Häufig gestellte Fragen zur clientseitigen Verschlüsselung

Informationen zur Standardverschlüsselung von Google finden Sie auf der Google Cloud-Website.

Weitere Informationen zur Standardverschlüsselung für Gmail finden Sie im Hilfeartikel Verschlüsselung bei der Übertragung in der Gmail-Hilfe.

Bei der Ende-zu-Ende-Verschlüsselung (E2EE) werden Ver- und Entschlüsselung immer auf den Quell- und Zielgeräten durchgeführt, z. B. auf Mobilgeräten für Chatnachrichten. Die Verschlüsselungsschlüssel werden auf den Clientgeräten generiert und Administratoren können sie nicht verwalten oder festlegen, wer sie verwenden darf. Außerdem sehen Sie nicht, welche Inhalte Nutzer verschlüsselt haben.

Bei der clientseitigen Verschlüsselung erfolgt die Ver- und Entschlüsselung ebenfalls an der Quelle und am Ziel. In diesem Fall sind das die Browser der Clientgeräte. Die hier verwendeten Verschlüsselungsschlüssel werden in einem cloudbasierten Key Management Service generiert und gespeichert, sodass Sie sie verwalten und festlegen können, wer darauf Zugriff hat. Sie können beispielsweise den Zugriff eines Nutzers auf Schlüssel widerrufen, auch wenn dieser Nutzer sie generiert hat. Außerdem sehen Sie, welche Dateien die Nutzer verschlüsseln.

Nutzer können in unterstützten Diensten eine Option auswählen, um die clientseitige Verschlüsselung zu aktivieren. Weitere Informationen dazu, wie Nutzer die clientseitige Verschlüsselung in Web- und mobilen Apps aktivieren können, finden Sie unter Clientseitige Verschlüsselung – Übersicht.

Ja, einige Funktionen in Google-Diensten sind nicht verfügbar, wenn die clientseitige Verschlüsselung aktiviert ist. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung – Übersicht.

Ein Verschlüsselungsschlüssel wird verwendet, um Daten in ein unlesbares Format umzuwandeln, damit sie zufällig erscheinen. So sind die Daten vor unbefugten Zugriffen geschützt. Um verschlüsselte Daten zu lesen, benötigt eine Person oder Anwendung einen Schlüssel, um die Daten wieder in ihr ursprüngliches Format umzuwandeln.

Wenn Sie den Google Workspace-Daten Ihrer Organisation mithilfe von Verschlüsselungsschlüsseln eine Verschlüsselungsebene hinzufügen möchten, müssen Sie einen Key Management Service verwenden, der mit Google zusammenarbeitet, oder mit der CSE API von Google einen eigenen Schlüsseldienst erstellen. Alternativ können Sie nur für Gmail die Verschlüsselung mit Hardwareschlüsseln verwenden, bei der sich der Verschlüsselungsschlüssel des Nutzers auf einer Smartcard befindet.

Verschiedene Key Management Services sind Partner von Google und können mit der clientseitigen Verschlüsselung verwendet werden. Eine Liste der Dienste finden Sie im Hilfeartikel Schlüsseldienst für clientseitige Verschlüsselung auswählen.

Nein. Sie müssen einen externen Key Management Service verwenden, um die clientseitige Verschlüsselung in Google Workspace einzurichten. Mit dieser Funktion können Sie Ihre eigenen Verschlüsselungsschlüssel verwalten, auf die Google nicht zugreifen kann, um Ihre Daten zu entschlüsseln.

Ja, Sie können mehrere Schlüsseldienste verwenden und einen Dienst auswählen, der für eine Organisationseinheit oder Gruppe verwendet werden soll. Außerdem können Sie verschlüsselte Inhalte von einem Dienst zu einem anderen migrieren.

Hinweis: In der Admin-Konsole können Sie einen einzelnen Schlüsseldienst für die clientseitige Verschlüsselung in Gmail einrichten. Weitere Optionen zur Verwaltung von Schlüsseln finden Sie unter Clientseitige Verschlüsselungs-API für Google Workspace .

Ja. Wenn Ihre Organisation Smartcards für den Zugriff auf Einrichtungen und Systeme verwendet, können Sie die Verschlüsselung mit Hardwareschlüsseln für die clientseitige Verschlüsselung in Gmail einrichten. Dazu ist das Add-on Assured Controls oder Assured Controls Plus erforderlich. Nutzer mit dem können ihre E‑Mails mit ihren Smartcards verschlüsseln, die ihren privaten Verschlüsselungsschlüssel enthalten. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselung mit Hardwareschlüsseln einrichten und verwalten.

Ja, Sie können sowohl einen Schlüsseldienst als auch Hardwareverschlüsselungsschlüssel für die clientseitige Verschlüsselung in Gmail einrichten. Dazu ist das Add-on Assured Controls oder Assured Controls Plus erforderlich. Sie weisen einem Nutzer sowohl den Schlüsseldienst als auch die Hardwareschlüsselverschlüsselung zu. Nutzer können jedoch nur eine Art der Verschlüsselung für Gmail verwenden. Diese hängt davon ab, wie Sie den privaten Verschlüsselungsschlüssel für Gmail eingerichtet haben. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.

Ja, Sie können zu einem anderen Schlüsseldienst wechseln. In diesem Fall empfiehlt es sich, Inhalte, die mit Ihrem aktuellen Schlüsseldienst verschlüsselt sind, zum neuen Dienst zu migrieren. Weitere Informationen finden Sie im Hilfeartikel Zu einem neuen Schlüsseldienst wechseln.

Sie verwalten die Key Access Control List (ACL) für Verschlüsselungsschlüssel über Ihren externen Schlüsseldienst. Ihre ACL muss alle Nutzer enthalten, die Inhalte entweder verschlüsseln oder entschlüsseln (aufrufen oder bearbeiten) müssen. Weitere Informationen erhalten Sie vom Anbieter.

Außerdem müssen Sie die clientseitige Verschlüsselung für alle Nutzer aktivieren, die Daten verschlüsseln müssen. Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung aktivieren oder deaktivieren.

Für Gmail, Google Drive und Google Kalender können Sie festlegen, dass die clientseitige Verschlüsselung für bestimmte Organisationseinheiten standardmäßig aktiviert ist. Dazu ist das Add-on Assured Controls oder Assured Controls Plus erforderlich.

Wenn Sie angeben, dass die clientseitige Verschlüsselung standardmäßig aktiviert ist, können Nutzer die clientseitige Verschlüsselung bei Bedarf trotzdem deaktivieren.

Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung aktivieren oder deaktivieren.

Sie müssen die clientseitige Verschlüsselung für geteilte Ablagen nicht gesondert konfigurieren. Der externe Schlüsseldienst, den Sie in der Admin-Konsole eingerichtet haben, funktioniert für Dateien in „Meine Ablage“ und in geteilten Ablagen.

Weitere Informationen zu Problemen mit der Einrichtung der clientseitigen Verschlüsselung finden Sie im Hilfeartikel Details zu Benachrichtigungen aufrufen.

Ja. Weitere Informationen finden Sie unter Nachrichten als clientseitig verschlüsselte E‑Mails zu Gmail migrieren.

Ja. Weitere Informationen finden Sie unter Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.

Sie können clientseitig verschlüsselte Dateien zu einem neuen Schlüsseldienst migrieren. Weitere Informationen finden Sie im Hilfeartikel Zu einem neuen Schlüsseldienst wechseln.

Ja, Sie können die clientseitige Verschlüsselung aus Google-Dokumenten, ‑Tabellen oder ‑Präsentationen entfernen. Weitere Informationen finden Sie im Hilfeartikel Verschlüsselung aus einem Dokument entfernen.

Clientseitig verschlüsselte Dateien, die Sie mit dem Tool für den Datenexport oder Google Vault exportiert haben, lassen sich über ein Befehlszeilen-Dienstprogramm entschlüsseln. Weitere Informationen finden Sie im Hilfeartikel Exportierte clientseitig verschlüsselte Dateien und E‑Mails entschlüsseln.

Ja, wenn Ihre Google Workspace-Version Google Vault hat, können Sie clientseitig verschlüsselte Drive-Dateien und Gmail-E‑Mails in Vault aufbewahren, suchen und exportieren.

Weitere Informationen finden Sie in der Google Vault-Hilfe.

• Für clientseitig verschlüsselte Inhalte in Google Docs und Google Präsentationen bieten Machine-Learning-Modelle auf dem Gerät eine Rechtschreibprüfung, die die Vertraulichkeit der Dokumentdaten schützt.
• Für Gmail und Kommentare in Google Docs bietet der Browser eine Rechtschreibprüfung.

  Wenn Ihre Organisation Google Chrome verwendet: Die Nutzer der clientseitigen Verschlüsselung sollten nicht die erweiterte Rechtschreibprüfung von Chrome verwenden. Bei dieser Option werden Daten an Google gesendet. Stattdessen können Nutzer der clientseitigen Verschlüsselung die einfache Rechtschreibprüfung von Chrome verwenden, bei der keine Daten an Google gesendet werden. Weitere Informationen finden Sie im Hilfeartikel Rechtschreibprüfung in Chrome aktivieren oder deaktivieren. Wenn Sie einen verwalteten Chrome-Browser verwenden, können Sie eine Richtlinie erstellen, um die Rechtschreibprüfung für Nutzer der clientseitigen Verschlüsselung zu deaktivieren. Dadurch wird die erweiterte Rechtschreibprüfung deaktiviert, die einfache Rechtschreibprüfung jedoch nicht. Weitere Informationen dazu erhalten Sie im Hilfeartikel Chrome-Richtlinien für Nutzer oder Browser festlegen.

Ja, Sie können exportierte und entschlüsselte Google Sheets-Dateien in Microsoft Excel-Dateien konvertieren. Weitere Informationen finden Sie im Hilfeartikel Exportierte und entschlüsselte Google-Dateien in Microsoft Office-Dateien konvertieren.

Clientseitig verschlüsselte Dateien und E-Mails werden nicht auf Phishing und Malware geprüft, da die Google-Server keinen Zugriff auf den Inhalt haben.

Nein. Sie können jedoch DLP-Regeln erstellen, um Folgendes zu tun:

• Prüfen der unverschlüsselten Metadaten von Drive-Dateien, z. B. Titel und Drive-Labels. So lassen sich sensible Daten besser schützen.
• Prüfen von Drive-Dateien, um festzustellen, ob sie clientseitig verschlüsselt sind. Wählen Sie dazu die Regelbedingung Status der Dateiverschlüsselung > Ist > Clientseitig verschlüsselt oder Nicht clientseitig verschlüsselt aus.

Weitere Informationen zum Erstellen von DLP-Regeln für Google Drive finden Sie unter DLP-Regeln und benutzerdefinierte Inhaltsdetektoren für Google Drive erstellen.

Wenn Sie Nutzer zu einer Google Workspace-Lizenz wechseln, die die clientseitige Verschlüsselung nicht umfasst, können sie weiterhin auf alle clientseitig verschlüsselten Elemente wie Dateien und E‑Mails zugreifen und sie bearbeiten. Sie können jedoch keine neuen clientseitig verschlüsselten Elemente erstellen.

Wenn Sie die clientseitige Verschlüsselung nicht mehr verwenden und Elemente wie Dateien und E-Mails entschlüsseln möchten, müssen Sie sie zuerst mit dem Tool für den Datenexport exportieren. Entfernen Sie dann mit dem Dienstprogramm zur Entschlüsselung die clientseitige Verschlüsselung.