Sicherheits-Checkliste für kleine Unternehmen (1–100 Nutzer)

Unterschiedliche Passwörter verwenden

Ein gutes Passwort ist die erste Maßnahme, um Nutzer- und Administratorkonten zu schützen. Eindeutige Passwörter sind nicht leicht zu erraten. Denken Sie sich beispielsweise einen langen Satz aus und verwenden Sie die Anfangsbuchstaben der Wörter als Passwort.

Daher sollten Sie auch verhindern, dass Passwörter mehrfach verwendet werden, z. B. für ein E-Mail-Konto und das Onlinebanking.

Starkes Passwort erstellen und für mehr Kontosicherheit sorgen

Von Administratoren und wichtigen Nutzern zusätzliche Identitätsnachweise verlangen

Sollte Ihr Passwort in falsche Hände geraten, lässt sich mit der Bestätigung in zwei Schritten verhindern, dass ein Unbefugter auf Ihr Konto zugreifen kann.

Bei der Bestätigung in zwei Schritten müssen Nutzer ihre Identität einerseits über etwas bestätigen, das sie wissen, z. B. ein Passwort, und andererseits über etwas, das sie besitzen, z. B. einen physischen Schlüssel oder Zugriffscode. Erst dann erhalten sie Zugriff auf ihr Konto.

Wir empfehlen, die Bestätigung in zwei Schritten für alle Nutzer in Ihrem Unternehmen zu verwenden. Besonders wichtig ist sie aber für Administratoren und Nutzer, die mit vertraulichen Daten wie Finanz- oder Mitarbeiterinformationen arbeiten. Sie sollten die Bestätigung in zwei Schritten für Administratoren und wichtige Nutzer erzwingen.

Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen | Bestätigung in zwei Schritten implementieren

Informationen zur Wiederherstellung von Administratorkonten hinzufügen

Wenn ein Administrator sein Passwort vergisst, kann er auf der Anmeldeseite auf den Link „Benötigen Sie Hilfe?“ klicken und Google sendet ihm dann ein neues Passwort per Telefon, SMS oder E-Mail. Hierzu werden eine Telefonnummer und eine E‑Mail-Adresse zur Kontowiederherstellung benötigt.

Meinem Administratorkonto Wiederherstellungsoptionen hinzufügen

Vorab Back-up-Codes abrufen

Wenn Sie in Ihrem Unternehmen die Bestätigung in zwei Schritten erzwingen und ein Nutzer oder Administrator keinen Zugang zur Methode für den zweiten Schritt hat, kann er sich nicht in seinem Konto anmelden. Dies ist beispielsweise der Fall, wenn ein Nutzer den Code zur Bestätigung in zwei Schritten per SMS erhält und das Smartphone abhandenkommt oder wenn ein Nutzer seinen Sicherheitsschlüssel verliert.

In einem solchen Fall kann ein Back-up-Code für die Bestätigung in zwei Schritten verwendet werden. Administratoren und Nutzer sollten schon vorab Ersatzcodes erstellen, ausdrucken und an einem sicheren Ort aufbewahren.

Back-up-Codes generieren und ausdrucken

Zusätzliches Super Admin-Konto erstellen

Ein Unternehmen sollte mehrere Super Admin-Konten haben, die von verschiedenen Personen verwaltet werden. Falls das primäre Super Admin-Konto verloren geht oder manipuliert wird, kann ein anderer Super Admin wichtige Aufgaben erledigen, während das betroffene Konto wiederhergestellt wird.

Weisen Sie einem Nutzer die Rolle „Super Admin“ zu, um einen zusätzlichen Super Admin zu erstellen.

Einem Nutzer Administratorrollen zuweisen

Informationen zum Zurücksetzen des Super Admin-Passworts bereithalten

Wenn ein Super Admin sein Passwort nicht per E-Mail oder Telefon zurücksetzen kann und kein anderer Super Admin verfügbar ist, kann er den Google-Support kontaktieren.

Der Support stellt dann Fragen zum Konto der Organisation, um die Identität des Administrators zu bestätigen. Die DNS-Domaininhaberschaft muss ebenfalls bestätigt werden. Sie sollten die Kontoinformationen und DNS-Anmeldedaten an einem sicheren Ort aufbewahren.

Best Practices für die Sicherheit von Administratorkonten

Nicht ständig als Super Admin angemeldet bleiben

Super Admins können alle Bereiche des Unternehmenskontos verwalten und auf alle Geschäfts- und Mitarbeiterdaten zugreifen. Wenn Sie in einem Super Admin-Konto angemeldet bleiben, obwohl Sie keine Verwaltungsaufgaben erledigen, kann das Konto dadurch möglicherweise leichter gehackt werden.

Super Admins sollten sich nur bei Bedarf für bestimmte Aufgaben anmelden und so bald wie möglich wieder abmelden. Verwenden Sie für tägliche Verwaltungsaufgaben ein Konto mit eingeschränkten Administratorrollen.

Vordefinierte Administratorrollen | Best Practices für die Sicherheit von Administratorkonten

Automatische Updates für Apps und Internetbrowser aktivieren

Sorgen Sie dafür, dass Ihre Nutzer die automatischen Aktualisierungen für ihre Apps und Internetbrowser aktivieren, damit alle Sicherheitsmaßnahmen immer aktuell bleiben. In Chrome können Sie die automatischen Aktualisierungen auch für Ihre gesamte Organisation konfigurieren.

Richtlinien für automatische Updates (Chrome)

Erweiterte Prüfung von Nachrichten vor der Zustellung aktivieren

Phishing ist der Versand betrügerischer E‑Mails, durch die Nutzer dazu verleitet werden sollen, vertrauliche Daten wie Passwörter, Kontonummern oder andere personenbezogene Daten preiszugeben.

In Gmail werden eingehende Nachrichten gescannt, um vor Phishing zu schützen. Wird eine E-Mail als potenzieller Phishingversuch eingestuft, sehen Sie eine Warnung oder die E-Mail wird in den Spamordner verschoben. Mit der erweiterten Prüfung von Nachrichten vor der Zustellung lassen sich auch verdächtige E-Mails finden, die bisher nicht als Phishing erkannt wurden.

Phishing durch Nachrichtenprüfung vor der Zustellung verhindern

Überprüfung zusätzlicher schädlicher Dateien und Links für Gmail aktivieren

Eingehende Nachrichten werden auf Schadprogramme geprüft, um z. B. vor Computerviren zu schützen. Mit den zusätzlichen Sicherheitsprüfungen für Anhänge, Links und externe Bilder lassen sich auch verdächtige E‑Mails finden, die bisher nicht als schädlich erkannt wurden.

Erweiterter Schutz vor Phishing und Malware

Verhindern, dass Empfänger Ihre E-Mail als Spam markieren

Bei E‑Mail-Spam handelt es sich um unerwünschte Bulk-E‑Mails. Spam wird in der Regel von skrupellosen Werbetreibenden verwendet, da außer für die Verwaltung der Mailinglisten keine Betriebskosten anfallen.

Sender Policy Framework (SPF) ist eine Methode für die E-Mail-Sicherheit, mit der berechtigte E-Mails von Nutzern in Ihrem Unternehmen autorisiert werden können. Mithilfe eines SPF-Eintrags wird ermittelt, welche Mailserver E-Mails für Ihre Domain senden dürfen.

Wenn Sie SPF für Ihre Domain nicht einrichten, kann es passieren, dass Nachrichten nicht zugestellt oder als Spam markiert werden.

E-Mail-Absender mit SPF autorisieren

Kalenderfreigabe für Personen außerhalb Ihres Unternehmens einschränken

Nutzerkalender können vertrauliche Informationen enthalten. Sie sollten daher festlegen, wie Kalender für externe Personen freigegeben werden dürfen. Die externe Freigabe von Kalenderdaten sollte nur auf den Verfügbarkeitsstatus beschränkt werden.

Sichtbarkeit und Freigabeoptionen für Google Kalender festlegen

Einschränken, wer neu erstellte Dateien sehen kann
Sie können festlegen, wer die Dateien sehen kann, die von Nutzern erstellt werden. Nur der Nutzer, der eine Datei erstellt, sollte sie öffnen dürfen, bis er die Datei ausdrücklich freigibt. Deaktivieren Sie hierfür die Linkfreigabe.

Standardeinstellung für die Linkfreigabe festlegen

Nutzer warnen, wenn sie eine Datei für Personen außerhalb des Unternehmens freigeben

Wenn Nutzer Dateien für externe Personen freigeben dürfen, sollten Sie unbedingt festlegen, dass sie beim Versuch, dies zu tun, eine Warnung erhalten, um zu bestätigen, dass sie die Datei wirklich freigeben möchten.

Nutzer in Ihrer Organisation dürfen nicht Elemente ohne Einschränkung freigeben