Google Workspace Security Hardening: Für Unternehmen und KMU

Google Workspace (frueheres G Suite) ist die zweite grosse Cloud-Kollaborationsplattform nach Microsoft 365 - und wie M365 enthalt es ausgezeichnete Sicherheitstools die aber aktiv konfiguriert werden müssen. Viele Unternehmen nutzen Google Workspace mit Standardeinstellungen, die auf Komfort, nicht auf Sicherheit optimiert sind.

Google Workspace Security Health

Ausgangspunkt: Admin-Konsole → Sicherheit → Sicherheits-Dashboard

Wichtigste Sicherheitsindikatoren

1. Benutzer ohne 2-Step Verification (2SV)

• Ziel: 0% der Nutzer ohne 2SV
• Problem: Standardmaessig optional, nicht erzwungen

2. Externe Dateifreigaben

• Risiko: Jeder Link mit Link-Freigabe = potenzielles Datenleck
• Ziel: Alle sensiblen Dateien auf “Nur bestimmte Personen” oder Domain-intern setzen

3. Drittanbieter-Apps mit Zugriff auf Google-Daten

• Risiko: OAuth-Apps mit Zugriff auf Gmail, Drive, Calendar
• Ziel: Regelmäßige Überprüfung und Sperrung unnötiger Apps

4. Admin-Konten: Anzahl und 2SV-Status

• Ziel: weniger als 5 Super Admins, alle mit Hardware-Sicherheitsschlüssel

2-Step Verification (2SV) erzwingen

Schrittweise Einführung

Schritt 1: Enrollment-Periode (1-2 Wochen)

Admin-Konsole → Sicherheit → 2-Step Verification → “Zulassen, dass Nutzer 2-Step Verification aktivieren” (ist Standard) → Kommunikation: E-Mail an alle Nutzer, Deadline mitteilen

Schritt 2: Erzwingen aktivieren

“Erzwingen” einschalten → Enrolled Users: ab sofort Pflicht → Nicht-enrolled Users: 2SV-Einrichtung beim nächsten Login erzwingen

2SV-Methoden (nach Sicherheit)

1. Hardware-Sicherheitsschlüssel (YubiKey, Titan Key) - BESTE WAHL

   • Phishing-resistent! Kein Token kann abgefangen werden
   • Pflicht für: alle Admins, privilegierte Nutzer

2. Google Authenticator / Time-based TOTP - GUT

   • Sicherer als SMS, aber nicht phishing-resistent

3. Google Prompt auf Smartphone - AKZEPTABEL

   • Bequem, aber anfällig für Echtzeit-Phishing (“approve this login?”)

4. SMS - NICHT EMPFOHLEN

   • SIM-Swapping möglich, NIST-Empfehlung: vermeiden

Hardwarekey-Pflicht für kritische Nutzer:

Admin-Konsole → Nutzer → [Admin-User] → Sicherheit → 2-Step Verification → “Sicherheitsschlüssel erforderlich” aktivieren

Context-Aware Access (Zero Trust)

Verfügbar für Google Workspace Enterprise / Business Plus

Context-Aware Access (CAA) ermöglicht bedingte Zugriffsregeln ähnlich wie Conditional Access in Microsoft Entra.

Beispiel-Policy 1: Nur firmeneigene Geräte können auf Gmail zugreifen

• Bedingung: Gerät muss in Endpoint-Verwaltung eingetragen sein
• Aktion: Zugriff blockieren für unverwaltete Geräte
• Ausnahme: Mobile Apps mit Managed Google Account

Beispiel-Policy 2: Zugriff auf sensible Drive-Ordner nur aus Deutschland

• Bedingung: IP-Land != DE
• Aktion: Zugriff verweigern (oder MFA erneut anfordern)

Beispiel-Policy 3: Risikobasierter Zugriff

• Bedingung: Gerätesicherheits-Score < 50 (nicht geupdatetes OS, kein Passcode)
• Aktion: Nur Lese-Zugriff auf Drive

Konfiguration: admin.google.com → Sicherheit → Kontextsensitiver Zugriff

Gmail Sicherheitseinstellungen

SPF/DKIM/DMARC (absolut notwendig)

# SPF: TXT Record für google.com-Mail-Server
v=spf1 include:_spf.google.com ~all

# DMARC: DNS TXT:
_dmarc.firma.de: "v=DMARC1; p=reject; rua=mailto:dmarc@firma.de"

Hinweis: p=reject erst setzen wenn SPF+DKIM einwandfrei laufen!

DKIM einrichten:

Admin-Konsole → Apps → Google Workspace → Gmail → Authentifizierung → DKIM-Schlüssel generieren und DNS-Record setzen

Erweiterte Phishing-Einstellungen

Admin-Konsole → Apps → Google Workspace → Gmail → Sicherheit

• “Zusätzliche Sicherheitsprüfungen für Authentifizierungsanforderungen aktivieren”
• “Spoof-Warnung aktivieren”
• “Aktionen für potenziell schädliche Anlagen automatisch aktivieren”
• “Schutz vor anormalen Anhangtypen aktivieren” (exe, js, lnk, etc.)

Externe Weiterleitungen blockieren

Admin-Konsole → Apps → Google Workspace → Gmail → Routing → Routing-Regel: Automatische Weiterleitungen an externe Adressen blockieren

Hinweis: Nutzer können eigene Weiterleitungen oft noch konfigurieren! → Zusätzlich: Richtlinie in Nutzergruppen verbieten

Sandbox für verdächtige Anhange (Enterprise)

• Google Security Sandbox analysiert Anhange in virtueller Umgebung
• Verzögerung der Zustellung: ca. 5-10 Minuten für verdächtige Dateien

Konfiguration: Gmail → Sicherheit → Sandbox

Google Drive: Freigaben kontrollieren

Problem-Muster

• Nutzer teilt sensible Datei mit “Jeder, der den Link hat”
• Link landet in E-Mail, Slack, bei externen Partnern
• Google-Indexierung möglich (seltener, aber belegt)

Massnahmen

1. Link-Freigabe einschränken

Admin-Konsole → Apps → Google Drive → Freigabeeinstellungen → “Personen ausserhalb [Domain]” auf “Deaktiviert” oder “Warnung anzeigen” → “Veröffentlichen im Web” deaktivieren

2. DLP-Regeln (Data Loss Prevention)

Admin-Konsole → Regeln → Regeln erstellen

• Erkennt: Kreditkartennummern, DE-Ausweisnummern, IBAN in geteilten Docs
• Aktion: Sharing sperren + Nutzer benachrichtigen + Alert an Admin

3. Drive-Audit: alle extern geteilten Dateien

Reports → Drive-Datenexport → Filter: “Freigabezugriff: Extern”

• Regelmäßige Überprüfung (monatlich)
• Automatisierung: Google Apps Script oder Workspace Events API

4. Geteilte Laufwerke (Shared Drives) für Teams

• Dateien gehören der Organisation, nicht Einzelpersonen
• Wenn Mitarbeiter das Unternehmen verlässt: Dateien bleiben erhalten
• Feingranulare Zugriffssteuerung: Viewer, Commenter, Contributor, Manager

Offboarding-Checkliste

• Konto deaktivieren (nicht sofort löschen → 30 Tage Aufbewahrung)
• Drive-Dateien auf Manager übertragen (Admin-Konsole → Daten übertragen)
• Geteilte Laufwerke: Zugriff entziehen
• Externe Freigaben des Nutzers: prüfen und ggf. widerrufen
• OAuth-Apps: Zugriffstoken widerrufen

Audit-Logs und Compliance

Wichtige Audit-Events

Admin-Konsole → Reports → Audit-Protokoll

• Admin: Wer hat Admin-Einstellungen geändert?
• Login: Fehlgeschlagene Anmeldeversuche, neue Geräte
• Drive: Datei-Zugriff, externe Freigaben, grosse Downloads
• Gmail: gesendete E-Mails, weiterleitende Filter
• Token: OAuth-Apps die Zugriff erhalten haben

Retention

• Standard: 6 Monate
• Google Vault (erfordert Vault-Addon): unbegrenzte Aufbewahrung für eDiscovery

Export für SIEM

Methode	Beschreibung
BigQuery	Logs in Google BigQuery streamen (günstig für grosse Mengen)
Pub/Sub	Echtzeit-Streaming in SIEM (Splunk, Elastic, Microsoft Sentinel)

Konfiguration: Admin-Konsole → Reports → Daten-Export konfigurieren

Google Workspace Security ist ein iterativer Prozess - beginnen Sie mit den Grundlagen (2SV-Erzwingung, DMARC, Drive-Freigaben einschränken) und arbeiten Sie sich dann zu kontextsensitivem Zugriff und DLP-Regeln vor. AWARE7 unterstützt bei Google Workspace Security Reviews und der Konfiguration DSGVO-konformer Datenrichtlinien.