Google Workspace macht 2SV für Super-Admin-Konten 2024 zur Pflicht

Die Bestätigung in zwei Schritten (2SV) – auch bekannt als Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) – fungiert als zusätzliche Sicherheitsebene: Beim Login müssen Nutzer ihre Identität über zwei voneinander unabhängige Nachweise bestätigen. Neben dem Kontopasswort ist also ein zweiter Faktor nötig, um die Anmeldung abzuschließen. Dieser zweite Faktor kann ein Sicherheitsschlüssel (am sichersten), eine Aufforderung im Google Authenticator oder ein Bestätigungscode per Anruf bzw. SMS sein (gilt als weniger sicher).

Die Umstellung ist ein wichtiger Schritt, um Super-Admin-Konten besser abzusichern und Angreifern die Übernahme deutlich zu erschweren. Für sicherheitsbewusste Anwender ist das eine willkommene Entwicklung, für Organisationen mit vielen Dienstkonten kann sie jedoch zusätzlichen Aufwand bedeuten. Wichtig zu wissen: Die Änderung betrifft ausschließlich Super-Admin-Konten – delegierte Administratoren und reguläre Nutzer fallen nicht unter die 2SV-Pflicht von Google. Super Admins erhalten 60 Tage vor dem Stichtag eine Aufforderung, sich für die Bestätigung in zwei Schritten zu registrieren, und zusätzlich bei jeder Anmeldung in Google-Diensten eine Erinnerung, 2SV bis zum genannten Datum zu aktivieren. Vorsicht: Diese Hinweise lassen sich leicht übersehen, wenn Super-Admin-Konten nur selten verwendet werden. 30 Tage vor dem Stichtag verschickt Google zusätzlich eine Mitteilung an die hinterlegten E-Mail-Adressen und Mobilnummern der Super Admins.

Dienstkonten werden gelegentlich von Drittanbieter-Anwendungen genutzt, um auf Ressourcen in Google Workspace zuzugreifen. Fehlt einem Dienstkonto die Bestätigung in zwei Schritten, ist es ein potenzielles Einfallstor für Angreifer – mit der Folge, dass sensible Daten abfließen oder im schlimmsten Fall die gesamte Google-Workspace-Domain übernommen werden kann.

Um Ausfälle zu vermeiden, sollten Google-Workspace-Administratoren sicherstellen, dass alle Super-Admin-Dienstkonten für 2SV registriert sind. Dazu navigieren Sie in der Admin-Konsole zu Menü > Berichte > Nutzerberichte > Sicherheit. Oben im Bericht lässt sich der Filter "Admin-Status" setzen, sodass nur Super-Admin-Konten angezeigt werden.

Für jedes Super-Admin-Konto erscheint die Spalte "Registrierung für die Bestätigung in zwei Schritten", die den jeweiligen 2SV-Status anzeigt – also ob das Konto registriert ist oder nicht.

Bereich "Nutzerberichte", gefiltert auf Super-Admin-Konten.

Sind die Super-Admin-Konten ohne 2SV identifiziert, können Administratoren die 2SV-Richtlinie für die Zukunft verbindlich machen. Über die Seite Sicherheit > Bestätigung in zwei Schritten in der Admin-Konsole lassen sich die aktuellen Richtlinien einsehen. Wie die Umsetzung konkret aussieht, hängt von der Struktur der Organisationseinheiten ab und davon, ob das Unternehmen für Nicht-Admin-Nutzer einen externen Identity Provider für den Zugriff auf Google Workspace einsetzt. Bewährt hat sich folgendes Vorgehen: Alle Super-Admin-Konten in eine dedizierte Gruppe aufnehmen und für diese Gruppe die 2SV-Pflicht zu einem festgelegten Stichtag aktivieren. Konten, die anschließend in die Gruppe aufgenommen werden und noch nicht für 2SV registriert sind, werden bei jeder Anmeldung von Google aufgefordert, die Registrierung nachzuholen. Sicherer Umgang mit der Option "Registrierungszeitraum für neue Nutzer": auf "Keine" belassen und stattdessen festlegen, dass Administratoren 2SV bei jedem neuen Konto einrichten, bevor die Super-Admin-Rolle vergeben wird.

Einstellungen zur Durchsetzung der Bestätigung in zwei Schritten.

Ergänzend zur 2SV-Registrierung von Super-Admin-Konten können Administratoren ein einmaliges App-Passwort für Integrationen nutzen, die kein modernes OAuth2 unterstützen (also nicht das gewohnte "Über Google anmelden"-Fenster zeigen). So bleiben Dienstkonten auch im Zusammenspiel mit Legacy-Apps oder -Diensten unter der 2SV-Richtlinie geschützt.

Wer diese Schritte frühzeitig geht und alle Super Admins für 2SV registriert, härtet die Kontosicherheit und vermeidet Aussperrungen sowie Ausfälle, sobald Google die Richtlinie aktiv durchsetzt.