Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen
Bevor Sie mit der Einrichtung der clientseitigen Verschlüsselung von Google Workspace (client-side encryption, CSE) beginnen, sollten Sie sich die Anforderungen, Optionen für Verschlüsselungsschlüssel und die Einrichtungsübersicht ansehen.
Voraussetzungen für die clientseitige Verschlüsselung
Administratorberechtigungen für die clientseitige Verschlüsselung
Sie benötigen Super Admin-Berechtigungen für Google Workspace, um die clientseitige Verschlüsselung für Ihre Organisation zu verwalten, darunter:
- Schlüsseldienste hinzufügen und verwalten
- Schlüsseldienste zu Organisationseinheiten und Gruppen zuweisen
- Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren
Voraussetzungen für interne Nutzer für die clientseitige Verschlüsselung
Anforderungen für Nutzerlizenzen
- Für Folgendes benötigen Nutzer eine Google Workspace Frontline Plus-, Google Workspace Enterprise Plus-, Google Workspace Education Standard- oder Google Workspace for Education Plus-Lizenz:
- Clientseitig verschlüsselte Inhalte erstellen oder hochladen
- Verschlüsselte Videokonferenzen organisieren
- Verschlüsselte E‑Mails senden oder empfangen
- Mit einer beliebigen Google Workspace- oder Cloud Identity-Lizenz können Nutzer:
- Clientseitig verschlüsselte Inhalte aufrufen, bearbeiten oder herunterladen
- Über einen Computer, ein Mobilgerät oder ein Google Meet-Hardwaregerät an einer clientseitig verschlüsselten Videokonferenz teilnehmen
- Nutzer mit einem privaten Google-Konto, z. B. Gmail-Nutzer, können nicht auf clientseitig verschlüsselte Inhalte zugreifen, keine verschlüsselten E-Mails senden oder an clientseitig verschlüsselten Videokonferenzen teilnehmen.
Browseranforderungen
Wenn sie clientseitig verschlüsselte Inhalte aufrufen oder bearbeiten möchten, müssen Nutzer entweder den Browser Google Chrome oder Microsoft Edge (Chromium) verwenden.
Voraussetzungen für externe Nutzer für die clientseitige Verschlüsselung
Sie können externen Nutzern Zugriff auf clientseitig verschlüsselte Inhalte gewähren. Für den Zugriff auf die verschlüsselten Gmail-Nachrichten Ihrer Nutzer müssen externe Nutzer lediglich S/MIME verwenden. Für andere Inhalte variieren die Anforderungen je nach der Methode, die Sie für den externen Zugriff verwenden. Weitere Informationen finden Sie im Hilfeartikel Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Optionen für Verschlüsselungsschlüssel
Externe Schlüsseldienste
Wenn Sie die clientseitige Verschlüsselung verwenden möchten, muss Ihre Organisation eigene Verschlüsselungsschlüssel verwenden. Sie haben zwei Möglichkeiten, Verschlüsselungsschlüssel zu erstellen:
- Verwenden Sie einen externen Schlüsseldienst, der mit Google zusammenarbeitet. Ihr Schlüsseldienst unterstützt Sie bei der Einrichtung des Dienstes für Google Workspace. Weitere Informationen finden Sie im Hilfeartikel Schlüsseldienst für clientseitige Verschlüsselung auswählen.
- Erstellen Sie einen eigenen Schlüsseldienst mit der Google Workspace CSE API.
Hardwareschlüssel für Gmail
Wenn Nutzer in Ihrer Organisation Smartcards für den Zugriff auf Einrichtungen und Systeme verwenden, können Sie die Verschlüsselung mit Hardwareschlüsseln für die clientseitige Verschlüsselung in Gmail anstelle eines Schlüsseldienstes einrichten. Nutzer können ihren Hardwareschlüssel zum Signieren und Verschlüsseln von E‑Mails verwenden. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Hardwareverschlüsselungsschlüssel einrichten und verwalten.
Clientseitige Verschlüsselung einrichten
Im Folgenden finden Sie eine Übersicht über die Schritte, die Sie ausführen müssen, um die clientseitige Verschlüsselung in Google Workspace einzurichten. Die Einrichtung der clientseitigen Verschlüsselung hängt davon ab, welche Art von Verschlüsselungsschlüsseln Sie verwenden möchten.
Wenn Sie einen externen Schlüsseldienst verwenden
So richten Sie die Verschlüsselung für Google Drive, Google Kalender und Google Meet ein: Sie führen diese Schritte auch für Gmail aus, es sei denn, Sie möchten nur Hardwareverschlüsselungsschlüssel für Gmail verwenden.
| Schritt | Beschreibung | So schließen Sie diesen Schritt ab |
|---|---|---|
| Schritt 1: Externen Schlüsseldienst auswählen |
Registrieren Sie sich bei einem der Partner für Schlüsseldienste von Google oder erstellen Sie mit der Google Workspace CSE API Ihren eigenen Dienst. Mit diesem Dienst verwalten Sie die Verschlüsselungsschlüssel der obersten Ebene zum Schutz Ihrer Daten. |
Schlüsseldienst für clientseitige Verschlüsselung auswählen |
| Schritt 2: Google Workspace mit dem Identitätsanbieter verbinden |
Stellen Sie über die Admin-Konsole oder eine auf Ihrem Server gehostete .well-known-Datei eine Verbindung zu einem externen Identitätsanbieter oder der Google-Identität her. Ihr IdP überprüft die Identität von Nutzern, bevor sie Inhalte verschlüsseln und auf verschlüsselte Inhalte zugreifen können. |
Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen |
| Schritt 3: Externen Schlüsseldienst einrichten |
Richten Sie den Dienst für die clientseitige Verschlüsselung in Google Workspace zusammen mit Ihrem Schlüsseldienstpartner ein. Hinweis: Wenn Sie die clientseitige Verschlüsselung mit Meet-Hardware verwenden, muss der für die Schlüsselverwaltung verwendete Server des externen Schlüsseldienstes den Aufruf „delegate“ unterstützen, der zur Autorisierung eines Raums verwendet wird, um im Namen eines authentifizierten Nutzers an einer Besprechung teilzunehmen. Weitere Informationen erhalten Sie von Ihrem Schlüsseldienst. |
Schlüsseldienst für clientseitige Verschlüsselung einrichten |
| Schritt 4: Informationen zum Schlüsseldienst in der Admin-Konsole hinzufügen |
Fügen Sie die URL des externen Schlüsseldienstes der Admin-Konsole hinzu, um den Dienst mit Google Workspace zu verbinden. Sie können mehrere Schlüsseldienste hinzufügen, um für bestimmte Organisationseinheiten oder Gruppen unterschiedliche Schlüsseldienste zuzuweisen. |
Schlüsseldienste für clientseitige Verschlüsselung hinzufügen und verwalten |
| Schritt 5: Schlüsseldienst Nutzern zuweisen | Weisen Sie Ihren Schlüsseldienst oder mehrere Dienste Ihren Organisationseinheiten und Gruppen zu. Sie müssen einen Schlüsseldienst als Standard für Ihre Organisation zuweisen. | Nutzern die clientseitige Verschlüsselung zuweisen |
| Schritt 6 (nur optional für Gmail-S/MIME-Nachrichten): Verschlüsselungsschlüssel von Nutzern hochladen |
Erstellen Sie ein GCP-Projekt (Google Cloud Platform) und aktivieren Sie die Gmail API. Gewähren Sie der API dann Zugriff auf Ihre gesamte Organisation, aktivieren Sie die clientseitige Verschlüsselung für Gmail-Nutzer und laden Sie private und öffentliche Verschlüsselungsschlüssel in Gmail hoch. Hinweis:Für diesen Schritt ist Erfahrung mit APIs und Python-Scripts erforderlich. |
Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren |
| Schritt 7: CSE für Nutzer aktivieren |
Aktivieren Sie die clientseitige Verschlüsselung für alle Organisationseinheiten oder Gruppen in Ihrer Organisation mit Nutzern, die clientseitig verschlüsselte Inhalte erstellen müssen. Sie können die clientseitige Verschlüsselung für alle unterstützten Dienste oder nur für bestimmte Dienste (Gmail, Meet, Drive und Kalender) aktivieren. Clientseitige Verschlüsselung in Gmail:Wenn Sie das Add-on „Assured Controls“ haben und keine Hardwareschlüsselverschlüsselung für Gmail verwenden, können Sie in diesem Schritt die Option Verschlüsselung mit Gastkonten auswählen, um die Ende-zu-Ende-Verschlüsselung für Gmail automatisch zu aktivieren, ohne S/MIME-Zertifikate konfigurieren zu müssen. |
Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren |
| Schritt 8: (Optional) Externen Zugriff einrichten | Sie können externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren, indem Sie einen Gast-Identitätsanbieter (IdP) für Organisationen konfigurieren, die Google Workspace CSE nicht verwenden. | Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren |
| Schritt 9: (Optional) Nachrichten als clientseitig verschlüsselte S/MIME-Nachrichten in Gmail importieren | Wenn Ihre Organisation Nachrichten in einem anderen Dienst oder in einem anderen Verschlüsselungsformat hat, können Sie diese Nachrichten als clientseitig verschlüsselte Nachrichten im Format S/MIME zu Gmail migrieren. | Nachrichten als clientseitig verschlüsselte E‑Mails zu Gmail migrieren |
Wenn Sie Hardwareverschlüsselungsschlüssel für Gmail verwenden
Erfordert das Assured Controls- oder Assured Controls Plus-Add-on.Führen Sie diese Schritte aus, wenn Sie Hardwareverschlüsselungsschlüssel für alle oder einige Ihrer Gmail-Nutzer anstelle eines externen Schlüsseldienstes einrichten möchten.
| Schritt | Beschreibung | So schließen Sie diesen Schritt ab |
|---|---|---|
| Schritt 1: Google Workspace mit dem Identitätsanbieter verbinden | Stellen Sie über die Admin-Konsole oder eine auf Ihrem Server gehostete .well-known-Datei eine Verbindung zu einem externen Identitätsanbieter oder der Google-Identität her. Ihr IdP überprüft die Identität von Nutzern, bevor sie Inhalte verschlüsseln und auf verschlüsselte Inhalte zugreifen können. | Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen |
| Schritt 2: Hardwareverschlüsselungsschlüssel einrichten |
Installieren Sie die Google Workspace Hardware Key App auf den Windows-Geräten der Nutzer. Hinweis:Für diesen Schritt ist Erfahrung mit PowerShell-Scripts erforderlich. |
Nur Gmail: Hardwareverschlüsselungsschlüssel einrichten und verwalten |
| Schritt 3: Informationen zur Hardwareverschlüsselung in der Admin-Konsole hinzufügen | Geben Sie die Portnummer ein, über die Google Workspace mit dem Smartcard-Lesegerät auf den Windows-Geräten der Nutzer kommuniziert. | Nur Gmail: Hardwareverschlüsselungsschlüssel einrichten und verwalten |
| Schritt 4: Nutzern die Hardwareverschlüsselung zuweisen | Weisen Sie Ihren Organisationseinheiten und Gruppen die Verschlüsselung mit Hardwareschlüsseln zu. | Nutzern die clientseitige Verschlüsselung zuweisen |
| Schritt 5: Öffentliche Verschlüsselungsschlüssel von Nutzern hochladen |
Erstellen Sie ein CGP-Projekt (Google Cloud Platform) und aktivieren Sie die Gmail API. Gewähren Sie der API dann Zugriff auf Ihre gesamte Organisation, aktivieren Sie die clientseitige Verschlüsselung für Gmail-Nutzer und laden Sie öffentliche Verschlüsselungsschlüssel in Gmail hoch. Hinweis:Für diesen Schritt ist Erfahrung mit APIs und Python-Scripts erforderlich. |
Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren |
| Schritt 6: (Optional) Nachrichten als clientseitig verschlüsselte E‑Mails in Gmail importieren | Wenn Ihre Organisation Nachrichten in einem anderen Dienst oder in einem anderen Verschlüsselungsformat hat, können Sie diese Nachrichten als Administrator als clientseitig verschlüsselte Nachrichten im Format S/MIME zu Gmail migrieren. | Nachrichten als clientseitig verschlüsselte E‑Mails zu Gmail migrieren |
CSE für Meet-Hardware
Standardmäßig verschlüsselt Meet alle Anrufmedien, sowohl bei der Übertragung als auch im Ruhezustand. Nur Besprechungsteilnehmer und die Rechenzentrumsdienste von Google können diese Informationen entschlüsseln.
Die clientseitige Verschlüsselung bietet eine zusätzliche Datenschutzebene, da Anrufmedien direkt im Browser jedes Teilnehmers mit Schlüsseln verschlüsselt werden, auf die nur die Teilnehmer Zugriff haben. Nur der Teilnehmer kann Videokonferenzinformationen entschlüsseln, die von seinem Browser mit seinen Schlüsseln verschlüsselt wurden.
Damit Nutzer die clientseitige Verschlüsselung nutzen können, müssen Administratoren Workspace mit einem externen Identitätsanbieter und einem Verschlüsselungsschlüsseldienst verbinden (IdP+Schlüsseldienst). Weitere Informationen zum Einrichten eines IdP- und Schlüsseldienstes finden Sie auf dieser Seite unter Übersicht über die Einrichtung der clientseitigen Verschlüsselung.
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.