Verwaltung von Google Workspace: Sicherheit, Administration und Datensicherung für IT-Teams

Google Workspace hat sich für einen Großteil der kleinen und mittleren Unternehmen zur wichtigsten Produktivitätsplattform entwickelt, insbesondere in Branchen, die diese Lösung frühzeitig eingeführt und ihre Arbeitsabläufe auf Gmail, Drive, Docs und Meet ausgerichtet haben. Für IT-Teams und MSPs bedeutet eine effektive Verwaltung mehr als nur die Zuweisung von Lizenzen. Es geht darum, die Verantwortung für die Sicherheitskonfiguration zu übernehmen, die Lücken zu schließen, die die nativen Tools von Google offen lassen, und sicherzustellen, dass Kundendaten auf eine Weise geschützt sind, die die Plattform selbst nicht garantiert.

Dieser Leitfaden behandelt die drei Bereiche, in denen eine ordnungsgemäße Verwaltung den größten Unterschied macht: Verwaltung, Sicherheit und Datensicherung. Die Plattform von Kaseya unterstützt weltweit mehr als 50.000 MSPs und IT-Teams bei der Verwaltung genau dieser Umgebungen, und die folgenden Muster zeigen, wo in der Praxis häufig Probleme auftreten.

Google Workspace-Verwaltung: Grundlagen und was an den Standardeinstellungen falsch ist

Die Verwaltung von Google Workspace erfolgt über die Admin-Konsole, eine webbasierte Oberfläche, die die Verwaltung von Benutzern und Gruppen, die Struktur der Organisationseinheiten, die Geräteverwaltung, die Sicherheitseinstellungen sowie die Berichterstellung abdeckt. Das Modell ist cloud-nativ: Änderungen werden sofort wirksam, und es muss kein lokaler Server gewartet werden. Diese Einfachheit hat jedoch auch eine Kehrseite. Da keine Standardkonfiguration an neue Mandanten übertragen wird, sind die Standardeinstellungen oft weniger restriktiv, als es eine Unternehmensumgebung erfordert.

Die drei Bereiche, in denen die Standardeinstellungen am häufigsten zu Problemen führen, sind die Authentifizierung, die Freigabe von Laufwerken und der Zugriff über mobile Geräte.

Authentifizierung. Die zweistufige Verifizierung (2SV) ist die wichtigste Sicherheitsmaßnahme in jeder Google Workspace-Umgebung. Sie wird für Standardbenutzer standardmäßig nicht erzwungen. Ein Administrator muss unter „Sicherheit > Authentifizierung > Zweistufige Verifizierung“ die Funktion aktivieren, entweder für die gesamte Organisation oder für einzelne Organisationseinheiten. Google erzwingt die 2SV nun im Rahmen einer schrittweisen Richtlinie für Administratorkonten, doch die Durchsetzung für Endbenutzer bleibt eine bewusste Entscheidung des Administrators. Laut dem „2025 SaaS Application Security Insights Report“ von Kaseya ist MFA in mehr als 60 % der SaaS-Konten von Endnutzern deaktiviert oder inaktiv. Die 2SV optional zu lassen, ist keine neutrale Entscheidung. Es bedeutet, ein bekanntes Risiko in Kauf zu nehmen.

Freigabe von Laufwerken. Die Standardfreigabeeinstellung in vielen Mandanten ermöglicht „Jedem mit dem Link“ den Zugriff auf Dateien. Das bedeutet, dass ein Benutzer, der ein Dokument freigibt, dieses jedem im Internet mit der URL zugänglich machen kann, ohne dass eine Anmeldung erforderlich ist. IT-Administratoren sollten die organisationsweite Standardeinstellung auf „Aus (eingeschränkt)“ setzen und für die Freigabe an externe Personen eine ausdrückliche Genehmigung verlangen. Finanzabteilungen, Personalteams und alle, die mit Kundendaten umgehen, sollten in Organisationseinheiten zusammengefasst werden, für die speziell strengere Freigabekontrollen gelten.

Zugriff über mobile Geräte. Google Workspace umfasst grundlegende Endpunktverwaltung für mobile Geräte, bietet jedoch keine detaillierte Kontrolle darüber, auf welche Daten Anwendungen zugreifen dürfen oder wie mit Geräten bei Verlust oder Ausscheiden aus dem Unternehmen umgegangen wird. Für Unternehmen mit BYOD-Richtlinien oder solche, in denen mobile Geräte auf sensible Daten in Drive oder Gmail zugreifen, geht die Endpunktverwaltung über eine dedizierte MDM-Lösung über das hinaus, was Google standardmäßig bereitstellt.

Verwaltung des Benutzerlebenszyklus. Die zeitnahe Deaktivierung von Benutzerkonten beim Ausscheiden von Mitarbeitern ist sowohl eine Sicherheitsanforderung als auch eine Maßnahme zur Kontrolle der Lizenzkosten. Der richtige Ablauf sieht vor, das Konto zunächst zu sperren, die Eigentumsrechte an allen Drive-Dateien und Gmail-Daten auf einen Vorgesetzten oder ein Dienstkonto zu übertragen und das Konto anschließend nach Ablauf der üblichen Aufbewahrungsfrist zu löschen. Automatisierte Offboarding-Workflows, die sich in IT Glue und Autotask integrieren lassen, schließen die Lücken, die manuelle Prozesse hinterlassen.

Sicherheitskonfiguration: Was vom ersten Tag an umgesetzt werden sollte

Abgesehen von der zweistufigen Authentifizierung (2SV) und der Übernahme von Standardeinstellungen müssen mehrere Einstellungen in der Admin-Konsole gezielt konfiguriert werden, um eine Sicherheitsbasis auf Unternehmensniveau zu gewährleisten.

Zugriff durch weniger sichere Apps. Google hat die Unterstützung für die Basisauthentifizierung bei privaten Gmail-Konten im Jahr 2022 eingestellt, doch einige ältere Anwendungen und Konnektoren fordern diese in Workspace-Mandanten weiterhin an. Die Admin-Konsole bietet eine Einstellung, mit der der Zugriff durch weniger sichere Apps vollständig blockiert werden kann. Jede Anwendung, die sich nicht über OAuth authentifizieren kann, sollte im Hinblick auf einen Ersatz geprüft werden.

Überwachung der Administratoraktivitäten. Im Bereich „Berichte“ der Admin-Konsole werden Anmeldevorgänge, Administratoraktivitäten, Änderungen bei der Freigabe von Drive-Inhalten sowie Sicherheitswarnungen erfasst. Diese Protokolle sollten regelmäßig überprüft werden. Ungewöhnliche Administratoraktivitäten, wie beispielsweise die Einrichtung eines neuen Superadministrators oder das Löschen einer großen Anzahl von Nutzern, erfordern eine sofortige Untersuchung. Das Einrichten von Warnmeldungen für risikoreiche Ereignisse, wie die Zuweisung von Superadministrator-Rollen oder Anomalien bei der Anmeldung, dauert in der Admin-Konsole nur wenige Minuten und bietet eine umfassende Erfassungsreichweite.

Durchsetzung der Passwortrichtlinien. Die Einstellung „Starke Passwörter erzwingen“ in Google Workspace ist standardmäßig deaktiviert. Administratoren sollten sie aktivieren und eine Mindestlänge von mindestens 12 Zeichen festlegen. Die Richtlinie kann auf der Ebene der Organisationseinheit angewendet werden, wodurch strengere Anforderungen für Konten mit hohen Berechtigungen festgelegt werden können, ohne dass Nutzer mit geringerem Risiko und anderen Arbeitsabläufen davon beeinträchtigt werden.

Zugriff von Drittanbieter-Apps. Im Bereich „API-Kontrollen“ von Google können Administratoren überprüfen und einschränken, welchen Drittanbieter-Anwendungen OAuth-Zugriff auf Workspace-Daten gewährt wurde. Nicht überprüfte OAuth-Zugriffsberechtigungen aus dem Bereich „Shadow IT“ – beispielsweise Produktivitäts-Tools, die Mitarbeiter ohne Überprüfung durch die IT-Abteilung verbinden – können ohne fortlaufende Transparenz auf Daten in Drive, Gmail und Kalender zugreifen. Vierteljährliche Überprüfungen der Liste autorisierter Apps sind eine sinnvolle Grundlage. Die Festlegung einer Richtlinie, die für neue Verbindungen von Drittanbieter-Apps eine Administratorgenehmigung vorschreibt, verhindert, dass sich neue Zugriffe unbemerkt ansammeln.

Ein praktischer Test Ihrer Google Workspace-Sicherheitslage: Fragen Sie sich, ob Sie heute eine Liste aller Drittanbieter-Apps mit Zugriff auf Nutzerdaten, aller Konten ohne obligatorische Zwei-Faktor-Authentifizierung und aller öffentlich freigegebenen Dateien erstellen könnten. Falls die Antwort auf eine dieser Fragen „Nein“ lautet, ist die Überprüfung der Admin-Konsole der richtige Ausgangspunkt.

Die Lücke bei der Datensicherung: Warum Google Vault nicht ausreicht

Google Vault ist die Funktion, die am häufigsten mit einer Datensicherung verwechselt wird. Es handelt sich dabei nicht um eine Datensicherungslösung. Vault dient der Datenaufbewahrung für eDiscovery- und Compliance-Zwecke. Die Daten werden innerhalb der Google-eigenen Infrastruktur gespeichert, was bedeutet, dass ein Ransomware-Angriff oder eine Kompromittierung des Kontos, die die primäre Workspace-Umgebung betrifft, gleichzeitig auch die in Vault gespeicherten Daten beeinträchtigen kann. Es bietet keine zeitpunktgenaue Wiederherstellung und schützt nicht vor den in der Praxis häufigsten Ursachen für Datenverlust: versehentliches Löschen, Handlungen ausscheidender Mitarbeiter und Synchronisierungsfehler durch Integrationen von Drittanbietern.

Das Modell der geteilten Verantwortung von Google ist in dieser Hinsicht eindeutig. Google ist für die Verfügbarkeit und Sicherheit der Plattforminfrastruktur verantwortlich. Die Kunden sind für ihre Daten verantwortlich. Diese Verantwortung geht nicht auf Google über, nur weil sich die Daten in der Cloud befinden.

Die praktischen Risiken sind hinlänglich bekannt. Ein Nutzer löscht Dateien dauerhaft aus Gmail oder Drive, und sobald die 30-tägige Aufbewahrungsfrist im Papierkorb abgelaufen ist, sind die Daten unwiederbringlich verloren. Eine schädliche Datei wird mit Drive synchronisiert und überschreibt die unversehrten Versionen in freigegebenen Ordnern. Ein ausscheidender Mitarbeiter löscht Projektdateien, bevor sein Konto gesperrt wird. Keines dieser Szenarien löst eine Wiederherstellung durch Google aus, da keines davon auf einen Ausfall der Google-Infrastruktur zurückzuführen ist.

Spanning Backup“, Teil von Kaseya 365 , löst dieses Problem durch automatisierte tägliche Backups von Gmail, Drive, Shared Drives, Kalender und Kontakten, mit einem unabhängigen, verschlüsselten Speicher außerhalb der Google-Infrastruktur sowie einer zeitpunktgenauen Wiederherstellung. Für MSPs folgt das Gespräch mit Google Workspace-Kunden dem gleichen Schema wie das Gespräch zum Microsoft 365-Backup: Google schützt die Plattform. Ein Backup-Produkt eines Drittanbieters schützt die Daten.

Die Dark-Web-Überwachungsfunktion von Kaseya bietet eine zusätzliche Sicherheitsstufe und benachrichtigt Administratoren, wenn E-Mail-Adressen und Anmeldedaten von Mitarbeitern, die mit der Domain in Verbindung stehen, in Daten aus Datenlecks auftauchen. Wenn die Anmeldedaten eines Mitarbeiters eines Kunden in einem Daten-Dump auftauchen, kann dies darauf hindeuten, dass diese Daten für das Workspace-Konto des Kunden wiederverwendet wurden, noch bevor eine Anmeldewarnung ausgelöst wird.

E-Mail-Sicherheit: Was Googles Filter übersehen

Die integrierten Spam- und Phishing-Filter von Gmail sind im Allgemeinen wirksam gegen bekannte Bedrohungen und Massenkampagnen. Gegen gezielte Angriffe sind sie jedoch deutlich weniger effektiv. Speziell auf einen Empfänger zugeschnittene Spear-Phishing-E-Mails, Versuche von Business Email Compromise (BEC), bei denen sich die Angreifer als Führungskraft oder Lieferant ausgeben, sowie Zero-Day-Phishing unter Verwendung neu registrierter Domains umgehen oft die Filter von Google und landen im Posteingang.

Dies ist kein Versagen der Google-Plattform. Es handelt sich um eine zutreffende Beschreibung des Bedrohungsmodells. Gezielte Angriffe sind darauf ausgelegt, massenbasierte Erkennung zu umgehen. Ein MSP, der 50 Google Workspace-Kunden betreut, kann sich nicht auf die integrierten Filter von Gmail verlassen, um die Nachrichten abzufangen, die am ehesten erheblichen Schaden anrichten können.

INKY, Teil von Kaseya 365 , erweitert die E-Mail-Sicherheit von Google Workspace um eine KI-basierte Ebene, die über den nativen Filtern angesiedelt ist. Die Lösung nutzt Computer-Vision-Technologie, um Markenfälschungen und den Missbrauch von Logos in Echtzeit zu erkennen und Phishing-Versuche abzufangen, bei denen sich die Absender optisch als vertrauenswürdige Absender ausgeben. Die Bereitstellung erfolgt über eine API, ohne dass Änderungen an den MX-Einträgen erforderlich sind. E-Mails, die als verdächtig identifiziert werden, werden mit farbcodierten Warnbannern versehen, die die Nutzer auf das Risiko hinweisen, ohne ihnen die Kontrolle über die Nachricht zu entziehen. INKY bietet INKY Datenschutz (DLP), Verschlüsselung und DMARC-Durchsetzung, wodurch der Schutz über eingehendes Phishing hinaus auf die Verarbeitung ausgehender Daten und die Absenderauthentifizierung ausgeweitet wird.

Insbesondere für MSPs INKY den Verwaltungsaufwand erheblich. Ein interner Test in verschiedenen MSP-Umgebungen ergab, dass Administratoren den Zeitaufwand für die Verwaltung der E-Mail-Sicherheit von rund 40 Stunden auf etwa 1 Stunde pro Monat senken konnten.

Cloud-Erkennung und -Reaktion für Google Workspace

Die Admin-Konsole von Google zeigt Anmeldevorgänge und Administratoraktivitäten an, korreliert jedoch Verhaltenssignale innerhalb der Workspace-Umgebung nicht in Echtzeit. Ein Konto, das von einem ungewöhnlichen Standort aus angemeldet wird, große Mengen an Drive-Dateien herunterlädt und innerhalb eines Zeitfensters von 30 Minuten OAuth-Verbindungen zu neuen Drittanbieter-Apps herstellt, wird nicht automatisch als kompromittiert markiert. Jedes Ereignis ist für sich genommen sichtbar. Die Korrelation, die es als Vorfall identifiziert, ist es jedoch nicht.

SaaS Alerts, ein Bestandteil von Kaseya 365 , bietet Cloud-basierte Erkennung und Reaktion für Google Workspace, indem es die Benutzeraktivitäten kontinuierlich überwacht und mithilfe von auf maschinellem Lernen basierenden Verhaltensanalysen Anomalien identifiziert. Wenn eine potenzielle Sicherheitsverletzung erkannt wird, kann das System automatisch reagieren: Es beendet aktive Sitzungen, sperrt das Konto und leitet eine Warnmeldung an den MSP oder das IT-Team weiter, ohne auf menschliches Eingreifen zu warten.

Das 2024 eingeführte Respond-Modul für Google Workspace ermöglicht es MSPs, Regeln auf Basis einer „Wenn-Dann“-Logik zu konfigurieren. Ein typisches Beispiel: Wenn eine erfolgreiche Anmeldung von außerhalb eines zugelassenen geografischen Bereichs erfolgt, beendet Respond alle aktiven Sitzungen und blockiert neue Anmeldungen, bis der Kontoinhaber verifiziert wurde. Diese Regeln laufen kontinuierlich, auch außerhalb der Geschäftszeiten. Dies ist von Bedeutung, da sich am Freitagabend entdeckte Kontokompromittierungen ohne automatisierte Reaktion das gesamte Wochenende über zu größeren Vorfällen ausweiten können.

SaaS Alerts überwacht SaaS Alerts den Missbrauch von OAuth-Zugriffsberechtigungen – einen der häufigsten und am wenigsten erkennbaren Angriffsvektoren in Cloud-Umgebungen. Wenn ein Benutzer eine neue SaaS-Anwendung über OAuth mit seinem Workspace-Konto verbindet, SaaS Alerts diese Verbindung und kann den Administrator benachrichtigen oder eine Reaktionsregel auslösen. Im Jahr 2024 SaaS Alerts für seinen jährlichen „SaaS Application Security Insights Report“ mehr als 7,3 Milliarden Ereignisse in SaaS-Umgebungen. Von diesen Ereignissen wiesen über eine Milliarde einen mittleren oder kritischen Schweregrad auf – eine Zahl, die eine kontinuierliche automatisierte Überwachung und nicht eine periodische manuelle Überprüfung zum einzig realistischen Verwaltungsmodell macht.

Verwaltung von Google Workspace in großem Maßstab mit Kaseya 365

Ein MSP, der 30 Google Workspace-Kunden betreut, sieht sich mit einer sich verschärfenden Version jedes der oben beschriebenen Probleme konfrontiert. Die Sicherheitskonfigurationen weichen von Mandant zu Mandant ab. Die Backup-Abdeckung ist uneinheitlich. Sicherheitslücken im E-Mail-Bereich in einer Kundenumgebung gefährden auch andere. Ohne eine einheitliche Plattform erfordert es entweder aufwendige manuelle Überprüfungszyklen oder die Akzeptanz einer uneinheitlichen Abdeckung, um Schritt zu halten.

Kaseya 365 vereint die drei wichtigsten Sicherheits- und Schutzebenen von Google Workspace in einem einzigen Abonnement. INKY die erweiterte Erkennung von E-Mail-Bedrohungen und das Benutzer-Coaching. SaaS Alerts eine kontinuierliche Verhaltensüberwachung und automatisierte Reaktionen in der gesamten Workspace-Umgebung. Spanning tägliche automatisierte Backups mit unabhängigem Speicherplatz und zeitpunktgenauer Wiederherstellung. Alle drei Komponenten verbinden sich über eine API mit Google Workspace, ohne dass Agenten installiert oder Infrastrukturen verwaltet werden müssen.

Die wirtschaftlichen Argumente für MSPs liegen auf der Hand. Jede dieser Ebenen deckt ein Risiko ab, das die nativen Tools von Google nicht vollständig abdecken. Kunden, die Google Workspace ohne SaaS-Backup nutzen, sind einem Datenverlust ausgesetzt, den ihre Business-Continuity-Pläne nicht abdecken können. Kunden ohne Cloud-Erkennung und -Reaktion haben keinen Einblick in Kontokompromittierungen, bis der Schaden bereits entstanden ist. Diese Lücken klar aufzuzeigen – untermauert durch Belege aus dem Shared-Responsibility-Modell und gegebenenfalls durch Durchsetzungsmaßnahmen – ist der Gesprächsansatz, der Kaseya 365 von einer Diskussion über ein Add-on zu einer grundlegenden Erwartung macht.

Entdecken Sie Kaseya 365 für den Schutz von Google Workspace.

Einen tieferen Einblick darin, wie sich die Sicherheit von SaaS-Anwendungen in die übergeordnete Strategie zur Cyber-Resilienz von MSPs einfügt, erhalten Sie in der „Cyber-Resilience-Checkliste für MSPs “ und im „Kaseya State of the MSP Report 2026“.