Falls Sie vermuten, dass Konten manipuliert oder gehackt wurden, können Sie als Administrator diese Checkliste nutzen, um sie zu sichern. Arbeiten Sie gemeinsam mit den betroffenen Nutzern die Gmail-Sicherheits-Checkliste für Endnutzer ab.
Sicherheitsmaßnahmen, die ergriffen werden sollten
Schritt 1: Vermutlich manipulierte Nutzerkonten vorübergehend sperren
- Sie können Nutzer vorübergehend sperren, um unbefugte Zugriffe zu verhindern.
Hinweis:Wenn Sie einen Nutzer sperren, werden seine Anmeldecookies und OAuth-Tokens zurückgesetzt.
- Untersuchen Sie die potenziell unzulässigen Aktivitäten. Anschließend können Sie das Konto wiederherstellen. Optional können Sie eine Bestätigung in zwei Schritten für die Domain festlegen.
- Bitten Sie den betroffenen Nutzer, seine Wiederherstellungsadresse zu prüfen und alle Punkte der Sicherheits-Checkliste für Gmail umzusetzen.
Schritt 2: Konten auf unzulässige Aktivitäten untersuchen
- Falls der manipulierte Nutzer ein Administrator ist, sollten Sie einen Blick auf die Administrator-Audit-Logs werfen. Achten Sie dabei auf Konfigurationsänderungen, die dieser Nutzer kürzlich vorgenommen hat. Überspringen Sie den Schritt, wenn das nicht zutrifft.
- Prüfen Sie die mit dem betroffenen Konto verbundenen Mobilgeräte und löschen Sie Geräte, die Ihnen verdächtig vorkommen.
- Untersuchen Sie die potenziell unzulässigen Aktivitäten:
- In der Admin-Konsole finden Sie das User Logereignisse. Es umfasst eine Liste erfolgreicher und nicht erfolgreicher webbasierter Anmeldungen in Ihrer Domain innerhalb der letzten sechs Monate. Verdächtige Anmeldungen sind mit einem Warnsymbol gekennzeichnet. Sie können auch die Reports API verwenden, um die Anmeldedaten für Domainkonten abzurufen.
- Mit der E-Mail-Protokollsuche haben Sie die Möglichkeit, die Zustellungsprotokolle für Ihre Domains zu prüfen und die Nachrichtenübertragung (Empfang und Versand) bei gehackten Konten auszuwerten. Wird das Konto in Vault verwaltet, können Sie mit dieser Funktion auch die E‑Mail-Aktivitäten nachvollziehen.
Hinweis:Nutzer, die ein Upgrade auf eine Version mit Vault durchgeführt haben, können endgültig gelöschte E‑Mails oder Dokumente wiederherstellen. - Anhand des Sicherheitsberichts können Sie beurteilen, wie gefährdet die Daten in der Domain sind. Sie sollten sich diese Berichte ansehen:
- OAuth-Protokollereignisse
- Groups-Protokollereignisse
- Drive-Protokollereignisse
Unterstützte Versionen für diese Funktion: Frontline Starter, Frontline Standard und Frontline Plus; Business Starter, Business Standard und Business Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard und Education Plus; Essentials Starter, Essentials, Enterprise Essentials und Enterprise Essentials Plus; G Suite Business. Versionen vergleichen
- Kalender-Protokollereignisse
- Vergewissern Sie sich, dass keine schädlichen Einstellungen vorgenommen wurden. Mithilfe der Gmail API können Sie Einstellungen für Nutzerkonten abrufen (z. B. Weiterleitungsoptionen), um festzustellen, ob schädliche Einstellungen vorliegen. Wenn Sie vermuten, dass ein privates Gmail-Konto an dieser Manipulation beteiligt ist, melden Sie dies bitte.
Schritt 3: Zugriff auf betroffene Konten widerrufen
- Folgen Sie der Anleitung unter Nutzerpasswort zurücksetzen.
- Widerrufen Sie OAuth 2.0-Tokens für den Nutzer.
- Nach dem Zurücksetzen eines Nutzerpassworts ist der Zugriff auf Daten für einige Anwendungen mit OAuth-2.0-Authentifizierung nicht mehr möglich. Der betroffene Nutzer muss sich mit seinem Kontonamen und dem neuen Passwort anmelden, um ein neues OAuth 2.0-Token abzurufen.
- Entfernen Sie App-Passwörter, die der Nutzer erstellt hat.
Schritt 4: Dem Nutzer erneute Zugriffsberechtigung gewähren
- Heben Sie die Kontosperrung auf.
- Teilen Sie den Nutzern ihr neues temporäres Passwort mit und bitten Sie sie, ein neues Passwort festzulegen, das nicht für andere Websites oder Anwendungen verwendet wird.
- Aktivieren Sie für die Domain die Bestätigung in zwei Schritten und registrieren Sie die Nutzer mit Sicherheitsschlüsseln. Diese bieten einen besseren Schutz als Codes für die Bestätigung in zwei Schritten.
- Arbeiten Sie gemeinsam mit den Nutzern die Gmail-Sicherheits-Checkliste für Endnutzer ab. Achten Sie beispielsweise auf die korrekte Konfiguration von Filtern und Weiterleitungsoptionen im Konto der Endnutzer.
- Aktualisieren Sie Ihre Optionen zur Kontowiederherstellung.
- Konto auf ungewöhnliche Aktivitäten überprüfen
- Fehlende oder verdächtige Nachrichten suchen
- Kontakte auf Fehler überprüfen
- Gmail-Einstellungen überprüfen
Zusätzliche Sicherheitsmaßnahmen ergreifen
Wir empfehlen Ihnen, diese zusätzlichen Schritte auszuführen, um die Sicherheit der Konten Ihrer Nutzer zu gewährleisten.
Schritt 1: Bestätigung in zwei Schritten mit Sicherheitsschlüsseln einrichten
Die Bestätigung in zwei Schritten bietet eine zusätzliche Sicherheitsstufe für die Konten Ihrer Nutzer. Dabei sind zur Kontoanmeldung nicht nur ein Nutzername und das zugehörige Passwort erforderlich, sondern auch ein Bestätigungscode. Weitere Informationen finden Sie unter Bestätigung in zwei Schritten hinzufügen. Wir empfehlen, statt 2SV-Sicherheitscodes lieber Sicherheitsschlüssel einzusetzen. So sind Sie noch besser vor Phishing geschützt.
Schritt 2: Wiederherstellungsoptionen hinzufügen, schützen oder aktualisieren
Im Hilfeartikel Meinem Administratorkonto Wiederherstellungsoptionen hinzufügen erfahren Sie, wie sekundäre E-Mail-Adressen und Telefonnummern hinterlegt werden. Wir empfehlen, die sekundäre E-Mail-Adresse zu schützen, indem Sie das Passwort ändern oder eine alternative Adresse einsetzen.
Schritt 3: Benachrichtigungen zu Kontoaktivitäten aktivieren
Als Administrator können Sie festlegen, dass Sie über wichtige Kontoaktivitäten benachrichtigt werden, z. B. bei potenziell verdächtigen Anmeldeversuchen oder wenn andere Administratoren Diensteinstellungen ändern.
Allgemeine Empfehlungen zur Aufrechterhaltung der Kontosicherheit finden Sie auch im Sicherheitscenter.