Inhaltsverzeichnis
Zurück zum Blog
Google WorkspaceSicherheitGoogle AdminDatenschutzIT-Sicherheit

Google Workspace-Sicherheit: Best Practices für 2026

TasksBoard Team
TasksBoard Team
Google Workspace-Sicherheit: Best Practices für 2026

Google Workspace ist das Rückgrat der Produktivität für Millionen von Unternehmen – E-Mail, Dokumente, Kalender, Videokonferenzen und Aufgabenverwaltung laufen über eine einzige Plattform. Diese Zentralisierung bietet enormen Komfort. Sie schafft jedoch auch ein konzentriertes Ziel für Angreifer, versehentliche Datenfreigaben und interne Risiken.

Die Sicherheit von Google Workspace ist keine einmalige Konfiguration. Es ist ein fortlaufender Prozess, der Administratorenkontrollen, das Verhalten der Endbenutzer, Integrationen von Drittanbietern und organisatorische Richtlinien umfasst. Dieser Leitfaden behandelt die wichtigsten Sicherheitspraktiken für 2026, gegliedert nach der jeweiligen Kontrollebene.

Warum die Sicherheit von Google Workspace ernsthafte Aufmerksamkeit verdient

Google investiert massiv in die Infrastruktur-Sicherheit – Verschlüsselung bei der Übertragung und im Ruhezustand, physisch gesicherte Rechenzentren und kontinuierliche Bedrohungserkennung. Was Google jedoch nicht vollständig schützen kann, ist die Art und Weise, wie Ihr Unternehmen die Plattform konfiguriert und nutzt.

Die häufigsten Sicherheitsvorfälle in Google Workspace sind keine Angriffe auf die Infrastruktur von Google. Es handelt sich um:

  • Kontoübernahme durch Phishing – ein Angreifer bringt einen Mitarbeiter dazu, Anmeldedaten auf einer gefälschten Login-Seite einzugeben.
  • Überprivilegierte OAuth-Apps – eine Drittanbieter-App, der Zugriff auf Google Drive oder Gmail gewährt wurde und die später bösartig wird oder von einem unseriösen Unternehmen übernommen wird.
  • Versehentliche Freigabe – ein sensibles Dokument wird für „jeden mit dem Link“ freigegeben, anstatt für bestimmte Personen.
  • Schwache oder wiederverwendete Passwörter – insbesondere bei Konten ohne Bestätigung in zwei Schritten.
  • Kompromittierte Administratorenkonten – die Konten mit dem höchsten Risiko in jeder Google Workspace-Organisation.

Für jeden dieser Punkte gibt es klare Gegenmaßnahmen. Die Herausforderung besteht darin, diese konsequent umzusetzen.

Admin-Konsole: Das Fundament der Google Workspace-Sicherheit

Die Google Admin-Konsole ist der Ort, an dem die Sicherheitskonfiguration der Organisation verwaltet wird. Jede hier beschriebene Best Practice erfordert Administratorzugriff zur Implementierung.

Bestätigung in zwei Schritten erzwingen

Die Bestätigung in zwei Schritten (2SV) ist die wirkungsvollste Sicherheitskontrolle in Google Workspace. Sie erfordert neben dem Passwort einen zweiten Faktor – einen Code, einen Sicherheitsschlüssel oder biometrische Daten. Selbst wenn ein Angreifer das Passwort eines Benutzers erhält, kann er ohne den zweiten Faktor nicht auf das Konto zugreifen.

So erzwingen Sie dies:

  1. Gehen Sie in der Admin-Konsole zu Sicherheit > Authentifizierung > Bestätigung in zwei Schritten.
  2. Aktivieren Sie die Erzwingung für alle Benutzer (nicht nur optional).
  3. Legen Sie eine Kulanzfrist (7–30 Tage) fest, damit Benutzer sich registrieren können, bevor die Richtlinie in Kraft tritt.
  4. Erwägen Sie die Anforderung von Hardware-Sicherheitsschlüsseln (FIDO2/WebAuthn) für Konten mit hohen Privilegien, wie z. B. Administratoren.

Für maximalen Schutz sind Hardware-Sicherheitsschlüssel deutlich phishing-resistenter als SMS-Codes oder Authenticator-Apps. Eigene Untersuchungen von Google ergaben, dass Hardware-Schlüssel 100 % der automatisierten Bot-Angriffe, 99 % der Massen-Phishing-Angriffe und 90 % der gezielten Angriffe blockierten.

Starke Passwörter verlangen

Legen Sie eine Mindestlänge von mindestens 12 Zeichen fest und erzwingen Sie eine Historie zur Vermeidung der Wiederverwendung (blockieren Sie die letzten 10 Passwörter). Kombinieren Sie dies mit der Erkennung geleakter Anmeldedaten (ähnlich wie bei Have I Been Pwned), die Google im Security Center integriert hat.

Super-Admin-Konten prüfen

Super-Admin-Konten haben uneingeschränkten Zugriff auf alle Daten und Einstellungen in Ihrer Google Workspace-Organisation. Best Practices:

  • Behalten Sie nicht mehr als 2–4 Super-Admin-Konten bei.
  • Verwenden Sie Super-Admin-Konten niemals für die tägliche Arbeit – erstellen Sie separate Administratorenkonten für routinemäßige administrative Aufgaben.
  • Aktivieren Sie Login-Herausforderungen und verlangen Sie Hardware-Sicherheitsschlüssel für alle Super-Admin-Konten.
  • Überprüfen Sie die Liste der Super-Admins vierteljährlich.

Schutz von Benutzerdaten: Freigabe und DLP

Einstellungen für externe Freigaben prüfen

Die Standardeinstellungen für die Freigabe in Google Drive erlauben es Benutzern, Dateien für jeden mit dem Link freizugeben, einschließlich Personen außerhalb der Organisation. Für die meisten Unternehmen ist dies zu freizügig.

Überprüfen Sie in der Admin-Konsole:

  • Drive und Docs > Freigabeeinstellungen > Freigabe außerhalb [Ihrer Domain] – beschränken Sie dies auf bestimmte vertrauenswürdige Domains oder deaktivieren Sie die externe Freigabe für sensible Organisationseinheiten vollständig.
  • Deaktivieren Sie die Link-Freigabe für „jeden“ für Organisationseinheiten, die mit sensiblen Daten arbeiten.

Data Loss Prevention (DLP)

DLP-Regeln in Google Workspace scannen ausgehende E-Mails und Drive-Dateifreigaben automatisch auf sensible Datenmuster – Kreditkartennummern, Sozialversicherungsnummern, nationale ID-Nummern oder von Ihnen definierte benutzerdefinierte Muster.

Wenn DLP ein sensibles Muster erkennt, kann es die Freigabe blockieren, den Benutzer warnen oder den Administrator benachrichtigen. DLP ist in den Tarifen Business Plus, Enterprise und Education Plus verfügbar.

Wichtige DLP-Regeln zur Konfiguration:

  • Blockieren Sie die externe Freigabe von Drive-Dateien, die Kreditkartennummern enthalten.
  • Warnen Sie vor dem Senden von E-Mails, die bestimmte Schlüsselwörter enthalten (vertraulich, proprietär, PII).
  • Stellen Sie Gmail-Nachrichten mit verdächtigen Dateianhängen unter Quarantäne.

Vault für Aufbewahrung und eDiscovery

Mit Google Vault können Administratoren Aufbewahrungsregeln für Gmail, Drive, Chat und Meet festlegen. Dies stellt sicher, dass Daten für den erforderlichen Zeitraum aufbewahrt werden, selbst wenn Benutzer sie löschen, was für rechtliche und regulatorische Anforderungen wichtig ist.

Für Unternehmen, die der DSGVO, HIPAA oder Finanzvorschriften unterliegen, ist Vault eine unverzichtbare Infrastruktur und kein optionales Add-on.

Verwaltung von Drittanbieter-App-Zugriffen

Drittanbieter-Apps, die sich über OAuth mit Google Workspace verbinden, sind eines der am meisten unterschätzten Sicherheitsrisiken. Jedes Mal, wenn ein Benutzer auf „Mit Google anmelden“ klickt und Berechtigungen erteilt, erhält diese App dauerhaften Zugriff auf die gewährten Daten – bis der Benutzer dies manuell widerruft.

Verbundene Apps prüfen

Gehen Sie in der Admin-Konsole zu Sicherheit > Zugriff und Datenkontrolle > API-Steuerung > App-Zugriffssteuerung, um alle Drittanbieter-Apps zu sehen, denen OAuth-Zugriff auf die Google Workspace-Daten Ihrer Organisation gewährt wurde.

Überprüfen Sie diese Liste auf:

  • Apps, die umfassendere Berechtigungen anfordern, als für ihre Funktion erforderlich sind.
  • Apps von Anbietern, die Ihre Organisation nicht mehr nutzt.
  • Apps, die derzeit von keinem Benutzer verwendet werden.
  • Apps, die veraltet sind oder deren Anbieter übernommen wurden.

Zugriff von Drittanbieter-Apps einschränken

Für sicherheitskritische Unternehmen können Sie einschränken, welche Drittanbieter-Apps sich überhaupt mit Google Workspace verbinden dürfen. Zwei Optionen:

  1. Allowlist-Modus – nur Apps, die explizit vom Administrator genehmigt wurden, können eine Verbindung herstellen.
  2. Nicht verifizierte Apps einschränken – nur Apps, die den OAuth-Verifizierungsprozess von Google abgeschlossen haben, können sensible Bereiche anfordern.

Der Allowlist-Ansatz bietet den stärksten Schutz, erfordert jedoch eine laufende Wartung, wenn das Unternehmen neue Tools einführt.

TasksBoard und OAuth-Sicherheit

TasksBoard verwendet die offizielle Google Tasks API über OAuth und fordert nur Zugriff auf Google Tasks-Daten an – es fordert keinen Zugriff auf Gmail-, Drive- oder Kalenderinhalte an. Wenn Sie TasksBoard Zugriff gewähren, kann es Ihre Google Tasks lesen und schreiben, sonst nichts. Dieser minimale Berechtigungsumfang folgt dem Prinzip der geringsten Rechte.

Wenn Sie eine Drittanbieter-App für Google Workspace bewerten, prüfen Sie die angeforderten Berechtigungsumfänge, bevor Sie Zugriff gewähren. Eine App, die Zugriff auf alle Gmail-Daten anfordert, um die „Produktivität zu verbessern“, ist ein Warnsignal.

E-Mail-Sicherheit: Gmail-Schutzmaßnahmen

Gmail enthält mehrere Sicherheitsebenen, die Administratoren konfigurieren und stärken können.

Phishing- und Malware-Schutz

Aktivieren Sie in der Admin-Konsole unter Apps > Google Workspace > Gmail > Sicherheit:

  • Erweiterte Scan-Funktionen für Nachrichten vor der Zustellung – zusätzlicher KI-gestützter Scan, bevor Nachrichten die Posteingänge der Benutzer erreichen.
  • Anhänge: Schutz vor Anhängen von nicht vertrauenswürdigen Absendern.
  • Links und externe Bilder: Identifizierung von Links hinter verkürzten URLs.
  • Spoofing und Authentifizierung: Schutz vor nicht authentifizierten E-Mails.

SPF, DKIM und DMARC konfigurieren

Diese E-Mail-Authentifizierungsstandards verifizieren, dass E-Mails, die von Ihrer Domain gesendet werden, tatsächlich von Ihren autorisierten Mailservern stammen.

  • SPF (Sender Policy Framework) – listet autorisierte IP-Adressen für den Versand in Ihrem DNS auf.
  • DKIM (DomainKeys Identified Mail) – fügt ausgehenden E-Mails eine kryptografische Signatur hinzu.
  • DMARC – weist empfangende Mailserver an, was mit E-Mails geschehen soll, die SPF/DKIM-Prüfungen nicht bestehen.

Google Workspace macht die DKIM-Konfiguration über die Admin-Konsole unkompliziert. DMARC erfordert einen DNS-Eintrag. Beginnen Sie mit einer p=none-Richtlinie, die nur überwacht, und wechseln Sie dann zu p=quarantine und schließlich zu p=reject, nachdem Sie verifiziert haben, dass legitime E-Mails die Authentifizierung bestehen.

Sicheres LDAP und SSO

Stellen Sie bei Unternehmen, die Secure LDAP oder SAML-basiertes Single Sign-On (SSO) verwenden, sicher, dass Ihr SSO-Anbieter dieselben 2SV-Richtlinien wie Google Workspace erzwingt. Das Umgehen von 2SV auf der SSO-Ebene hebt Ihre Google Workspace 2SV-Schutzmaßnahmen auf.

Endpunkt- und Mobilgeräteverwaltung

Jedes Gerät, das auf Google Workspace zugreift, ist ein potenzieller Angriffsvektor. Mit der Mobilgeräteverwaltung (MDM) können Administratoren Geräte steuern und löschen, die auf Unternehmensdaten zugreifen.

Basis- vs. erweiterte Geräteverwaltung

Google Workspace beinhaltet eine grundlegende Geräteverwaltung ohne zusätzliche Kosten. Eine erweiterte Endpunktverwaltung ist in höheren Tarifen verfügbar. Wichtige Funktionen:

Basis (kostenlos):

  • Bildschirmsperre auf Mobilgeräten erforderlich.
  • Remote-Kontolöschung (entfernt Google Workspace-Daten ohne vollständiges Löschen des Geräts).
  • Geräteinventar.

Erweitert (kostenpflichtige Tarife):

  • Nur genehmigte Apps zulassen.
  • Zugriff von kompromittierten Geräten blockieren.
  • Funktion zum vollständigen Löschen des Geräts.
  • Anforderungen für Betriebssystem-Updates erzwingen.

Chromebook-Verwaltung

Unternehmen, die Chromebooks verwenden, können diese über die Google Admin-Konsole mit granularen Richtlinien steuern – USB-Speicher blockieren, verifizierten Bootvorgang erzwingen, App-Installationen einschränken und Netzwerkzugriffsrichtlinien festlegen.

Sicherheitsüberwachung und Reaktion auf Vorfälle

Security Center

Das Google Workspace Security Center (verfügbar in Business Plus und Enterprise) bietet ein Dashboard mit Sicherheitskennzahlen, Warnungen und Untersuchungstools. Überwachen Sie:

  • Fehlgeschlagene Anmeldeversuche und verdächtige Anmeldungen.
  • Anomalien bei E-Mail- und Drive-Aktivitäten.
  • OAuth-Berechtigungen von Drittanbieter-Apps.
  • Indikatoren für Datenabfluss.

Richten Sie E-Mail-Benachrichtigungen für sicherheitsrelevante Ereignisse mit hoher Priorität ein, damit das Administratorenteam umgehend informiert wird.

Alert Center

Das Alert Center in der Admin-Konsole aggregiert Sicherheitswarnungen aus dem gesamten Google Workspace – Warnungen vor Kontokompromittierungen, Benachrichtigungen über staatlich unterstützte Angriffe, verdächtige Anmeldeaktivitäten und Phishing-Kampagnen, die auf Ihre Domain abzielen.

Überprüfen Sie das Alert Center regelmäßig und etablieren Sie einen Workflow zur Reaktion auf Vorfälle für häufige Warnungstypen.

Protokollaufbewahrung und Audit-Protokolle

Google Workspace generiert Audit-Protokolle für Administratoraktionen, Drive-Aktivitäten, Gmail-Aktivitäten und mehr. Diese Protokolle sind die Grundlage für jede Sicherheitsuntersuchung.

Bei den meisten Tarifen werden Audit-Protokolle 180 Tage lang aufbewahrt. Unternehmen, die eine längere Aufbewahrungsdauer benötigen, sollten einen Export in Google Cloud Storage oder eine SIEM-Integration konfigurieren.

Best Practices für Endbenutzer

Administrative Kontrollen reichen nur bis zu einem gewissen Punkt. Das Sicherheitsverhalten der Mitarbeiter ist die andere Hälfte der Gleichung.

Regelmäßige Sicherheitsschulungen

Jährliche Sicherheitsschulungen sind für viele Branchen ein regulatorisches Minimum, aber die effektivsten Programme bieten fortlaufende, szenariobasierte Schulungen. Konzentrieren Sie sich auf die Erkennung von Phishing, sichere Praktiken bei der Dateifreigabe und Passwort-Hygiene.

Google stellt kostenlose Ressourcen für Sicherheitsschulungen über das Google Workspace Learning Center bereit, die Administratoren an Mitarbeiter weitergeben können.

Phishing-Simulation

Die Durchführung regelmäßiger Phishing-Simulationen – das Versenden gefälschter Phishing-E-Mails an Mitarbeiter, um zu sehen, wer darauf klickt – liefert Daten darüber, welche Mitarbeiter oder Teams zusätzliche Schulungen benötigen. Dies ist am effektivsten als Lernwerkzeug, nicht als Strafmaßnahme.

Klare Richtlinien für den Umgang mit Daten

Dokumentieren und kommunizieren Sie, welche Arten von Daten extern geteilt werden dürfen, welche nur internen Zugriff erfordern und welche Verschlüsselung oder zusätzliche Kontrollen benötigen. Ohne klare Richtlinien treffen Mitarbeiter inkonsistente Entscheidungen, die Sicherheitslücken schaffen.

Häufig gestellte Fragen

Was ist die wichtigste Sicherheitseinstellung in Google Workspace?

Die Erzwingung der Bestätigung in zwei Schritten für alle Benutzer ist die wirkungsvollste Sicherheitskontrolle. Die Kontoübernahme ist der häufigste schwerwiegende Sicherheitsvorfall in Google Workspace-Umgebungen, und 2SV verhindert die überwiegende Mehrheit der auf Anmeldedaten basierenden Angriffe.

Wie sehe ich, welche Apps Zugriff auf mein Google Workspace haben?

Gehen Sie in der Admin-Konsole zu Sicherheit > Zugriff und Datenkontrolle > API-Steuerung > App-Zugriffssteuerung. Dies zeigt alle Drittanbieter-Apps mit OAuth-Zugriff auf die Daten Ihrer Organisation. Einzelne Benutzer können ihre persönlichen verbundenen Apps auch unter myaccount.google.com/permissions einsehen.

Kann Google Workspace HIPAA-konform sein?

Ja, bei korrekter Konfiguration. Google bietet eine Business Associate Agreement (BAA) für Google Workspace-Kunden an, die Gmail, Drive, Kalender und andere Kerndienste abdeckt. Sie müssen eine BAA mit Google abschließen und entsprechende Kontrollen (Verschlüsselung, Zugriffskontrollen, Audit-Protokollierung) konfigurieren, um die HIPAA-Anforderungen zu erfüllen.

Wie geht Google Workspace mit Datenverschlüsselung um?

Google verschlüsselt Daten bei der Übertragung (TLS) und im Ruhezustand (AES 256-Bit). Für Unternehmen, die vom Kunden verwaltete Verschlüsselungsschlüssel benötigen, bietet Google Workspace in den Tarifen Enterprise und Education Plus eine clientseitige Verschlüsselung (CSE) an, mit der Sie Daten mit von Ihnen kontrollierten Schlüsseln verschlüsseln können, bevor sie die Server von Google erreichen.

Wie verhindere ich versehentliche Datenlecks in Google Drive?

Die primären Kontrollen sind: Einschränkung der externen Freigabeeinstellungen in der Admin-Konsole, Implementierung von DLP-Regeln zur Kennzeichnung sensibler Datenmuster und Schulung der Benutzer in Best Practices für die Freigabe. Für hochsensible Unternehmen eliminiert die Anforderung, dass die Link-Freigabe auf bestimmte Personen statt auf „jeden mit dem Link“ eingestellt werden muss, den häufigsten Vektor für versehentliche Offenlegungen.

Wie geht TasksBoard mit der Sicherheit von Google Workspace um?

TasksBoard greift nur auf Google Tasks zu – es fordert keinen Zugriff auf Gmail, Google Drive oder andere Google Workspace-Dienste über Aufgaben hinaus an. TasksBoard verwendet OAuth 2.0 zur Authentifizierung, was bedeutet, dass es niemals Ihr Google-Passwort erhält oder speichert. Sie können den Zugriff von TasksBoard jederzeit über die Sicherheitseinstellungen Ihres Google-Kontos unter myaccount.google.com/permissions überprüfen und widerrufen.

Aufbau eines Sicherheitsprogramms, nicht nur einer Konfiguration

Die widerstandsfähigste Sicherheitslage in Google Workspace ist keine einmalige Konfiguration – es ist ein lebendiges Programm mit regelmäßigen Überprüfungen, fortlaufender Benutzerschulung und klaren Prozessen zur Reaktion auf Vorfälle.

Beginnen Sie mit den Kontrollen mit hoher Priorität: Erzwingen Sie die Bestätigung in zwei Schritten, prüfen Sie Super-Admin-Konten, überprüfen Sie die Einstellungen für externe Freigaben und konfigurieren Sie die E-Mail-Authentifizierung (SPF/DKIM/DMARC). Arbeiten Sie dann systematisch die Kontrollen mit niedrigerer Priorität ab.

Sicherheit ist am effektivsten, wenn sie dem Risikoprofil Ihres Unternehmens angemessen ist. Ein Startup mit zehn Mitarbeitern hat andere Bedürfnisse als ein Gesundheitsdienstleister oder ein Finanzdienstleistungsunternehmen. Nutzen Sie diesen Leitfaden als Rahmenwerk und passen Sie die Strenge jeder Kontrolle an das an, was für Ihr Unternehmen tatsächlich auf dem Spiel steht.

Weitere Informationen zu Funktionen und Möglichkeiten von Google Workspace finden Sie im Google Workspace-Tutorial.

Bereit, Ihre Google Tasks zu teilen?

Starten Sie kostenlos mit TasksBoard, keine Kreditkarte erforderlich.

Anmelden

Mehr aus Google-Ökosystem

Google Calendar Widget: So fügen Sie es 2026 hinzu und passen es an

Google Calendar Widget: So fügen Sie es 2026 hinzu und passen es an

Erfahren Sie, wie Sie ein Google Calendar Widget auf Android, iOS, dem Desktop und in Chrome hinzufügen. Schritt-für-Schritt-Anleitung, um Ihren Zeitplan im Blick zu behalten, ohne die App öffnen zu müssen.

Google Workspace Tutorial: Leitfaden für den Einstieg 2026

Google Workspace Tutorial: Leitfaden für den Einstieg 2026

Ein vollständiges Google Workspace Tutorial für Anfänger und neue Teams im Jahr 2026. Lernen Sie Schritt für Schritt, wie Sie Gmail, Google Drive, Calendar, Meet und Google Tasks einrichten.