Mit den folgenden Best Practices können Sie die Sicherheit Ihrer Administratorkonten und damit auch des gesamten Unternehmens erhöhen.
Weitere Informationen finden Sie unter Sicherheitschecklisten.
Best Practices für die Sicherheit von Administratorkonten
Bestätigung in zwei Schritten für Administratorkonten erzwingen Falls das Administratorpasswort in falsche Hände gerät, ist das Konto dank der Bestätigung in zwei Schritten besser vor unbefugtem Zugriff geschützt. Das ist besonders für Super Admins wichtig, da ihre Konten Zugriff auf alle Unternehmens- und Mitarbeiterdaten bieten. Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen |
|
Sicherheitsschlüssel für die Bestätigung in zwei Schritten verwenden Es gibt mehrere Methoden für die Bestätigung in zwei Schritten, darunter Sicherheitsschlüssel, Aufforderung von Google, Google Authenticator und Back-up-Codes. Sicherheitsschlüssel sind kleine Geräte, die für die Bestätigung in zwei Schritten eingesetzt werden. Sie haben sich für den Schutz vor Phishingangriffen bewährt und sind die sicherste Form der Bestätigung in zwei Schritten. Ihr Unternehmen mit Sicherheitsschlüsseln für eine Bestätigung in zwei Schritten schützen |
|
Administratorkonten nicht für andere Nutzer freigeben Weisen Sie jedem Administrator ein eigenes Konto mit eigener Kennung zu. Wenn mehrere Personen sich über dasselbe Konto, z. B. admin@beispiel.de, in der Admin-Konsole anmelden, lässt sich nicht ermitteln, welcher Administrator für welche Aktivitäten im Audit-Log verantwortlich ist. |
|
Schutz vor gezielten Angriffen Sie können viele der Empfehlungen in diesem Artikel gleichzeitig anwenden. Melden Sie dazu Super Admin-Konten und andere vertrauliche Konten für das erweiterte Sicherheitsprogramm an. |
Super Admin-Konten verwalten
Mehrere Super Admin-Konten einrichten Ihre Organisation sollte mehrere Super Admin-Konten haben, die jeweils von unterschiedlichen Personen verwaltet und nicht gemeinsam genutzt werden. Falls ein Konto gehackt wird oder der Zugriff darauf verloren geht, kann ein anderer Super Admin wichtige Aufgaben übernehmen, während das Konto wiederhergestellt wird. |
|
Konto eines Super Admins nicht für alltägliche Aufgaben verwenden Weisen Sie jedem Super Admin zwei Konten zu: ein eigenes Super Admin-Konto und ein Konto für das Tagesgeschäft. Nutzer sollten sich nur dann in ihrem Super Admin-Konto anmelden, wenn sie Super Admin-Aufgaben ausführen müssen. Dazu gehören die Einrichtung der Bestätigung in zwei Schritten, die Verwaltung von Abrechnungs- und Nutzerlizenzen oder die Wiederherstellung eines anderen Administratorkontos. Super Admins sollten für alltägliche Aufgaben ein separates Nicht-Administratorkonto verwenden. Beispiel: Maria und Jan sind Super Admins und sollten jeweils ein eigenes Administratorkonto und ein Nutzerkonto haben:
|
|
Wichtige Mitteilungen für Administratoren nicht verpassen Wenn Sie sich nicht häufig mit Ihrem primären Administratorkonto anmelden, entgehen Ihnen möglicherweise wichtige Servicemitteilungen von Google. Richten Sie einen sekundären E-Mail-Kontakt ein, über den diese Mitteilungen an ein Konto gesendet werden, das Sie regelmäßig nutzen, damit Sie diese Mitteilungen auch tatsächlich erhalten. Abrechnungs- und Kontobenachrichtigungen an einen anderen Administrator senden lassen |
|
Nicht ständig in einem Super Admin-Konto angemeldet bleiben Wenn Sie in einem Super Admin-Konto angemeldet bleiben, obwohl Sie keine Verwaltungsaufgaben erledigen, erhöhen Sie damit möglicherweise das Risiko von Phishing-Angriffen. Super Admins sollten sich nur bei Bedarf für bestimmte Aufgaben anmelden und so bald wie möglich wieder abmelden. |
|
Für tägliche Administratoraufgaben andere Konten als Super Admin-Konten verwenden Verwenden Sie das Super Admin-Konto nur, wenn es erforderlich ist. Administratoraufgaben an Nutzerkonten mit eingeschränkten Administratorrollen delegieren Wenden Sie das Prinzip der geringsten Berechtigungen an, bei dem jeder Nutzer nur Zugriff auf die Ressourcen und Tools hat, die er für seine typischen Aufgaben benötigt. Sie können einem Administrator beispielsweise die Berechtigung erteilen, Nutzerkonten zu erstellen und Passwörter zurückzusetzen, aber nicht Nutzerkonten zu löschen. |
Aktivitäten in den Administratorkonten im Blick behalten
E-Mail-Benachrichtigungen für Administratoren einrichten Sie können die Aktivitäten der Administratoren im Auge behalten und mögliche Sicherheitsrisiken erfassen. Richten Sie dazu E-Mail-Benachrichtigungen für Administratoren bei bestimmten Ereignissen ein, beispielsweise im Falle verdächtiger Anmeldeversuche, gehackter Mobilgeräte oder wenn ein anderer Administrator Einstellungen ändert. Sie erhalten dann bei solchen Aktivitäten eine Benachrichtigung per E-Mail. Administrator-E-Mail-Benachrichtigungen und systemdefinierte Regeln |
|
Audit-Log für Administratoren prüfen Im Audit-Log für Administratoren können Sie den Verlauf aller Aktivitäten in der Admin-Konsole aufrufen, also welcher Administrator welche Aufgabe wann und von welcher IP-Adresse ausgeführt hat. Die Aktivität des Super Admin wird in der Spalte Ereignisbeschreibung als _SEED_ADMIN_ROLE angezeigt, gefolgt vom Nutzernamen. |
Wiederherstellung von Administratorkonten vorbereiten
Wiederherstellungsoptionen zu Administratorkonten hinzufügen Als Administrator sollten Sie Wiederherstellungsoptionen zu Ihrem Administratorkonto hinzufügen. Wenn ein Administrator sein Passwort vergisst, kann er auf der Anmeldeseite auf die Schaltfläche Benötigen Sie Hilfe? klicken. Google sendet ihm dann ein neues Passwort per Telefon, SMS oder E-Mail zu. Hierzu werden eine Telefonnummer und eine E-Mail-Adresse zur Kontowiederherstellung benötigt. Meinem Administratorkonto Wiederherstellungsoptionen hinzufügen |
|
Informationen zum Zurücksetzen des Passworts bereithalten Wenn ein Super Admin sein Passwort nicht per E-Mail oder Telefon zurücksetzen kann und kein anderer Super Admin verfügbar ist, hat er die Möglichkeit, den Wiederherstellungsassistenten zu verwenden. Er muss dann einige Fragen zum Konto der Organisation beantworten, um die Identität zu bestätigen:
Der Administrator wird außerdem aufgefordert, die DNS-Domaininhaberschaft zu bestätigen. Dafür benötigt er die Anmeldedaten, um die DNS-Einstellungen beim Registrator bearbeiten zu können. Administratorpasswort zurücksetzen, wenn E-Mail- und Telefonoptionen nicht verfügbar sind |
|
Zusätzlichen Sicherheitsschlüssel registrieren Administratoren sollten ihrem Administratorkonto mehrere Sicherheitsschlüssel hinzufügen und sie an einem sicheren Ort aufbewahren. So bleibt der Kontozugriff erhalten, falls der Hauptschlüssel verloren geht oder gestohlen wird. |
|
Back-up-Codes vorab speichern Wenn ein Administrator den Sicherheitsschlüssel oder das Smartphone verliert, auf dem er ansonsten einen Code zur Bestätigung in zwei Schritten oder eine Aufforderung von Google erhalten würde, kann er sich mit einem Ersatzcode anmelden. Administratoren sollten sicherheitshalber Back-up-Codes erstellen und ausdrucken und an einem sicheren Ort aufbewahren. |