Sicherheits-Checkliste für mittlere und große Unternehmen (mehr als 100 Nutzer)

IT-Administratoren in mittleren und großen Unternehmen sollten diese Best Practices befolgen, um die Sicherheit und den Schutz von Unternehmensdaten zu erhöhen. In der Google Admin-Konsole finden Sie verschiedene Einstellungen, mit denen sich die nachstehenden Best Practices implementieren lassen.

Falls es in Ihrem Unternehmen keinen IT-Administrator gibt, prüfen Sie bitte, ob möglicherweise eher die Empfehlungen in der Sicherheits-Checkliste für kleine Unternehmen (1–100 Nutzer) auf Ihr Unternehmen zutreffen.

Hinweis: Nicht alle hier beschriebenen Einstellungen sind in jeder Version der G Suite oder von Cloud Identity verfügbar.

Best Practices für Sicherheit

Zum Schutz Ihres Unternehmens sind in Google-Produkten viele der in dieser Checkliste empfohlenen Einstellungen standardmäßig aktiviert.

Administrator   |   Konten   |   Apps   |   Kalender   |   Chrome-Browser und Chrome OS   |   Klassisches Hangouts   
Google Kontakte   |   Drive   |   Gmail   |   Google+   |   Google Groups   |   Mobilgeräte   |   Google Sites   |   Vault
Administratoren 

Administratorkonten schützen

Bestätigung in zwei Schritten für Administratorkonten erzwingen
Da Super Admins den Zugriff auf alle Unternehmens- und Mitarbeiterdaten in der Organisation verwalten, ist es besonders wichtig, dass ihre Konten durch eine zusätzliche Authentifizierung geschützt werden.

Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen | Bestätigung in zwei Schritten implementieren

Sicherheitsschlüssel verwenden
Sicherheitsschlüssel bieten von allen Methoden zur Bestätigung in zwei Schritten den besten Schutz vor Phishing-Angriffen.

Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen

Super Admin-Konten nicht für alltägliche Aufgaben verwenden
Super Admin-Konten sollten nur für Administratoraufgaben und nicht für das Tagesgeschäft genutzt werden.

Administratorberechtigungen | Best Practices für die Sicherheit von Administratorkonten

Nie als Super Admin angemeldet bleiben
Super Admins sollten sich wieder abmelden, sobald sie ihre Administratoraufgaben ausgeführt haben.

Best Practices für die Sicherheit von Administratorkonten 

Super Admin-Konten verwalten

Mehrere Super Admin-Konten einrichten
Ein Unternehmen sollte mehrere Super Admin-Konten haben, die jeweils von einer anderen Person verwaltet werden. Falls ein Konto gehackt wird oder der Zugriff darauf verloren geht, kann ein anderer Super Admin wichtige Aufgaben übernehmen, während das andere Konto wiederhergestellt wird.

Einem Nutzer Administratorrollen zuweisen 

Nutzerspezifische Super Admin-Konten erstellen
Jeder Super Admin sollte ein identifizierbares Administratorkonto haben, damit immer klar ist, welcher Administrator für welche Aktivitäten im Audit-Log verantwortlich ist.

Best Practices für die Sicherheit von Administratorkonten

Tägliche Verwaltungsaufgaben delegieren
Verwenden Sie das Super Admin-Konto nur, wenn dies erforderlich ist, und delegieren Sie täglich anfallende Aufgaben an Nutzerkonten. Sie sollten möglichst wenige Berechtigungen vergeben, d. h., jeder Nutzer erhält nur Zugriff auf die Ressourcen und Tools, die er für seine üblichen Aufgaben benötigt.

Einem Nutzer Administratorrollen zuweisen | Best Practices für die Sicherheit von Administratorkonten 

Aktivitäten in Administratorkonten verwalten

E-Mail-Benachrichtigungen für Administratoren einrichten
Sie sollten Verwaltungsaktivitäten und potenzielle Sicherheitsrisiken mithilfe von E-Mail-Benachrichtigungen für bestimmte Ereignisse im Auge behalten. So können Sie sich z. B. über verdächtige Anmeldeversuche, manipulierte Mobilgeräte oder von einem anderen Administrator vorgenommene Änderungen informieren lassen.

E-Mail-Benachrichtigungen für Administratoren

Audit-Log für Administratoren prüfen
Im Audit-Log für Administratoren können Sie sich den Verlauf aller Aktivitäten in der Google Admin-Konsole ansehen, d. h., welcher Administrator welche Aufgabe wann und von welcher IP-Adresse ausgeführt hat.

Audit-Log für Administratoren

Wiederherstellung von Administratorkonten vorbereiten

Wiederherstellungsoptionen hinzufügen
Fügen Sie Administratorkonten eine Telefonnummer und eine E-Mail-Adresse hinzu, damit Google Ihnen per Telefon, SMS oder E-Mail ein neues Passwort übermitteln kann. 

Wiederherstellungsoptionen zu Ihrem Administratorkonto hinzufügen

Informationen zum Zurücksetzen des Passworts bereithalten

Wenn ein Super Admin sein Passwort nicht per E-Mail oder Telefon zurücksetzen kann und kein anderer Super Admin verfügbar ist, kann er den Google-Support kontaktieren.

Der Support stellt dann Fragen zum Konto der Organisation, um die Identität des Administrators zu bestätigen. Dieser muss außerdem die DNS-Inhaberschaft der Domain nachweisen. Daher sollten Sie die Kontoinformationen und DNS-Anmeldedaten griffbereit an einem sicheren Ort aufbewahren.

Best Practices für die Sicherheit von Administratorkonten

Zusätzlichen Sicherheitsschlüssel registrieren
Administratoren sollten mehr als einen Sicherheitsschlüssel für ihr Administratorkonto registrieren und diesen an einem sicheren Ort aufbewahren. So bleibt der Kontozugriff erhalten, falls der Hauptschlüssel verloren geht oder gestohlen wird.

Sicherheitsschlüssel für die Bestätigung in zwei Schritten verwenden

Ersatzcodes vorab speichern
Wenn ein Administrator den Sicherheitsschlüssel oder das Mobiltelefon für die Bestätigung in zwei Schritten verliert, kann er sich mit einem Ersatzcode anmelden.

Mit Ersatzcodes anmelden

Konten 

Multi-Faktor-Authentifizierung erzwingen

Für Nutzer
Hier bietet sich die Bestätigung in zwei Schritten an. Sie schützt Nutzerkonten vor unberechtigten Zugriffen, falls jemand das dazugehörige Passwort herausfinden sollte.

Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen | Bestätigung in zwei Schritten implementieren

Für wichtige Konten, z. B. Administratorkonten
Für diesen Zweck eignen sich vor allem Sicherheitsschlüssel. Dabei handelt es sich um ein Gerät, das bei der Anmeldung verwendet wird. Durch eine Zwei-Faktor-Authentifizierung schützen die Schlüssel auch vor Phishingangriffen.

Bestätigung in zwei Schritten implementieren

Passwörter schützen

Passwortdiebstahl dank Passwort-Warnung verhindern
Mithilfe der Passwort-Warnung können Sie sichergehen, dass Nutzer ihre geschäftlichen Anmeldedaten nicht auf anderen Websites verwenden.

Erneute Verwendung von Passwörtern verhindern

Eindeutige Passwörter verwenden
Ein gutes Passwort ist die erste Maßnahme, um Nutzer- und Administratorkonten zu schützen. Eindeutige Passwörter zeichnen sich dadurch aus, dass sie nicht leicht zu erraten sind. Außerdem sollten Passwörter nicht mehrfach verwendet werden, z. B. nicht sowohl für das E-Mail-Konto als auch für das Onlinebanking.

Starkes Passwort erstellen und für mehr Kontosicherheit sorgen

Gehackte Konten vermeiden und wiederherstellen

Aktivitätsberichte und -benachrichtigungen regelmäßig überprüfen
In den Berichten zur Kontoaktivität erhalten Sie Aufschluss über den Konto- und Admin-Status sowie Details zur Einrichtung der Bestätigung in zwei Schritten.

Berichte zur Kontoaktivität

E-Mail-Benachrichtigungen für Administratoren einrichten
Mit diesen Benachrichtigungen können Sie sich über potenziell gefährliche Ereignisse informieren lassen, z. B. verdächtige Anmeldeversuche, manipulierte Mobilgeräte oder durch einen anderen Administrator geänderte Einstellungen.

E-Mail-Benachrichtigungen für Administratoren

Identitätsbestätigungen einrichten
Richten Sie Identitätsbestätigungen für verdächtige Anmeldeversuche ein. Nutzer müssen dann einen Bestätigungscode eingeben, der an ihre Telefonnummer oder E-Mail-Adresse zur Kontowiederherstellung gesendet wurde, oder sie müssen eine Frage beantworten, die nur der Kontoinhaber beantworten kann.

Identitätsbestätigung mit zusätzlichen Sicherheitsmaßnahmen | Mitarbeiter-ID als zusätzliche Identitätsbestätigung einrichten

Gehackte Konten erkennen und sichern
Wenn Sie vermuten, dass ein Konto gehackt wurde, sollten Sie es sperren und auf schädliche Aktivitäten untersuchen sowie gegebenenfalls Maßnahmen ergreifen.

  • Prüfen Sie die mit dem Konto verknüpften Mobilgeräte.
  • Untersuchen Sie die Zustellprotokolle für Ihre Domains mithilfe der E-Mail-Protokollsuche.
  • Schätzen Sie anhand des Sicherheitsberichts ein, wie gefährdet die Daten in der Domain sind.
  • Vergewissern Sie sich, dass keine schädlichen Einstellungen vorgenommen wurden.

Gehackte Konten erkennen und sichern

Download von Daten bei Bedarf deaktivieren
Sie sollten verhindern, dass Daten aus Nutzerkonten heruntergeladen werden, wenn das Konto gehackt wurde oder der Nutzer das Unternehmen verlässt.

Datenexport für Nutzer aktivieren oder deaktivieren

Apps (nur G Suite) 

Zugriff von Drittanbietern auf Hauptdienste prüfen
Drittanbieter-Apps sollten nur gegen Genehmigung Zugriff auf die Hauptdienste der G Suite (Gmail, Drive usw.) erhalten und Sie sollten jederzeit den Überblick behalten. 

Verbundene Apps auf die weiße Liste setzen

Vertrauenswürdige Apps auf die weiße Liste setzen
Erstellen Sie eine weiße Liste mit den Drittanbieter-Apps, die auf die Hauptdienste der G Suite zugreifen dürfen.

Verbundene Apps auf die weiße Liste setzen

Google Kalender (nur G Suite) 

Externe Kalenderfreigabe einschränken
Die externe Freigabe von Kalenderdaten sollte nur auf den Verfügbarkeitsstatus beschränkt werden. So verringern Sie das Risiko von Datenlecks.

Sichtbarkeit und Freigabeoptionen für Kalender festlegen

Chrome-Browser und Chrome OS 

Richtlinien für Browser auf Computern festlegen
Wenn in Ihrer Organisation generell Chrome verwendet werden soll, die Nutzer jedoch für ältere Websites und Apps weiterhin den Internet Explorer benötigen, können sie mit der Chrome-Erweiterung "Unterstützung für ältere Browser" automatisch zwischen beiden wechseln.

Erweiterung "Unterstützung für ältere Browser" unter Windows

Grundlegende Richtlinien für Chrome OS und den Chrome-Browser einrichten
In der Admin-Konsole können Sie Richtlinien für Folgendes konfigurieren:

  • Automatische Updates zulassen
  • Passwortmanager zulassen
  • Safe Browsing aktivieren
  • Verhindern, dass Nutzer schädliche Websites aufrufen
  • Nutzern das Anzeigen von Passwörtern im Passwort-Manager erlauben

Chrome-Richtlinien für Nutzer festlegen

Erweiterte Chrome OS- und Chrome-Richtlinien definieren
Mit dem Editor für Windows-Gruppenrichtlinien lassen sich die folgenden erweiterten Richtlinien für Chrome OS und Google Chrome einrichten:

  • AbusiveExperienceInterventionEnforce
  • AdsSettingForIntrusiveAdsSites
  • AllowedDomainsForApps
  • DownloadRestrictions
  • SitePerProcess

Chrome-Richtlinien auf Geräteebene für verwaltete PCs festlegen

Automatische Aktualisierung aktivieren
Dies empfiehlt sich, damit die neuesten Sicherheitsupdates für Chrome immer automatisch installiert werden.

Chrome-Updates verwalten (Windows)

Klassisches Hangouts (nur G Suite) 

Nutzer bei Chats mit externen Personen warnen
Sie können für Nutzer eine Warnung einblenden lassen, wenn sie mit Personen außerhalb ihrer Domain chatten. Wenn Sie diese Option aktivieren, werden Gruppenchats aufgeteilt, sobald eine externe Person der Unterhaltung hinzugefügt wird. Dadurch können externe Teilnehmer vorherige interne Diskussionen nicht sehen und das Risiko von Datenlecks wird verringert.

Chateinstellungen in der klassischen Hangouts-Version

Richtlinien für Chateinladungen festlegen
Sie können mit dieser Einstellung Richtlinien für Chateinladungen erstellen. Diese basieren auf den Richtlinien für die Zusammenarbeit in Ihrer Organisation.

Chateinstellungen in der klassischen Hangouts-Version

Google Kontakte (nur G Suite) 

Kontaktdaten nicht automatisch freigeben
Diese automatische Freigabe von Kontaktdaten sollten Sie unbedingt deaktivieren.

Globales Verzeichnis aktivieren oder deaktivieren

Google Drive  

Freigabe und Zusammenarbeit außerhalb Ihrer Domain einschränken

Freigabeoptionen für Ihre Domain festlegen
Sie sollten die Dateifreigabe nur innerhalb Ihrer Domains zulassen, indem Sie die Freigabeoptionen deaktivieren. Dies verringert das Risiko von Datenlecks und Daten-Exfiltration. Sollte die Freigabe außerhalb einer Domain aus geschäftlichen Gründen erforderlich sein, können Sie festlegen, wie die Freigabe für Organisationseinheiten funktioniert. Alternativ können Sie auch Domains auf eine weiße Liste setzen.

Freigabeberechtigungen für Drive-Nutzer festlegen

Standardeinstellung für die Linkfreigabe festlegen
Deaktivieren Sie die Linkfreigabe für neu erstellte Dateien. Nur der Dateiinhaber sollte Zugriff darauf haben.

Freigabeberechtigungen für Drive-Nutzer festlegen

Nutzer warnen, wenn sie eine Datei außerhalb der Domain freigeben
Auch wenn Sie Nutzern erlauben, Dateien außerhalb der Domain freizugeben, sollten Sie für den Vorgang Warnungen aktivieren. So können Nutzer sichergehen, dass die Aktion beabsichtigt ist, und Sie verringern das Risiko von Datenlecks.

Freigabeberechtigungen für Drive-Nutzer festlegen

Dateizugriff auf Empfänger beschränken
Gibt ein Nutzer eine Datei über ein anderes Google-Produkt als Google Docs oder Google Drive frei, z. B. über einen Link in einer Gmail-Nachricht, kann über die Zugriffsprüfung sichergestellt werden, dass nur die Empfänger auf die Datei zugreifen können. So können Sie den Zugriff auf freigegebene Links steuern und verringern das Risiko von Datenlecks.

Freigabeberechtigungen für Drive-Nutzer festlegen

Verhindern, dass Nutzer Inhalte im Web veröffentlichen können
Wenn Sie die Veröffentlichung von Dateien im Web deaktivieren, verringern Sie das Risiko von Datenlecks.

Freigabeberechtigungen für Drive-Nutzer festlegen

Google-Anmeldung für externe Mitbearbeiter erzwingen
Externe Mitbearbeiter sollten sich mit einem Google-Konto anmelden müssen. Wenn sie keines haben, können sie kostenlos ein Konto erstellen. So verringern Sie das Risiko von Datenlecks.

Freigabeberechtigungen für Drive-Nutzer festlegen

Freigabeberechtigungen für Dateien in geteilten Ablagen steuern
Nur Nutzer in Ihrer Organisation sollten berechtigt sein, Dateien aus geteilten Ablagen an einen Drive-Speicherort einer anderen Organisation zu verschieben.

Freigabeberechtigungen für Drive-Nutzer festlegen

Freigabeberechtigungen für Inhalte in neuen geteilten Ablagen steuern
Diese Freigabeberechtigungen können Sie über die Einstellungen für das Erstellen geteilter Ablagen steuern.

Freigabe in Teamablagen steuern

Lokale Kopien von Drive-Daten einschränken

Offlinezugriff deaktivieren
Um das Risiko von Datenlecks zu verringern, sollten Sie den Offlinezugriff auf Dokumente deaktivieren, da andernfalls eine Kopie der Dokumente lokal gespeichert wird. Wenn Sie den Offlinezugriff aus geschäftlichen Gründen benötigen, aktivieren Sie diese Funktion nur für die betroffenen Organisationseinheiten, um das Risiko weitestgehend zu minimieren.

Offlinezugriff auf Google Docs, Google Tabellen und Google Präsentationen steuern

Desktopzugriff auf Drive deaktivieren
Mit Backup and Sync oder Drive File Stream können Sie über den Desktop auf Google Drive zugreifen, d. h. Dateien in Google Drive oder in der Cloud mit Ihrem Computer synchronisieren.

Um das Risiko von Datenlecks zu verringern, sollten Sie den Desktopzugriff auf Google Drive jedoch am besten deaktivieren oder nur für die Nutzer aktivieren, die den Zugriff wirklich benötigen.

Backup and Sync bereitstellen | Synchronisierung für meine Organisation aktivieren |
Backup and Sync und Drive File Stream im Vergleich

Datenzugriff von Drittanbieter-Apps steuern

Drive-Add-ons verbieten
Sie sollten Nutzern nicht erlauben, Add-ons für Google Docs aus dem Store zu installieren. Dadurch verringern Sie das Risiko von Datenlecks. Wenn Sie bestimmte Unternehmensanforderungen erfüllen müssen, können Sie Add-ons für Google Docs bereitstellen, die den Richtlinien Ihrer Organisation entsprechen.

Add-ons für Docs-Editoren aktivieren

Gmail (nur G Suite) 

Authentifizierung und Infrastruktur einrichten

SPF, DKIM und DMARC

Mit SPF, DKIM und DMARC können Sie E-Mails validieren, indem Nachrichten über die DNS-Einstellungen authentifiziert und digital signiert werden. Außerdem wird Ihre Domain vor Spoofing geschützt.

Angreifer fälschen manchmal die Absenderadresse, sodass E-Mails scheinbar von einem Nutzer in einer bestimmten Domain stammen. Dies lässt sich verhindern, indem Sie SPF und DKIM für alle ausgehenden E-Mails einrichten. 
Anschließend können Sie einen DMARC-Eintrag konfigurieren, um festzulegen, wie Google und andere Empfänger nicht authentifizierte E-Mails behandeln sollen, die angeblich aus Ihrer Domain stammen.

E-Mails mit DKIM authentifizieren | E-Mail-Absender mit SPF autorisieren | 
Verdächtige E-Mails mit DMARC verwalten

Gateways für SPF konfigurieren
Wenn Sie eingehende E-Mails über ein Gateway weiterleiten, sollte es richtig für das Sender Policy Framework (SPF) konfiguriert sein. So verhindern Sie Probleme bei der Spamverarbeitung.

Gateway für eingehende E-Mails einrichten

TLS für Partnerdomains erzwingen
E-Mails sollten mithilfe von TLS übertragen werden, denn dieses Protokoll garantiert eine sichere Verbindung. Konfigurieren Sie die TLS-Einstellung so, dass für Partnerdomains eine sichere E-Mail-Verbindung erforderlich ist – egal ob sie dort eingeht oder von dort ausgeht.

E-Mail muss über eine sichere Verbindung (TLS) übertragen werden

Authentifizierung für alle zugelassenen Absender erzwingen
Aktivieren Sie die Spamrichtlinie Absenderauthentifizierung erfordern. Andernfalls wird der Spamordner bei zugelassenen Absendern umgangen, für die keine Authentifizierung wie SPF oder DKIM aktiviert ist. Wenn Sie diese Einstellung aktivieren, verringern Sie das Risiko von Spoofing und Phishing/Whaling. Weitere Informationen zur Absenderauthentifizierung 

Einstellungen des Spamfilters individuell anpassen

MX-Einträge konfigurieren
Sie sollten die MX-Einträge so konfigurieren, dass der mit der höchsten Priorität auf die Mailserver von Google verweist, damit E-Mails richtig an die Nutzer in Ihrer G Suite-Domain zugestellt werden. So verringern Sie das Risiko von Malware und Datenlöschung durch verloren gegangene E-Mails.

MX-Einträge für die G Suite und Gmail einrichten | Werte für die MX-Einträge der G Suite

Nutzer und Organisationen schützen

POP/IMAP-Zugriff deaktivieren
Mit IMAP- und POP-Desktop-Clients können Nutzer über Drittanbieterprodukte auf Gmail zugreifen. Sie sollten diese Option für Nutzer deaktivieren, die sie nicht unbedingt benötigen. So verringern Sie das Risiko von Datenlecks, Datenlöschungen und Daten-Exfiltration. Dies kann auch das Angriffsrisiko verringern, da IMAP-Clients möglicherweise nicht so gut geschützt sind wie Erstanbieter-Clients.

IMAP und POP für Nutzer aktivieren und deaktivieren

Automatische Weiterleitung deaktivieren
Verhindern Sie, dass Nutzer eingehende E-Mails automatisch an eine andere Adresse weiterleiten lassen. So verringern Sie das Risiko einer Daten-Exfiltration, die häufig von Angreifern genutzt wird.

Automatische Weiterleitung deaktivieren

Umfassenden E-Mail-Speicher aktivieren
Über die Einstellung "Umfassender E-Mail-Speicher" legen Sie fest, dass in den Gmail-Postfächern der verknüpften Nutzer eine Kopie aller gesendeten und empfangenen E-Mails in Ihrer Domain gespeichert wird. Dies gilt auch für Nachrichten, die über ein Postfach außerhalb von Gmail gesendet oder empfangen wurden. Sie sollten diese Option aktivieren, damit in Google Vault die E-Mails aller Nutzer gespeichert werden, die SMTP-Relay aktivieren.

Da dabei eine Kopie aller gesendeten und empfangenen Nachrichten Ihrer Domain im Postfach der jeweiligen Nutzer gespeichert wird, verringern Sie so das Risiko einer Datenlöschung. Dies gilt auch für Nachrichten, die über Postfächer anderer Anbieter als Gmail gesendet oder empfangen werden.

Umfassenden E-Mail-Speicher einrichten

Spamfilter für interne Absender nicht umgehen
Entfernen Sie das Häkchen aus dem Kästchen bei Spamfilter für Nachrichten von internen Absendern umgehen, da alle externen Adressen, die zu Gruppen hinzugefügt wurden, als interne Adressen behandelt werden. Durch das Deaktivieren dieser Einstellung wird garantiert, dass alle E-Mails von Nutzern nach Spam gefiltert werden – auch die von internen Absendern. Damit verringern Sie das Risiko von Spoofing und Phishing/Whaling.

Einstellungen des Spamfilters individuell anpassen

Allen Standardrouting-Regeln eine Einstellung für Spam-Header hinzufügen
Mit dieser Einstellung wird die Filterkapazität der nachgeschalteten Mailserver maximiert, um das Risiko von Spoofing und Phishing/Whaling zu verringern. Gmail-Nachrichten werden automatisch nach Spam- und Phishing-E-Mails gefiltert. Wenn Sie auf das Kästchen neben Header für X-Gm-Spam und X-Gm-Phishy hinzufügen klicken, werden den Nachrichten außerdem diese Header hinzugefügt, die den Spam- und Phishing-Status angeben.

Administratoren von Downstreamservern können diese Informationen dann beispielsweise nutzen, um gezielt Regeln für den Umgang mit Spam und Phishing festzulegen.

Standardrouting konfigurieren

Nachrichtenprüfung vor der Zustellung aktivieren
Mit dieser Einstellung haben Sie in Gmail Zugriff auf zusätzliche Prüfungen für Nachrichten, die als Spam oder Phishing eingestuft wurden.

Erweiterte Prüfung von Nachrichten vor der Zustellung verwenden

Warnung bei externen Empfängern aktivieren 
Gmail erkennt, ob ein Nutzer regelmäßig mit einem externen E-Mail-Empfänger interagiert und ob dieser zu den Kontakten eines Nutzers gehört. Wenn Sie diese Einstellung aktivieren, wird Nutzern eine Warnmeldung angezeigt, die sich ausblenden lässt.

Warnung bei Versand an externe Empfänger konfigurieren

Zusätzlichen Schutz vor Anhängen aktivieren
Google prüft eingehende Nachrichten auf Malware – auch wenn der zusätzliche Schutz vor schädlichen Anhängen deaktiviert ist. Falls Sie diesen aktivieren, werden jedoch auch E-Mails abgefangen, die zuvor nicht als schädlich eingestuft worden wären.

Schutz vor Phishing und Malware verbessern

Zusätzlichen Schutz vor Links und externen Inhalten aktivieren
Google prüft eingehende Nachrichten immer auf Malware – auch wenn der zusätzliche Schutz vor schädlichen Links und Inhalten deaktiviert ist. Wenn Sie diesen aktivieren, werden jedoch auch E-Mails abgefangen, die zuvor nicht als Phishing eingestuft worden wären.

Schutz vor Phishing und Malware verbessern

Zusätzlichen Schutz vor Spoofing aktivieren
Google überprüft eingehende Nachrichten immer auf Spoofing. Wenn Sie den zusätzlichen Spoofing- und Authentifizierungsschutz aktivieren, kann beispielsweise das Risiko von Spoofing durch ähnliche Domain- oder Mitarbeiternamen verringert werden.

Schutz vor Phishing und Malware verbessern

Sicherheitsaspekte bei täglichen Gmail-Aufgaben

Spamfilter überschreiben

Mit den erweiterten Gmail-Einstellungen haben Sie umfassende Kontrolle über die Zustellung und die Filterung von E-Mails. Beim Überschreiben der standardmäßigen Spamfilter von Gmail durch eigene Einstellungen sollten Sie vorsichtig vorgehen, um einen Anstieg an Spamnachrichten zu vermeiden. 

  • Wenn Sie der Liste zugelassener Absender eine Domain oder E-Mail-Adresse hinzufügen, sollten Sie sich gut überlegen, ob Sie die Option "Keine Absenderauthentifizierung erfordern" verwenden. Ist diese Einstellung aktiviert, kann bei E-Mails von Absendern ohne Authentifizierung der Gmail-Spamfilter umgangen werden.
  • Spamfilter können umgangen werden, indem Sie bestimmte IP-Adressen auf eine weiße Liste für E-Mails setzen. Seien Sie dabei vorsichtig, vor allem wenn Sie für große IP-Bereiche die CIDR-Notation verwenden.
  • Wenn Sie Nachrichten über ein Eingangsgateway an Ihre G Suite-Domain weiterleiten, fügen Sie dessen IP-Adressen den Gateway-Einstellungen und nicht der weißen Liste für E-Mails hinzu.
  • Sie sollten Regeln für die Inhaltscompliance überwachen und optimieren, um Spam und Phishing zu verhindern.

Gmail-Einstellungen für die Organisation anpassen

Keine Domains in die Liste der zugelassenen Absender aufnehmen
Grundsätzlich lassen sich Domains in die Liste der zugelassenen Absender aufnehmen. Wenn Sie aber zugelassene Absender konfiguriert haben und die Option Spamfilter für Nachrichten umgehen, die von Adressen oder Domains aus diesen Listen zugelassener Absender stammen. aktiviert ist, sollten Sie die Domains aus der Liste zugelassener Absender entfernen. Damit verringern Sie das Risiko von Spoofing und Phishing/Whaling.  

Einstellungen des Spamfilters individuell anpassen

Keine IP-Adressen auf die weiße Liste setzen
Stammen E-Mails von IP-Adressen, die auf der weißen Liste stehen, werden sie generell nicht als Spam markiert. Fügen Sie die IP-Adressen von Mailservern, die E-Mails an Gmail weiterleiten (Ihre Server und die Ihrer Partner) einem Gateway für eingehende E-Mails hinzu, setzen Sie sie jedoch nicht auf eine weiße IP-Liste. So nutzen Sie den Gmail-Spamfilter optimal und erhalten die besten Ergebnisse bei der Spamklassifizierung.

IP-Adressen in Gmail auf die weiße Liste setzen | Gateway für eingehende E-Mails einrichten

Google+ (nur G Suite) 

Neue Beiträge standardmäßig einschränken
Diese Einstellung sollten Sie aktivieren. Für einzelne Beiträge kann sie trotzdem von Nutzern überschrieben werden.

Standardmäßige Einschränkung für das Teilen von Inhalten auf Google+ festlegen

Profilsichtbarkeit deaktivieren
Deaktivieren Sie diese Option, damit Nutzerprofile bei öffentlichen Suchanfragen nicht gefunden werden.

Standardeinstellung für die Auffindbarkeit von Profilen festlegen

Google+ Profile nicht automatisch erstellen
Deaktivieren Sie die automatische Erstellung öffentlicher Google+ Profile für Nutzer in Ihrer Organisation.

Google+ Profile verwalten
(siehe Google+ Profile für alle Nutzer in einer Organisationseinheit erstellen)

App-Zugriff auf Google+ APIs ggf. zulassen
Mithilfe der Google+ APIs sind in Apps von Drittanbietern Aktionen im Namen von Nutzern möglich. So können z. B. Beiträge gelesen, beschränkte Beiträge verfasst und Kreise verwaltet werden. Sie können diese Einstellung aktivieren, wenn Sie programmgesteuert auf die Google+ APIs zugreifen möchten. Andernfalls sollten Sie sie deaktivieren.

Google+ APIs aktivieren oder deaktivieren

Google Groups 

Gruppen als "Privat" festlegen
Sie sollten die Einstellung "Privat" auswählen, damit nur Mitglieder Ihrer Domain Zugriff haben. Gruppenmitglieder erhalten dann trotzdem weiterhin E-Mails von außerhalb der Domain. Mit dieser Einstellung verringern Sie das Risiko von Datenlecks.

Freigabeoptionen für Google Groups for Business festlegen

Gruppenerstellung auf Administratoren beschränken
Erteilen Sie nur Administratoren die Berechtigung, Gruppen zu erstellen. So verringern Sie das Risiko von Datenlecks.

Freigabeoptionen für Google Groups for Business festlegen

Einstellungen für den Gruppenzugriff anpassen
Empfehlungen

  • Externe Mitglieder und Nachrichten von außerhalb der Domain zulassen bzw. nicht zulassen
  • Nachrichtenmoderation einrichten
  • Sichtbarkeit von Gruppen festlegen
  • Weitere Aktionen ausführen (je nach Unternehmensrichtlinien)

Festlegen, wer Beiträge ansehen, posten und moderieren darf

Einige Zugriffseinstellungen für interne Gruppen deaktivieren
Mit den folgenden Einstellungen kann jeder Internetnutzer einer Gruppe beitreten, Nachrichten senden und Unterhaltungsarchive aufrufen. Diese Einstellungen sollten Sie für interne Gruppen deaktivieren:

  • Öffentlicher Zugriff
  • Jeder im Internet erhält dieses Zugriffsrecht
  • Jeder im Internet darf Nachrichten posten 

Einer Gruppe Zugriffsebenen zuweisen

Spammoderation für Ihre Gruppe aktivieren
Sie können festlegen, ob Moderatoren benachrichtigt werden, wenn Nachrichten an die Moderationswarteschlange gesendet werden. Sie haben aber auch die Möglichkeit, Spam direkt abzulehnen oder zuzulassen, dass Nachrichten ohne Moderation gepostet werden dürfen.

Neue Beiträge genehmigen oder sperren

Mobilgeräte 

Einfache Mobilgeräteverwaltung aktivieren

Mobilgeräteverwaltung aktivieren – für mehr Kontrolle über Unternehmensdaten
Überlegen Sie, wie sich die Anforderungen und Richtlinien in Ihrer Organisation für die Mobilgeräteverwaltung implementieren lassen.

Sie sollten zumindest die einfache Mobilgeräteverwaltung aktivieren, um einen Überblick und Einfluss auf Unternehmensdaten auf iOS- und Android-Geräten zu haben. So verringern Sie das Risiko von Datenlecks und Malware sowie der Datenweitergabe durch böswillige Insider.

Einstieg in die Google-Mobilgeräteverwaltung

Zugriff auf Apps steuern

Weiße Listen für genehmigte Unternehmens-Apps erstellen
Sie können Unternehmensressourcen vor potenziell schädlichen Apps schützen, indem Sie bestimmte Apps genehmigen und auf die weiße Liste setzen.

Apps auf iOS-Geräten verwalten | Apps auf Android-Geräten verwalten

Apps aus unbekannten Quellen blockieren
Übernehmen Sie die Standardeinstellung, damit Apps, die nicht aus dem Play Store stammen, auf Android-Geräten blockiert werden. So verringern Sie das Risiko von Datenlecks, Konto-Hacking, Daten-Exfiltration, Datenlöschungen und Malware.

Einstellungen für Android-Mobilgeräte anwenden

App-Überprüfung erzwingen
Übernehmen Sie auch hier die Standardeinstellung. So können Nutzer nur Apps aus bekannten Quellen auf Android-Geräten installieren. Dies verringert das Risiko von Malware und Datenlecks.

Einstellungen für Android-Mobilgeräte anwenden

Verwaltete Apps auf iOS-Geräten erzwingen
Wenn Sie einer weißen Liste für iOS eine App hinzufügen, können Sie festlegen, dass die App verwaltet werden soll. Dadurch haben Sie mehr Kontrolle über die App und die dazugehörigen Daten auf privaten iOS-Geräten. Die Freigabe von Dateien zwischen verwalteten und nicht verwalteten Apps ist nicht zulässig.

Nutzer können beispielsweise keine Daten von einer verwalteten Unternehmens-App in einer externen Entität wie iCloud sichern. Wenn ein Nutzer in einer verwalteten Unternehmens-App ein PDF erstellt, kann er es nicht in einer nicht verwalteten privaten App öffnen.

Apps auf iOS-Geräten verwalten

Konten und Daten schützen

Anforderungen an Passwörter für Mobilgeräte durchsetzen
Legen Sie fest, dass Nutzer ein Passwort für Mobilgeräte einrichten müssen, und konfigurieren Sie die Einstellungen für die Passwortstärke, das Ablaufdatum, die Wiederverwendung, das Sperren und das Löschen von Gerätedaten. So wird das Risiko von Datenlecks verringert, wenn Mobilgeräte verloren gehen oder gestohlen bzw. verkauft werden.

Passworteinstellungen für Mobilgeräte anwenden

Daten auf Mobilgeräten verschlüsseln
Mit dieser Einstellung verringern Sie das Risiko von Datenlecks, falls Mobilgeräte verloren gehen oder gestohlen bzw. verkauft werden. Das Android-Gerät muss die Verschlüsselung jedoch unterstützen. iOS-Geräte werden automatisch von Apple verschlüsselt.

Erweiterte Einstellungen anwenden

Automatische Kontolöschung aktivieren
Daten aus Unternehmenskonten lassen sich automatisch von einem Android-Gerät entfernen, wenn es eine bestimmte Zeit lang inaktiv war. So verringern Sie das Risiko von Datenlecks.

Einstellungen für Android-Mobilgeräte anwenden

Arbeitsprofile auf Android-Geräten erzwingen
Mit Arbeitsprofilen bleiben private und geschäftliche Daten getrennt. Wenn Sie die Nutzung von Arbeitsprofilen mit der integrierten Geräteverwaltung der G Suite erzwingen, können Sie die Apps, die auf geschäftliche Daten zugreifen dürfen, auf eine weiße Liste setzen. Darüber hinaus lässt sich die Installation von Apps aus unbekannten Quellen deaktivieren.

Einrichtung von Arbeitsprofilen

Geräte verwalten

Gehackte Mobilgeräte sperren
Gehackte Android-Geräte sollten umgehend gesperrt werden. Hinweise auf Hacking sind z. B. ein entsperrter Bootloader, die Verwendung eines benutzerdefinierten ROMs oder eine Superuser-Binärdatei auf dem Gerät.

Erweiterte Einstellungen anwenden

Berichte zu inaktiven Mobilgeräten aktivieren
Sie können Super Admins monatliche Berichte zu unternehmenseigenen Geräten senden, für die seit 30 Tagen keine Arbeitsdaten mehr synchronisiert wurden. Durch das Deaktivieren inaktiver Konten verringern Sie das Risiko von Datenlecks.

Bericht zu inaktiven Unternehmensgeräten erhalten

Externen Medienspeicher sperren
Sie sollten Nutzer daran hindern, Daten und Apps auf Android-Geräte zu verschieben oder davon zu entfernen. So verringern Sie das Risiko von Datenlecks.

Einstellungen für Android-Mobilgeräte anwenden

Standortverlauf deaktivieren
Sie können den Dienst für den Standortverlauf deaktivieren, damit keine entsprechenden Daten eines Nutzers gespeichert werden.

Zusätzliche Google-Dienste aktivieren oder deaktivieren

Google Sites (nur G Suite) 

Freigabe von Websites außerhalb der Domain sperren
Sie sollten Nutzer generell daran hindern, Websites außerhalb der Domain freizugeben, um das Risiko von Datenlecks zu verringern. Wenn es aus geschäftlichen Gründen notwendig ist, können Sie diese Freigabe jedoch auch aktivieren. In diesem Fall wird eine Warnung angezeigt, wenn Nutzer Websites außerhalb der Domain freigeben.

Freigabeoptionen für Google Sites festlegen | Freigabeoptionen festlegen: klassisches Google Sites

Vault (nur Vault) 

Konten mit Vault-Zugriff sichern
Achten Sie darauf, dass diese Konten sorgfältig kontrolliert und geprüft werden.

Prüfungen verstehen

Konten mit Vault-Zugriff vertraulich behandeln
Konten mit Vault-Zugriff sollten ebenso wie Super Admin-Konten als Konten mit erweiterten Zugriffsrechten behandelt werden. Daher sollten sie sorgfältig kontrolliert und geprüft werden und nur über die Bestätigung in zwei Schritten zugänglich sein.

Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen | Bestätigung in zwei Schritten implementieren

War das hilfreich?
Wie können wir die Seite verbessern?