Best Practices für die Sicherheit von Administratorkonten

Mit den folgenden Best Practices können Sie die Sicherheit Ihrer Administratorkonten und damit auch des gesamten Unternehmens erhöhen.

Administratorkonten schützen

Bei Administratorkonten einen zweiten Faktor zur Authentifizierung erforderlich machen

Falls das Administratorpasswort in falsche Hände gerät, schützt die Bestätigung in zwei Schritten das Konto vor unberechtigten Zugriffen. Das ist für Super Admins besonders wichtig, da ihre Konten Zugriff auf alle Geschäfts- und Mitarbeiterdaten bieten.

Sicherheitsschlüssel für die Bestätigung in zwei Schritten verwenden

Es gibt mehrere Methoden für die Bestätigung in zwei Schritten, darunter Sicherheitsschlüssel, Aufforderung von Google, Google Authenticator und Ersatzcodes. Die sicherste Form sind Sicherheitsschlüssel. Das sind kleine Geräte, die sich zum Schutz vor Phishing-Angriffen bewährt haben.

Konto eines Super Admins nicht für alltägliche Aufgaben verwenden

Super Admins können alle Einstellungen des Unternehmenskontos verwalten und Passwörter anderer Administratoren zurücksetzen.

Deshalb sollten sie für das Tagesgeschäft ein separates Nutzerkonto verwenden. Am besten melden sie sich nur für bestimmte Super Admin-Aufgaben in ihrem Super Admin-Konto an, wenn sie z. B. die Bestätigung in zwei Schritten konfigurieren oder das Konto eines anderen Administrators wiederherstellen müssen.

Nicht ständig in einem Super Admin-Konto angemeldet bleiben

Wenn Sie in einem Super Admin-Konto angemeldet bleiben, obwohl Sie keine Verwaltungsaufgaben erledigen, erhöhen Sie damit möglicherweise das Risiko von Phishing-Angriffen. Super Admins sollten sich nur bei Bedarf für bestimmte Aufgaben anmelden und so bald wie möglich wieder abmelden.

Super Admin-Konten verwalten

Mehrere Super Admin-Konten einrichten

Ein Unternehmen sollte mehrere Super Admin-Konten haben, die jeweils von verschiedenen Personen verwaltet werden. Bei Verlust oder Manipulation eines Kontos kann dann ein anderer Super Admin wichtige Aufgaben erledigen, während das betroffene Konto wiederhergestellt wird.

Einzelne Super Admin-Konten erstellen

Wenn es mehrere Super Admins gibt, die sich alle über admin@example.com anmelden, können Sie nicht sehen, welcher Super Admin für Aktivitäten im Audit-Log verantwortlich ist. Jeder Super Admin sollte daher ein eigenes Administratorkonto haben.

Beispiel: Maria und Jan sind Super Admins und sollten jeweils ein Super Admin-Konto und ein Nutzerkonto haben:

  • admin-maria@example.com, maria@example.com
  • admin-jan@example.com, jan@example.com
Alltägliche Admin-Aufgaben an Nutzerkonten delegieren

Sie können alltägliche Verwaltungsaufgaben an Nutzerkonten delegieren und so dafür sorgen, dass das Super Admin-Konto wirklich nur bei Bedarf genutzt wird. Es ist beispielsweise möglich, eine häufige Aufgabe wie das Zurücksetzen von Passwörtern an ein Nutzerkonto zu delegieren, aber nur Super Admins zu erlauben, ein Konto zu löschen.

Wenn Sie Administratorrechte delegieren, sollten Sie sich dabei an das Prinzip halten, möglichst wenige Berechtigungen zu vergeben. So erhalten Administratoren nur Zugriff auf die Ressourcen und Tools, die sie für typische alltägliche Aufgaben brauchen.

Aktivitäten in den Administratorkonten überwachen

E-Mail-Benachrichtigungen für Administratoren einrichten

Sie können die Aktivitäten der Administratoren überwachen und mögliche Sicherheitsrisiken erfassen. Richten Sie dazu E-Mail-Benachrichtigungen für Administratoren bei bestimmten Ereignissen ein, beispielsweise im Falle verdächtiger Anmeldeversuche, gehackter Mobilgeräte oder wenn ein anderer Administrator Einstellungen ändert.

Sie erhalten dann bei jedem Auftreten der betreffenden Aktivität eine Benachrichtigung per E-Mail.

Audit-Log für Administratoren überprüfen

Das Audit-Log für die Admin-Konsole ist ein weiteres Tool, mit dem Sie die Aktivitäten der Administratoren überwachen können. Im Audit-Log ist aufgelistet, welche Aufgabe wann in der Google Admin-Konsole ausgeführt wurde, welcher Administrator sie ausgeführt und über welche IP-Adresse er sich dazu angemeldet hat.

Die Aktivität des Super Admin wird in der Spalte "Ereignisbeschreibung" als _SEED_ADMIN_ROLE angezeigt, gefolgt vom Nutzernamen.

Wiederherstellung des Administratorkontos vorbereiten

Wiederherstellungsoptionen zu Administratorkonten hinzufügen

Als Administrator sollten Sie Wiederherstellungsoptionen zu Ihrem Administratorkonto hinzufügen.

Vergisst ein Administrator sein Passwort, kann er auf der Anmeldeseite auf den Link Benötigen Sie Hilfe? klicken und sich von Google per Telefon, SMS oder E-Mail ein neues Passwort zusenden lassen. Hierzu werden eine Telefonnummer und eine E-Mail-Adresse zur Kontowiederherstellung benötigt.

Informationen zum Zurücksetzen des Passworts bereithalten

Kann ein Super Admin sein Passwort nicht mithilfe einer E-Mail-Adresse oder Telefonnummer zur Kontowiederherstellung oder von einem anderen Super Admin zurücksetzen lassen, steht ihm der Google-Support zur Verfügung.

Er muss dann einige Fragen zum Konto der Organisation beantworten, um die Identität zu bestätigen:

  • Datum, an dem das Konto erstellt wurde
  • Ursprüngliche sekundäre E-Mail-Adresse, die mit dem Konto verknüpft ist und für die Registrierung verwendet wurde
  • Gegebenenfalls die dem Konto zugeordnete Google-Auftragsnummer
  • Anzahl der erstellten Nutzerkonten
  • Rechnungsadresse, die mit dem Konto verknüpft ist
  • Kreditkartentyp und die letzten vier Ziffern der verwendeten Kreditkarte

Der Administrator wird außerdem aufgefordert, die DNS-Domaininhaberschaft zu bestätigen, sollte also die Anmeldedaten parat haben, um die DNS-Einstellungen beim Registrator bearbeiten zu können.

Zusätzlichen Sicherheitsschlüssel hinzufügen

Administratoren sollten ihrem Administratorkonto mehrere Sicherheitsschlüssel hinzufügen und sie an einem sicheren Ort aufbewahren. Wenn der primäre Sicherheitsschlüssel verloren gegangen ist oder gestohlen wurde, kann sich der Administrator damit weiterhin in seinem Konto anmelden.

Ersatzcodes vorab erstellen

Wenn ein Administrator den Sicherheitsschlüssel oder das Smartphone verliert, auf dem er ansonsten einen Code zur Bestätigung in zwei Schritten oder eine Aufforderung von Google erhalten würde, kann er sich mit einem Ersatzcode anmelden.

Administratoren sollten Ersatzcodes erstellen und ausdrucken, um sie im Notfall zur Hand zu haben. Bewahren Sie Ersatzcodes an einem sicheren Ort auf.

Zusätzlichen Administrator einrichten

Ist die Anmeldung in einem Administratorkonto nicht möglich, kann ein anderer Administrator einen Ersatzcode für die Anmeldung erstellen, mit dem dann die Bestätigung in zwei Schritten durchgeführt wird.

War das hilfreich?
Wie können wir die Seite verbessern?