Inhaltsverzeichnis
Google WorkspaceSicherheitGoogle AdminDatenschutzIT-Sicherheit

Google Workspace Sicherheit: Best Practices für 2026

TasksBoard Team
TasksBoard Team
Google Workspace Sicherheit: Best Practices für 2026

Google Workspace ist das Produktivitätsrückgrat von Millionen von Organisationen. E-Mails, Dokumente, Kalender, Videokonferenzen und Aufgabenverwaltung laufen über eine einzige Plattform. Diese Zentralisierung bietet enormen Komfort. Sie schafft jedoch auch ein konzentriertes Ziel für Angreifer, versehentliche Datenfreigaben und interne Risiken.

Die Sicherheit von Google Workspace ist keine einmalige Konfiguration. Es ist ein fortlaufender Prozess, der Administratorkontrollen, das Verhalten der Endbenutzer, Integrationen von Drittanbietern und organisatorische Richtlinien umfasst. Dieser Leitfaden behandelt die wichtigsten Sicherheitspraktiken für 2026, gegliedert nach der Kontrollebene, auf der sie jeweils angewendet werden.

Warum die Sicherheit von Google Workspace ernsthafte Aufmerksamkeit verdient

Google investiert massiv in die Infrastruktursicherheit, einschließlich der Verschlüsselung bei der Übertragung und im Ruhezustand, physisch gesicherter Rechenzentren und kontinuierlicher Bedrohungserkennung. Was Google nicht vollständig schützen kann, ist die Art und Weise, wie Ihre Organisation die Plattform konfiguriert und nutzt.

Die häufigsten Sicherheitsvorfälle in Google Workspace sind keine Sicherheitsverletzungen der Google-Infrastruktur. Es handelt sich um:

  • Kontoübernahme durch Phishing: Ein Angreifer bringt einen Mitarbeiter dazu, Anmeldedaten auf einer gefälschten Anmeldeseite einzugeben.
  • Überprivilegierte OAuth-Apps: Eine Drittanbieter-App, der Zugriff auf Google Drive oder Gmail gewährt wurde, die später bösartig wird oder von einem unseriösen Unternehmen übernommen wird.
  • Versehentliche Freigabe: Ein sensibles Dokument wird für “jeden mit dem Link” freigegeben, anstatt für bestimmte Personen.
  • Schwache oder wiederverwendete Passwörter: Insbesondere bei Konten ohne Bestätigung in zwei Schritten.
  • Kompromittierte Administratorkonten: Der Kontotyp mit dem höchsten Risiko in jeder Google Workspace-Organisation.

Für jeden dieser Punkte gibt es eine klare Gegenmaßnahme. Die Herausforderung besteht darin, alle diese Maßnahmen konsequent umzusetzen.

Admin-Konsole: Das Fundament der Google Workspace-Sicherheit

Die Google Admin-Konsole ist der Ort, an dem die Sicherheitskonfiguration der Organisation verwaltet wird. Jede hier beschriebene Best Practice erfordert Administratorzugriff zur Implementierung.

Bestätigung in zwei Schritten erzwingen

Die Bestätigung in zwei Schritten (2SV) ist die Sicherheitsmaßnahme mit der größten Wirkung in Google Workspace. Sie erfordert neben dem Passwort einen zweiten Faktor (einen Code, einen Sicherheitsschlüssel oder biometrische Daten). Selbst wenn ein Angreifer das Passwort eines Benutzers erhält, kann er ohne den zweiten Faktor nicht auf das Konto zugreifen.

So erzwingen Sie dies:

  1. Gehen Sie in der Admin-Konsole zu Sicherheit > Authentifizierung > Bestätigung in zwei Schritten.
  2. Aktivieren Sie die Durchsetzung für alle Benutzer (nicht nur optional).
  3. Legen Sie eine Kulanzfrist (7-30 Tage) fest, damit Benutzer sich registrieren können, bevor die Richtlinie in Kraft tritt.
  4. Erwägen Sie die Anforderung von Hardware-Sicherheitsschlüsseln (FIDO2/WebAuthn) für Konten mit hohen Privilegien, wie z. B. Administratoren.

Für maximalen Schutz sind Hardware-Sicherheitsschlüssel deutlich phishing-resistenter als SMS-Codes oder Authenticator-Apps. Eigene Untersuchungen von Google haben ergeben, dass Hardware-Schlüssel 100 % der automatisierten Bot-Angriffe, 99 % der Massen-Phishing-Angriffe und 90 % der gezielten Angriffe blockierten.

Starke Passwörter verlangen

Legen Sie eine Mindestlänge von mindestens 12 Zeichen fest und erzwingen Sie den Schutz vor Wiederverwendung (blockieren Sie die letzten 10 Passwörter). Kombinieren Sie dies mit einer Erkennung geleakter Anmeldedaten im Stil von Have I Been Pwned, die Google im Security Center integriert hat.

Super-Admin-Konten prüfen

Super-Admin-Konten haben uneingeschränkten Zugriff auf alle Daten und Einstellungen in Ihrer Google Workspace-Organisation. Best Practices:

  • Verwalten Sie nicht mehr als 2-4 Super-Admin-Konten.
  • Verwenden Sie Super-Admin-Konten niemals für die tägliche Arbeit. Erstellen Sie separate Administratorkonten für routinemäßige Verwaltungsaufgaben.
  • Aktivieren Sie Anmeldeherausforderungen und verlangen Sie Hardware-Sicherheitsschlüssel für alle Super-Admin-Konten.
  • Überprüfen Sie die Liste der Super-Admins vierteljährlich.

Schutz von Benutzerdaten: Freigabe und DLP

Einstellungen für externe Freigaben prüfen

Die Standard-Freigabeeinstellungen von Google Drive erlauben es Benutzern, Dateien für jeden freizugeben, der den Link hat, einschließlich Personen außerhalb der Organisation. Für die meisten Organisationen ist dies zu freizügig.

Überprüfen Sie in der Admin-Konsole:

  • Drive und Docs > Freigabeeinstellungen > Freigabe außerhalb [Ihrer Domain]: Beschränken Sie dies auf bestimmte vertrauenswürdige Domains oder deaktivieren Sie die externe Freigabe für sensible Organisationseinheiten vollständig.
  • Deaktivieren Sie die Link-Freigabe für “jeden” für Organisationseinheiten, die mit sensiblen Daten arbeiten.

Data Loss Prevention (DLP)

Die DLP-Regeln von Google Workspace scannen ausgehende E-Mails und Drive-Dateifreigaben automatisch auf sensible Datenmuster, einschließlich Kreditkartennummern, Sozialversicherungsnummern, nationale ID-Nummern und von Ihnen definierte benutzerdefinierte Muster.

Wenn DLP ein sensibles Muster erkennt, kann es die Freigabe blockieren, den Benutzer warnen oder den Administrator benachrichtigen. DLP ist in den Tarifen Business Plus, Enterprise und Education Plus verfügbar.

Wichtige DLP-Regeln zur Konfiguration:

  • Blockieren Sie die externe Freigabe von Drive-Dateien, die Kreditkartennummern enthalten.
  • Warnen Sie vor dem Senden von E-Mails, die bestimmte Schlüsselwörter enthalten (vertraulich, proprietär, PII).
  • Stellen Sie Gmail-Nachrichten mit verdächtigen Anhangstypen unter Quarantäne.

Vault für Aufbewahrung und eDiscovery

Mit Google Vault können Administratoren Aufbewahrungsregeln für Gmail, Drive, Chat und Meet festlegen. Dies stellt sicher, dass Daten für den erforderlichen Aufbewahrungszeitraum gespeichert bleiben, selbst wenn Benutzer sie löschen, was für rechtliche und Compliance-Anforderungen wichtig ist.

Für Organisationen, die der DSGVO, HIPAA oder Finanzvorschriften unterliegen, ist Vault eine unverzichtbare Infrastruktur und kein optionales Add-on.

Verwaltung des Zugriffs von Drittanbieter-Apps

Drittanbieter-Apps, die sich über OAuth mit Google Workspace verbinden, sind eines der am meisten unterschätzten Sicherheitsrisiken. Jedes Mal, wenn ein Benutzer auf “Mit Google anmelden” klickt und einer App Berechtigungen erteilt, erhält diese App fortlaufenden Zugriff auf die gewährten Daten, bis der Benutzer diesen manuell widerruft.

Verbundene Apps prüfen

Gehen Sie in der Admin-Konsole zu Sicherheit > Zugriff und Datenkontrolle > API-Steuerelemente > App-Zugriffssteuerung, um alle Drittanbieter-Apps zu sehen, denen OAuth-Zugriff auf die Google Workspace-Daten Ihrer Organisation gewährt wurde.

Überprüfen Sie diese Liste auf:

  • Apps, die umfassendere Berechtigungen anfordern, als ihre Funktion erfordert.
  • Apps von Anbietern, die Ihre Organisation nicht mehr nutzt.
  • Apps, die derzeit von keinen Benutzern verwendet werden.
  • Apps, die veraltet sind oder deren Anbieter übernommen wurden.

Zugriff von Drittanbieter-Apps einschränken

Für Organisationen mit hohen Sicherheitsanforderungen können Sie einschränken, welche Drittanbieter-Apps sich überhaupt mit Google Workspace verbinden dürfen. Zwei Optionen:

  1. Allowlist-Modus: Nur Apps, die explizit vom Administrator genehmigt wurden, können eine Verbindung herstellen.
  2. Nicht verifizierte Apps einschränken: Nur Apps, die den OAuth-Verifizierungsprozess von Google abgeschlossen haben, können sensible Bereiche anfordern.

Der Allowlist-Ansatz bietet den stärksten Schutz, erfordert jedoch eine laufende Wartung, wenn die Organisation neue Tools einführt.

TasksBoard und OAuth-Sicherheit

TasksBoard verwendet die offizielle Google Tasks API über OAuth und fordert nur Zugriff auf Google Tasks-Daten an. Es fordert keinen Zugriff auf Gmail-, Drive- oder Kalenderinhalte an. Wenn Sie TasksBoard Zugriff gewähren, kann es Ihre Google Tasks lesen und schreiben, sonst nichts. Dieser minimale Berechtigungsumfang folgt dem Prinzip der geringsten Rechte.

Überprüfen Sie bei der Bewertung jeder Drittanbieter-App für Google Workspace die angeforderten Berechtigungsumfänge, bevor Sie Zugriff gewähren. Eine App, die Zugriff auf alle Gmail-Daten anfordert, um die “Produktivität zu verbessern”, ist ein Warnsignal.

E-Mail-Sicherheit: Gmail-Schutzmaßnahmen

Gmail enthält mehrere Sicherheitsebenen, die Administratoren konfigurieren und stärken können.

Phishing- und Malware-Schutz

Aktivieren Sie in der Admin-Konsole unter Apps > Google Workspace > Gmail > Sicherheit:

  • Erweiterter Scan von Nachrichten vor der Zustellung: Zusätzlicher KI-gestützter Scan, bevor Nachrichten die Posteingänge der Benutzer erreichen.
  • Anhänge: Schutz vor Anhängen von nicht vertrauenswürdigen Absendern.
  • Links und externe Bilder: Identifizierung von Links hinter verkürzten URLs.
  • Spoofing und Authentifizierung: Schutz vor nicht authentifizierten E-Mails.

SPF, DKIM und DMARC konfigurieren

Diese E-Mail-Authentifizierungsstandards verifizieren, dass E-Mails, die von Ihrer Domain gesendet werden, tatsächlich von Ihren autorisierten Mailservern stammen.

  • SPF (Sender Policy Framework): Listet autorisierte sendende IP-Adressen in Ihrem DNS auf.
  • DKIM (DomainKeys Identified Mail): Fügt ausgehenden E-Mails eine kryptografische Signatur hinzu.
  • DMARC: Teilt empfangenden Mailservern mit, was mit E-Mails geschehen soll, die SPF/DKIM-Prüfungen nicht bestehen.

Google Workspace macht die DKIM-Konfiguration über die Admin-Konsole unkompliziert. DMARC erfordert einen DNS-Eintrag. Beginnen Sie mit einer p=none-Richtlinie, die nur überwacht, und wechseln Sie dann zu p=quarantine und schließlich zu p=reject, nachdem Sie überprüft haben, dass legitime E-Mails die Authentifizierung bestehen.

Sicheres LDAP und SSO

Stellen Sie bei Organisationen, die Secure LDAP oder SAML-basiertes Single Sign-On verwenden, sicher, dass Ihr SSO-Anbieter dieselben 2SV-Richtlinien wie Google Workspace durchsetzt. Das Umgehen von 2SV auf der SSO-Ebene eliminiert Ihre Google Workspace 2SV-Schutzmaßnahmen.

Endpunkt- und Mobilgeräteverwaltung

Jedes Gerät, das auf Google Workspace zugreift, ist ein potenzieller Angriffsvektor. Mit der Mobilgeräteverwaltung (MDM) können Administratoren Geräte steuern und löschen, die auf Organisationsdaten zugreifen.

Einfache vs. erweiterte Geräteverwaltung

Google Workspace beinhaltet eine einfache Geräteverwaltung ohne zusätzliche Kosten. Eine erweiterte Endpunktverwaltung ist in höherwertigen Tarifen verfügbar. Wichtige Funktionen:

Einfach (kostenlos):

  • Bildschirmsperre auf Mobilgeräten erzwingen.
  • Remote-Kontolöschung (entfernt Google Workspace-Daten ohne vollständiges Löschen des Geräts).
  • Geräteinventar.

Erweitert (kostenpflichtige Tarife):

  • Nur genehmigte Apps zulassen.
  • Zugriff von kompromittierten Geräten blockieren.
  • Funktion zum vollständigen Löschen des Geräts.
  • Anforderungen für Betriebssystem-Updates erzwingen.

Chromebook-Verwaltung

Organisationen, die Chromebooks verwenden, können diese über die Google Admin-Konsole mit granularen Richtlinien steuern, einschließlich der Blockierung von USB-Speichern, der Erzwingung von Verified Boot, der Einschränkung der App-Installation und der Festlegung von Netzwerkzugriffsrichtlinien.

Sicherheitsüberwachung und Reaktion auf Vorfälle

Security Center

Das Google Workspace Security Center (verfügbar in Business Plus und Enterprise) bietet ein Dashboard mit Sicherheitsmetriken, Warnungen und Untersuchungstools. Überwachen Sie:

  • Fehlgeschlagene Anmeldeversuche und verdächtige Anmeldungen.
  • Anomalien bei E-Mail- und Drive-Aktivitäten.
  • OAuth-Gewährungen von Drittanbieter-Apps.
  • Indikatoren für Datenexfiltration.

Richten Sie E-Mail-Benachrichtigungen für Sicherheitsereignisse mit hoher Priorität ein, damit das Administratorenteam umgehend informiert wird.

Alert Center

Das Alert Center in der Admin-Konsole aggregiert Sicherheitswarnungen aus dem gesamten Google Workspace, einschließlich Warnungen vor Kontokompromittierungen, Benachrichtigungen über staatlich unterstützte Angriffe, verdächtige Anmeldeaktivitäten und Phishing-Kampagnen, die auf Ihre Domain abzielen.

Überprüfen Sie das Alert Center regelmäßig und etablieren Sie einen Workflow für die Reaktion auf Vorfälle für häufige Warnungstypen.

Protokollaufbewahrung und Audit-Protokolle

Google Workspace generiert Audit-Protokolle für Administratoraktionen, Drive-Aktivitäten, Gmail-Aktivitäten und mehr. Diese Protokolle sind die Grundlage jeder Sicherheitsuntersuchung.

Bei den meisten Tarifen werden Audit-Protokolle 180 Tage lang aufbewahrt. Organisationen, die eine längere Aufbewahrung benötigen, sollten einen Export in Google Cloud Storage oder eine SIEM-Integration konfigurieren.

Best Practices für die Sicherheit der Endbenutzer

Administrative Kontrollen reichen nur bis zu einem gewissen Punkt. Das Sicherheitsverhalten der Mitarbeiter ist die andere Hälfte der Gleichung.

Regelmäßige Sicherheitsschulungen

Jährliche Sicherheitsschulungen sind für viele Branchen ein regulatorisches Minimum, aber die effektivsten Programme bieten fortlaufende, szenariobasierte Schulungen. Konzentrieren Sie sich auf die Erkennung von Phishing, sichere Dateifreigabepraktiken und Passwort-Hygiene.

Google stellt kostenlose Ressourcen für Sicherheitsschulungen über das Google Workspace Learning Center bereit, die Administratoren an Mitarbeiter weitergeben können.

Phishing-Simulation

Die Durchführung regelmäßiger Phishing-Simulationen (Senden gefälschter Phishing-E-Mails an Mitarbeiter, um zu sehen, wer klickt) liefert Daten darüber, welche Mitarbeiter oder Teams zusätzliche Schulungen benötigen. Dies ist am effektivsten als Lernwerkzeug, nicht als Strafmaßnahme.

Klare Richtlinien für den Datenumgang

Dokumentieren und kommunizieren Sie, welche Arten von Daten extern geteilt werden dürfen, welche nur internen Zugriff erfordern und welche Verschlüsselung oder zusätzliche Kontrollen benötigen. Ohne klare Richtlinien treffen Mitarbeiter inkonsistente Entscheidungen, die zu Sicherheitsrisiken führen.

Häufig gestellte Fragen

Was ist die wichtigste Sicherheitseinstellung in Google Workspace?

Die Durchsetzung der Bestätigung in zwei Schritten für alle Benutzer ist die Sicherheitsmaßnahme mit der größten Wirkung. Die Kontoübernahme ist der häufigste schwerwiegende Sicherheitsvorfall in Google Workspace-Umgebungen, und 2SV verhindert die überwiegende Mehrheit der auf Anmeldedaten basierenden Angriffe.

Wie sehe ich, welche Apps Zugriff auf mein Google Workspace haben?

Gehen Sie in der Admin-Konsole zu Sicherheit > Zugriff und Datenkontrolle > API-Steuerelemente > App-Zugriffssteuerung. Dies zeigt alle Drittanbieter-Apps mit OAuth-Zugriff auf die Daten Ihrer Organisation. Einzelne Benutzer können ihre persönlichen verbundenen Apps auch unter myaccount.google.com/permissions einsehen.

Kann Google Workspace HIPAA-konform sein?

Ja, bei korrekter Konfiguration. Google bietet eine Business Associate Agreement (BAA) für Google Workspace-Kunden an, die Gmail, Drive, Kalender und andere Kerndienste abdeckt. Sie müssen eine BAA mit Google abschließen und geeignete Kontrollen (Verschlüsselung, Zugriffskontrollen, Audit-Logging) konfigurieren, um die HIPAA-Anforderungen zu erfüllen.

Welchen Ansatz verfolgt Google Workspace bei der Datenverschlüsselung?

Google verschlüsselt Daten bei der Übertragung (TLS) und im Ruhezustand (AES 256-Bit). Für Organisationen, die vom Kunden verwaltete Verschlüsselungsschlüssel benötigen, bietet Google Workspace in den Tarifen Enterprise und Education Plus eine clientseitige Verschlüsselung (CSE) an, mit der Sie Daten vor dem Erreichen der Google-Server mit Schlüsseln verschlüsseln können, die Sie selbst kontrollieren.

Wie verhindere ich versehentliche Datenlecks in Google Drive?

Die primären Kontrollen sind: Einschränkung der externen Freigabeeinstellungen in der Admin-Konsole, Implementierung von DLP-Regeln zur Kennzeichnung sensibler Datenmuster und Schulung der Benutzer zu Best Practices bei der Freigabe. Für Organisationen mit hoher Sensibilität eliminiert die Anforderung, dass die Link-Freigabe auf bestimmte Personen statt auf “jeden mit dem Link” eingestellt werden muss, den häufigsten Vektor für versehentliche Offenlegungen.

Wie geht TasksBoard mit der Sicherheit von Google Workspace um?

TasksBoard greift nur auf Google Tasks zu. Es fordert keinen Zugriff auf Gmail, Google Drive oder einen anderen Google Workspace-Dienst außer Aufgaben an. TasksBoard verwendet OAuth 2.0 zur Authentifizierung, was bedeutet, dass es niemals Ihr Google-Passwort empfängt oder speichert. Sie können den Zugriff von TasksBoard jederzeit über die Sicherheitseinstellungen Ihres Google-Kontos unter myaccount.google.com/permissions überprüfen und widerrufen.

Aufbau eines Sicherheitsprogramms, nicht nur einer Konfiguration

Die widerstandsfähigste Sicherheitslage in Google Workspace ist keine einmalige Konfiguration. Es ist ein lebendiges Programm mit regelmäßigen Überprüfungen, fortlaufender Benutzerschulung und klaren Prozessen für die Reaktion auf Vorfälle.

Beginnen Sie mit den Kontrollen mit hoher Priorität: Erzwingen Sie die Bestätigung in zwei Schritten, prüfen Sie Super-Admin-Konten, überprüfen Sie die Einstellungen für externe Freigaben und konfigurieren Sie die E-Mail-Authentifizierung (SPF/DKIM/DMARC). Arbeiten Sie dann systematisch die Kontrollen mit niedrigerer Priorität ab.

Sicherheit ist am effektivsten, wenn sie dem Risikoprofil Ihrer Organisation entspricht. Ein Startup mit zehn Mitarbeitern hat andere Bedürfnisse als ein Gesundheitsdienstleister oder ein Finanzdienstleistungsunternehmen. Verwenden Sie diesen Leitfaden als Rahmen und passen Sie die Strenge jeder Kontrolle an das an, was für Ihre Organisation tatsächlich auf dem Spiel steht.

Weitere Informationen zu Funktionen und Möglichkeiten von Google Workspace finden Sie im Google Workspace-Tutorial.

Bereit, Ihre Google Tasks zu teilen?

Starten Sie kostenlos mit TasksBoard, keine Kreditkarte erforderlich.

Anmelden

Mehr aus Google-Ökosystem

Wiederkehrende Aufgaben in Google Tasks: Einschränkungen und die besten Lösungen

Wiederkehrende Aufgaben in Google Tasks: Einschränkungen und die besten Lösungen

Google Tasks unterstützt von Haus aus keine wiederkehrenden Aufgaben. Dieser Leitfaden zeigt alle verfügbaren Lösungen, von Google Calendar bis hin zu TasksBoard, damit keine wiederkehrende Arbeit mehr untergeht.

Google Tasks offline: So arbeiten Sie ohne Internet weiter

Google Tasks offline: So arbeiten Sie ohne Internet weiter

Erfahren Sie, wie Google Tasks offline auf Android, iOS und dem Desktop funktioniert. Lernen Sie, was automatisch synchronisiert wird, worauf Sie achten müssen und wie TasksBoard den Offline-Zugriff für Teams erweitert.

Google Tasks Export: So sichern, verschieben und teilen Sie Ihre Listen

Google Tasks Export: So sichern, verschieben und teilen Sie Ihre Listen

Erfahren Sie, wie Sie Google Tasks in CSV, Excel oder ein anderes Konto exportieren. Schritt-für-Schritt-Methoden zur Sicherung, hilfreiche Workarounds und wie TasksBoard Ihre Listen schützt.