Best Practices für die Sicherheit von Administratorkonten

Mit den folgenden Best Practices können Sie die Sicherheit Ihrer Administratorkonten und damit auch des gesamten Unternehmens erhöhen.

Weitere Informationen finden Sie unter Sicherheitschecklisten.

Best Practices für die Sicherheit von Administratorkonten

Bestätigung in zwei Schritten für Administratorkonten erzwingen

Falls das Administratorpasswort in falsche Hände gerät, ist das Konto dank der Bestätigung in zwei Schritten besser vor unbefugtem Zugriff geschützt. Das ist besonders für Super Admins wichtig, da ihre Konten Zugriff auf alle Unternehmens- und Mitarbeiterdaten bieten.

Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen

Sicherheitsschlüssel für die Bestätigung in zwei Schritten verwenden

Es gibt mehrere Methoden für die Bestätigung in zwei Schritten, darunter Sicherheitsschlüssel, Aufforderung von Google, Google Authenticator und Back-up-Codes. Sicherheitsschlüssel sind kleine Geräte, die für die Bestätigung in zwei Schritten eingesetzt werden. Sie haben sich für den Schutz vor Phishingangriffen bewährt und sind die sicherste Form der Bestätigung in zwei Schritten.

Ihr Unternehmen mit Sicherheitsschlüsseln für eine Bestätigung in zwei Schritten schützen

Administratorkonten nicht für andere Nutzer freigeben

Weisen Sie jedem Administrator ein eigenes Konto mit eigener Kennung zu. Wenn mehrere Personen sich über dasselbe Konto, z. B. admin@beispiel.de, in der Admin-Konsole anmelden, lässt sich nicht ermitteln, welcher Administrator für welche Aktivitäten im Audit-Log verantwortlich ist.

Schutz vor gezielten Angriffen

Sie können viele der Empfehlungen in diesem Artikel gleichzeitig anwenden. Melden Sie dazu Super Admin-Konten und andere vertrauliche Konten für das erweiterte Sicherheitsprogramm an.

Nutzer mit dem erweiterten Sicherheitsprogramm schützen

Super Admin-Konten verwalten

Mehrere Super Admin-Konten einrichten

Ihre Organisation sollte mehrere Super Admin-Konten haben, die jeweils von unterschiedlichen Personen verwaltet und nicht gemeinsam genutzt werden. Falls ein Konto gehackt wird oder der Zugriff darauf verloren geht, kann ein anderer Super Admin wichtige Aufgaben übernehmen, während das Konto wiederhergestellt wird.

Konto eines Super Admins nicht für alltägliche Aufgaben verwenden

Weisen Sie jedem Super Admin zwei Konten zu: ein eigenes Super Admin-Konto und ein Konto für das Tagesgeschäft. Nutzer sollten sich nur dann in ihrem Super Admin-Konto anmelden, wenn sie Super Admin-Aufgaben ausführen müssen. Dazu gehören die Einrichtung der Bestätigung in zwei Schritten, die Verwaltung von Abrechnungs- und Nutzerlizenzen oder die Wiederherstellung eines anderen Administratorkontos.

Super Admins sollten für alltägliche Aufgaben ein separates Nicht-Administratorkonto verwenden.

Beispiel: Maria und Jan sind Super Admins und sollten jeweils ein eigenes Administratorkonto und ein Nutzerkonto haben:

  • admin-maria@beispiel.de, maria@beispiel.de
  • admin-jan@beispiel.de, jan@beispiel.de

Wichtige Mitteilungen für Administratoren nicht verpassen

Wenn Sie sich nicht häufig mit Ihrem primären Administratorkonto anmelden, entgehen Ihnen möglicherweise wichtige Servicemitteilungen von Google. Richten Sie einen sekundären E-Mail-Kontakt ein, über den diese Mitteilungen an ein Konto gesendet werden, das Sie regelmäßig nutzen, damit Sie diese Mitteilungen auch tatsächlich erhalten.

Abrechnungs- und Kontobenachrichtigungen an einen anderen Administrator senden lassen

Nicht ständig in einem Super Admin-Konto angemeldet bleiben

Wenn Sie in einem Super Admin-Konto angemeldet bleiben, obwohl Sie keine Verwaltungsaufgaben erledigen, erhöhen Sie damit möglicherweise das Risiko von Phishing-Angriffen. Super Admins sollten sich nur bei Bedarf für bestimmte Aufgaben anmelden und so bald wie möglich wieder abmelden.

Für tägliche Administratoraufgaben andere Konten als Super Admin-Konten verwenden

Verwenden Sie das Super Admin-Konto nur, wenn es erforderlich ist. Administratoraufgaben an Nutzerkonten mit eingeschränkten Administratorrollen delegieren Wenden Sie das Prinzip der geringsten Berechtigungen an, bei dem jeder Nutzer nur Zugriff auf die Ressourcen und Tools hat, die er für seine typischen Aufgaben benötigt. Sie können einem Administrator beispielsweise die Berechtigung erteilen, Nutzerkonten zu erstellen und Passwörter zurückzusetzen, aber nicht Nutzerkonten zu löschen.

Administratorrollen

Aktivitäten in den Administratorkonten im Blick behalten

E-Mail-Benachrichtigungen für Administratoren einrichten

Sie können die Aktivitäten der Administratoren im Auge behalten und mögliche Sicherheitsrisiken erfassen. Richten Sie dazu E-Mail-Benachrichtigungen für Administratoren bei bestimmten Ereignissen ein, beispielsweise im Falle verdächtiger Anmeldeversuche, gehackter Mobilgeräte oder wenn ein anderer Administrator Einstellungen ändert.

Sie erhalten dann bei solchen Aktivitäten eine Benachrichtigung per E-Mail.

Administrator-E-Mail-Benachrichtigungen und systemdefinierte Regeln

Audit-Log für Administratoren prüfen

Im Audit-Log für Administratoren können Sie den Verlauf aller Aktivitäten in der Admin-Konsole aufrufen, also welcher Administrator welche Aufgabe wann und von welcher IP-Adresse ausgeführt hat.

Die Aktivität des Super Admin wird in der Spalte Ereignisbeschreibung als _SEED_ADMIN_ROLE angezeigt, gefolgt vom Nutzernamen.

Audit-Log für Administratoren

Wiederherstellung von Administratorkonten vorbereiten

Wiederherstellungsoptionen zu Administratorkonten hinzufügen

Als Administrator sollten Sie Wiederherstellungsoptionen zu Ihrem Administratorkonto hinzufügen.

Wenn ein Administrator sein Passwort vergisst, kann er auf der Anmeldeseite auf die Schaltfläche Benötigen Sie Hilfe? klicken. Google sendet ihm dann ein neues Passwort per Telefon, SMS oder E-Mail zu. Hierzu werden eine Telefonnummer und eine E-Mail-Adresse zur Kontowiederherstellung benötigt.

Meinem Administratorkonto Wiederherstellungsoptionen hinzufügen

Informationen zum Zurücksetzen des Passworts bereithalten

Wenn ein Super Admin sein Passwort nicht per E-Mail oder Telefon zurücksetzen kann und kein anderer Super Admin verfügbar ist, hat er die Möglichkeit, den Wiederherstellungsassistenten zu verwenden.

Er muss dann einige Fragen zum Konto der Organisation beantworten, um die Identität zu bestätigen:

  • Datum, an dem das Konto erstellt wurde
  • Ursprüngliche sekundäre E-Mail-Adresse des Kontos, die für die Registrierung verwendet wurde
  • Gegebenenfalls die dem Konto zugeordnete Google-Auftragsnummer
  • Anzahl der erstellten Nutzerkonten
  • Mit dem Konto verknüpfte Rechnungsadresse
  • Kreditkartentyp und die letzten vier Ziffern der verwendeten Kreditkarte

Der Administrator wird außerdem aufgefordert, die DNS-Domaininhaberschaft zu bestätigen. Dafür benötigt er die Anmeldedaten, um die DNS-Einstellungen beim Registrator bearbeiten zu können.

Administratorpasswort zurücksetzen, wenn E-Mail- und Telefonoptionen nicht verfügbar sind

Zusätzlichen Sicherheitsschlüssel registrieren

Administratoren sollten ihrem Administratorkonto mehrere Sicherheitsschlüssel hinzufügen und sie an einem sicheren Ort aufbewahren. So bleibt der Kontozugriff erhalten, falls der Hauptschlüssel verloren geht oder gestohlen wird.

Sicherheitsschlüssel zum Konto hinzufügen

Back-up-Codes vorab speichern

Wenn ein Administrator den Sicherheitsschlüssel oder das Smartphone verliert, auf dem er ansonsten einen Code zur Bestätigung in zwei Schritten oder eine Aufforderung von Google erhalten würde, kann er sich mit einem Ersatzcode anmelden.

Administratoren sollten sicherheitshalber Back-up-Codes erstellen und ausdrucken und an einem sicheren Ort aufbewahren.

Mit Back-up-Codes anmelden

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Hauptmenü
13276717418074319951
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false