Google Workspace ist für viele KMU die zentrale Arbeitsplattform: Gmail, Drive, Meet, Kalender — alles an einem Ort. Aber die Standardkonfiguration ist auf Benutzerfreundlichkeit optimiert, nicht auf Sicherheit. Die meisten Sicherheitsfunktionen sind vorhanden, aber nicht aktiviert.
Warum die Standardeinstellungen nicht ausreichen
Ein frisch eingerichteter Google Workspace-Tenant erlaubt standardmäßig externe Dateifreigabe, hat keine erzwungene Zwei-Faktor-Authentifizierung und keine DLP-Richtlinien. Das bedeutet: Jeder Mitarbeiter kann sensible Dokumente per Link mit der ganzen Welt teilen — versehentlich oder absichtlich.
Laut BSI-Lagebericht 2025 sind fehlkonfigurierte Cloud-Dienste eine der drei häufigsten Ursachen für Datenschutzverletzungen im Mittelstand.
Die 7 kritischen Einstellungen
1. Zwei-Faktor-Authentifizierung erzwingen
Passwörter allein schützen keine Konten. Erzwingen Sie 2FA für alle Benutzer in der Admin-Konsole unter Sicherheit → Bestätigung in zwei Schritten. Erlauben Sie nur Sicherheitsschlüssel und die Google Authenticator-App — keine SMS-Codes.
2. Externe Dateifreigabe einschränken
Unter Apps → Google Drive → Freigabeeinstellungen können Sie externe Freigabe auf bestimmte Domains beschränken oder eine Warnung anzeigen lassen. Für besonders sensible Organisationseinheiten sollte externe Freigabe vollständig deaktiviert werden.
3. App-Zugriff von Drittanbietern kontrollieren
Drittanbieter-Apps, die OAuth-Zugriff auf Google-Daten anfordern, sind ein häufiges Einfallstor. Unter Sicherheit → API-Steuerung → App-Zugriffskontrolle können Sie nicht vertrauenswürdige Apps blockieren und nur geprüfte Anwendungen zulassen.
4. E-Mail-Authentifizierung konfigurieren
SPF, DKIM und DMARC schützen Ihre Domain vor E-Mail-Spoofing. Ohne diese Einträge können Angreifer E-Mails senden, die aussehen, als kämen sie von Ihrer Organisation. Die Konfiguration erfolgt in Ihren DNS-Einstellungen und der Google Admin-Konsole.
5. Kontowiederherstellung absichern
Aktivieren Sie unter Sicherheit → Kontowiederherstellung die Einstellung, dass nur Administratoren Konten wiederherstellen können. Deaktivieren Sie die Selbstwiederherstellung für privilegierte Konten — das verhindert Social-Engineering-Angriffe über den Support-Weg.
6. Sicherheitsregeln für Gmail aktivieren
Gmail bietet unter Apps → Gmail → Sicherheit erweiterte Einstellungen: Anhang-Schutz, Link-Schutz und Spoofing-Erkennung. Diese Funktionen sind in den meisten Lizenzen enthalten, aber nicht standardmäßig auf dem strengsten Level konfiguriert.
7. Audit-Logs und Benachrichtigungen einrichten
Unter Berichterstellung → Audit-Logs können Sie verdächtige Aktivitäten nachverfolgen: ungewöhnliche Anmeldungen, massenhafte Dateidownloads, Administratoränderungen. Richten Sie E-Mail-Benachrichtigungen für kritische Ereignisse ein.
Was oft übersehen wird
Die häufigste Lücke ist nicht ein fehlendes Feature — es ist Schatten-IT. Mitarbeiter nutzen private Google-Konten parallel zum Firmenkonto und verschieben Dokumente zwischen beiden. Ohne klare Richtlinien und technische Kontrollen verlassen sensible Daten unbemerkt die Organisation.
Ein weiterer blinder Fleck: Super-Admin-Konten ohne eigene Sicherheitsrichtlinien. Administratorkonten sollten niemals für die tägliche Arbeit verwendet werden. Erstellen Sie separate Admin-Konten mit erzwungenen Sicherheitsschlüsseln.
Der Unterschied zwischen Lizenz und Konfiguration
Google Workspace Business Standard und Business Plus enthalten bereits umfangreiche Sicherheitsfunktionen. Das Problem sind nicht fehlende Lizenzen — es ist fehlende Konfiguration. Ein strukturierter Sicherheitsaudit zeigt in wenigen Stunden, welche Einstellungen aktiv, falsch konfiguriert oder deaktiviert sind.
Nächste Schritte
Ein Google Workspace Security Audit prüft systematisch alle sicherheitsrelevanten Einstellungen Ihres Tenants und liefert konkrete Handlungsempfehlungen mit Priorität.
Google Workspace Audit buchen, um den aktuellen Sicherheitsstatus Ihrer Umgebung zu erfahren.