Google Workspace hebt die Sicherheit seiner Plattform auf ein neues Niveau und macht die 2-Schritt-Verifizierung (2SV) für alle Super-Admin-Konten verpflichtend. Die Umstellung läuft schrittweise im Laufe des Jahres 2024 und verpflichtet Super-Admins, 2SV für ihre Konten einzurichten. Den Anfang machen Organisationen mit Enterprise-Editionen von Google Workspace, anschließend werden nach und nach alle übrigen Google Workspace Editionen einbezogen.
Die 2-Schritt-Verifizierung (2SV) – auch als Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) bekannt – bildet eine zusätzliche Sicherheitsebene und verlangt beim Anmelden zwei Identitätsnachweise. Neben dem Kontopasswort ist also ein zweites Verifizierungsmerkmal nötig, um die Anmeldung abzuschließen. Dieser zweite Faktor kann ein Sicherheitsschlüssel (am sichersten), eine Aufforderung im Google Authenticator oder ein per Anruf bzw. SMS empfangener Bestätigungscode sein (gilt als weniger sicher).
Die Umstellung ist ein wichtiger Schritt, um Super-Admin-Konten besser abzusichern und Angreifern die Kompromittierung deutlich zu erschweren. Sicherheitsbewusste Anwender werden die Neuerung begrüßen – für Organisationen, die noch ihre Dienstkonten absichern müssen, kann sie jedoch zur Herausforderung werden. Wichtig: Die Änderung betrifft ausschließlich Super-Admin-Konten. Delegierte Administratoren und reguläre Nutzer sind von der 2SV-Pflicht durch Google nicht betroffen. Super-Admins erhalten 60 Tage vor der verpflichtenden Durchsetzung Benachrichtigungen zur Aktivierung der 2-Schritt-Verifizierung sowie bei jeder Anmeldung in Google-Diensten eine Erinnerung, 2SV bis zum genannten Stichtag einzurichten. Wachsamkeit ist hier entscheidend: Diese Anmeldehinweise können leicht übersehen werden, wenn Super-Admin-Konten nur selten genutzt werden. Zusätzlich geht 30 Tage vor der Durchsetzung eine weitere Benachrichtigung an die hinterlegten E-Mail-Adressen und Mobiltelefone der Super-Admins.
Dienstkonten werden gelegentlich von Drittanbieter-Anwendungen genutzt, um auf Google-Workspace-Ressourcen zuzugreifen. Fehlt einem Dienstkonto die 2-Schritt-Verifizierung, lässt es sich von Angreifern ausnutzen – mit der Folge unbefugten Zugriffs auf sensible Daten oder im schlimmsten Fall der Übernahme der gesamten Google-Workspace-Domain.
Um Dienstunterbrechungen zu vermeiden, sollten Google-Workspace-Administratoren sicherstellen, dass alle Super-Admin-Dienstkonten für 2SV registriert sind. Öffnen Sie dazu in der Admin-Konsole die Seite Menü > Berichte > Nutzerberichte > Sicherheit. Oben im Bericht lässt sich der Filter " Admin-Status" anwenden, um ausschließlich Super-Admin-Konten anzuzeigen.
Für jedes Super-Admin-Konto erscheint dort die Spalte "Anmeldung in zwei Schritten" mit dem jeweiligen 2SV-Registrierungsstatus. Daran lässt sich ablesen, ob ein Konto für 2SV registriert ist oder nicht.
Nutzerberichte gefiltert auf Super-Admin-Konten.
Sobald Super-Admin-Konten ohne aktivierte 2-Schritt-Verifizierung identifiziert sind, können Administratoren die 2SV-Richtlinie künftig erzwingen. Auf der Seite Sicherheit > Bestätigung in zwei Schritten der Admin-Konsole lassen sich die aktuellen Richtlinien einsehen. Wie die Umsetzung konkret aussieht, hängt von der Struktur der Organisationseinheiten ab und davon, ob das Unternehmen einen externen Identitätsanbieter für Nicht-Admin-Nutzer einsetzt, die auf Google-Workspace-Konten zugreifen. Ein gängiges Vorgehen: Alle Super-Admin-Konten in eine dedizierte Gruppe verschieben und die 2-Schritt-Verifizierung für diese Gruppe ab einem festgelegten Stichtag verpflichtend aktivieren. Konten, die dieser Gruppe mit aktivierter Richtlinie hinzugefügt werden und 2SV noch nicht eingerichtet haben, werden bei jeder neuen Anmeldung von Google zur Einrichtung aufgefordert. Bei der Richtlinienoption "Registrierungszeitraum für neue Nutzer" empfiehlt es sich aus Sicherheitsgründen, diese auf "Keiner" zu setzen und Administratoren anzuweisen, die 2-Schritt-Verifizierung für neue Konten einzurichten, bevor die Super-Admin-Rolle vergeben wird.
Einstellungen zur Durchsetzung der 2-Schritt-Verifizierungs-Richtlinie.
Zusätzlich zur Aktivierung der 2-Schritt-Verifizierung für Super-Admin-Konten können Administratoren ein einmaliges App-Passwort für Integrationen vergeben, die die moderne OAuth2-Authentifizierung (die bekannte "Über Google anmelden"-Oberfläche) nicht unterstützen. So bleiben Dienstkonten abgesichert und das Google-Konto auch im Zusammenspiel mit Legacy-Apps oder -Diensten unter der 2SV-Richtlinie geschützt.
Wer alle Super-Admins frühzeitig in die 2-Schritt-Verifizierung aufnimmt, erhöht die Kontosicherheit spürbar und reduziert das Risiko von Aussperrungen und Dienstunterbrechungen, sobald Google die Richtlinie durchsetzt.