen E-Mail-Empfänger interagiert und ob dieser zu den Kontakten eines Nutzers gehört. Ist diese Einstellung konfiguriert, erhält der Nutzer eine Warnmeldung und hat die Möglichkeit, sie auszublenden. |
|
|
Zusätzlichen Schutz vor Anhängen aktivieren Google prüft alle eingehenden Nachrichten auf Malware, auch wenn keine zusätzlichen Sicherheitseinstellungen für schädliche Links und Inhalte aktiviert sind. Falls Sie diesen aktivieren, werden jedoch auch E-Mails abgefangen, die zuvor nicht als schädlich eingestuft worden wären. |
|
|
Erweiterte Sicherheitseinstellungen für Links und externe Inhalte aktivieren |
|
|
Zusätzlichen Schutz vor Spoofing aktivieren Google prüft alle eingehenden Nachrichten auf Spoofing, auch wenn keine zusätzlichen Sicherheitseinstellungen für Spoofing aktiviert sind. Wenn Sie den zusätzlichen Spoofing- und Authentifizierungsschutz aktivieren, kann beispielsweise das Risiko von Spoofing durch ähnliche Domain- oder Mitarbeiternamen verringert werden. |
Sicherheitsaspekte bei täglichen Gmail-Aufgaben
|
|
Vorsicht beim Überschreiben von Spamfiltern Beim Überschreiben der standardmäßigen Spamfilter von Gmail durch eigene Einstellungen sollten Sie vorsichtig vorgehen, um einen Anstieg an Spamnachrichten zu vermeiden.
Hinweise zu erweiterten Gmail-Einstellungen für Administratoren |
|
|
Keine Domains in die Liste der zugelassenen Absender aufnehmen Wenn Sie zugelassene Absender eingerichtet und das Kästchen Spamfilter für Nachrichten umgehen, die von Adressen oder Domains aus diesen Listen zugelassener Absender stammen angeklickt haben, entfernen Sie alle Domains von der Liste der zugelassenen Absender. So verringern Sie das Risiko von Spoofing und Phishing/Whaling. |
|
|
Ihrer Zulassungsliste keine IP-Adressen hinzufügen E-Mails, die von IP-Adressen auf der Zulassungsliste gesendet werden, werden in der Regel nicht als Spam markiert. Fügen Sie die IP-Adressen von Mailservern, die E-Mails an Gmail weiterleiten (Ihre Server und die Ihrer Partner), einem Gateway für eingehende E-Mails hinzu, setzen Sie sie jedoch nicht auf eine IP-Zulassungsliste. So nutzen Sie den Gmail-Spamfilter optimal und erhalten die besten Ergebnisse bei der Spamklassifizierung. IP-Adressen in Gmail auf die Zulassungsliste setzen | Gateway für eingehende E-Mails einrichten |
Sensible Daten schützen
|
E-Mails mit sensiblen Daten scannen und blockieren Um das Risiko von Datenlecks zu verringern, scannen Sie ausgehende E-Mails mit vordefinierten Detektoren zum Schutz vor Datenverlust. So können Sie Maßnahmen ergreifen, wenn Nutzer Nachrichten mit sensiblen Inhalten empfangen oder senden. Sie können beispielsweise verhindern, dass Nutzer Nachrichten senden, die Kreditkartennummern enthalten, und eine E-Mail-Benachrichtigung erhalten. E-Mail-Verkehr mit der Funktion „Schutz vor Datenverlust“ überprüfen |
|
Für Sicherheit konzipierte Gruppen verwenden Stellen Sie sicher, dass nur ausgewählte Nutzer auf sensible Apps und Ressourcen zugreifen können. Dazu verwalten Sie sie mit Sicherheitsgruppen. So verringern Sie das Risiko von Datenlecks. |
|
Sicherheitsbedingungen zu Administratorrollen hinzufügen Erlauben Sie nur bestimmten Administratoren, Sicherheitsgruppen zu verwalten. Die übrigen Administratoren sollten nur herkömmliche Gruppen verwalten können. So verringern Sie das Risiko von Datenlecks und Bedrohungen durch böswillige Insider. |
|
|
Privaten Zugriff auf Ihre Gruppen einrichten Sie sollten die Einstellung „Privat“ auswählen, damit nur Mitglieder Ihrer Domain Zugriff haben. (Gruppenmitglieder können weiterhin E-Mails von außerhalb der Domain empfangen.) So verringern Sie das Risiko von Datenlecks. |
|
|
Gruppenerstellung auf Administratoren beschränken Erteilen Sie nur Administratoren die Berechtigung, Gruppen zu erstellen. So verringern Sie das Risiko von Datenlecks. |
|
|
Einstellungen für den Gruppenzugriff anpassen Empfehlungen:
|
|
|
Bestimmte Zugriffseinstellungen für interne Gruppen deaktivieren Mit den folgenden Einstellungen kann jeder Internetnutzer einer Gruppe beitreten, Nachrichten senden und Unterhaltungsarchive aufrufen. Diese Einstellungen sollten Sie für interne Gruppen deaktivieren:
|
|
|
Spammoderation für Ihre Gruppe aktivieren Sie können festlegen, ob Moderatoren benachrichtigt werden, wenn Nachrichten an die Moderationswarteschlange gesendet werden. Außerdem haben Sie die Möglichkeit, Spam direkt abzulehnen, und können zulassen, dass Nachrichten ohne Moderation gepostet werden dürfen. |
|
|
Freigabe von Websites außerhalb der Domain blockieren Freigabeoptionen für Google Sites festlegen | Freigabeoptionen festlegen: klassisches Google Sites |
|
|
Konten mit Vault-Berechtigungen vertraulich behandeln Schützen Sie Konten, die Vault-Administratorrollen zugewiesen sind, auf die gleiche Weise wie Super Admin-Konten. |
|
|
Vault-Aktivitäten regelmäßig prüfen Nutzer mit Vault-Berechtigungen können die Daten anderer Nutzer suchen und exportieren sowie Aufbewahrungsregeln ändern, was zum Löschen von Daten führen kann, die Sie behalten müssen. Überprüfen Sie regelmäßig die Vault-Aktivitäten, um nicht genehmigte Datenzugriffe und Aufbewahrungsregeln zu verhindern. |
Nächste Schritte – Überprüfung, Untersuchung und Maßnahmen ergreifen
|
|
Sicherheitseinstellungen überprüfen und Aktivitäten untersuchen Im Sicherheitscenter können Sie den Sicherheitsstatus regelmäßig überprüfen, Vorfälle untersuchen und auf Grundlage dieser Informationen Maßnahmen ergreifen. |
|
|
Audit-Log für Administratoren ansehen Mit dem Audit-Log für Administratoren können Sie sich einen Überblick über alle Aktionen in Ihrer Admin-Konsole verschaffen. Sie erfahren darin, welcher Administrator die Aufgabe durchgeführt hat, und sehen das Datum und die IP-Adresse, über die sich der Administrator angemeldet hat. |
