Articles

Google Workspace Updates: Abschalten des Zugriffs weniger sicherer Apps auf G Suite-Konten

Posted on

Was sich ändert

Ab Juni 2020 schränken wir die Möglichkeit für weniger sichere Apps (LSAs) ein, auf G Suite-Kontodaten zuzugreifen. LSAs sind Nicht-Google-Apps, die nur mit einem Benutzernamen und einem Passwort auf Ihr Google-Konto zugreifen können. Sie machen Ihr Konto anfälliger für Hijacking-Versuche. Anstelle von LSAs können Sie Apps verwenden, die OAuth unterstützen – eine moderne und sichere Zugriffsmethode.
Am ehesten sind Nutzer von älteren E-Mail-, Kalender- und Kontakte-Apps betroffen – weitere Details finden Sie unten. Wir haben auch eine E-Mail an den Hauptadministrator Ihrer Organisation mit Details zu dieser Änderung geschickt. Diese E-Mail enthält eine Liste der Benutzer, die wahrscheinlich betroffen sind.
Der Zugriff auf LSAs wird in zwei Stufen abgeschaltet:

  • Nach dem 15. Juni 2020 – Benutzer, die zum ersten Mal versuchen, sich mit einer LSA zu verbinden, können dies nicht mehr tun. Dies gilt auch für Apps von Drittanbietern, die den passwortgeschützten Zugriff auf Google-Kalender, -Kontakte und -E-Mails über Protokolle wie CalDAV, CardDAV, IMAP und Exchange ActiveSync (Google Sync) ermöglichen. Nutzer, die sich vor diesem Datum mit LSAs verbunden haben, können diese weiterhin nutzen, bis die Nutzung aller LSAs abgeschaltet wird.
  • Nach dem 15. Februar 2021 wird der Zugriff auf LSAs für alle G Suite-Konten abgeschaltet.

Dies ist eine Fortsetzung unseres zuvor angekündigten Prozesses, den Zugriff auf weniger sichere Apps zu beschränken, um G Suite-Konten zu schützen. Im Folgenden finden Sie weitere Details zu den möglichen Auswirkungen dieser Änderung und einige Empfehlungen für das Änderungsmanagement mit Benutzern von LSAs.

Wer ist betroffen

Endbenutzer

Warum das wichtig ist

Viele Benutzer verwenden Nicht-Google-Apps und geben diesen Apps die Erlaubnis, auf G Suite-Daten zuzugreifen. Zum Beispiel können Sie der iOS-Mail-App die Erlaubnis geben, Ihre Arbeits-E-Mails zu sehen. Dies bietet Benutzern mehr Optionen und hilft ihnen, ihre Arbeit so zu erledigen, wie es für sie am besten ist.
Wenn der Zugriff auf ein Konto über eine LSA erfolgt, besteht die Gefahr, dass dieses Konto gekapert wird. Das liegt daran, dass LSAs einer Nicht-Google-App den Zugriff auf Ihr Konto nur über einen Benutzernamen und ein Kennwort ermöglichen, ohne einen anderen Authentifizierungsfaktor. Wenn ein bösartiger Akteur Zugriff auf Ihren Benutzernamen und Ihr Kennwort erhält (z. B. wenn Sie das Kennwort auf einer anderen Website wiederverwenden, die von einer Datenschutzverletzung betroffen ist), könnte er über eine LSA nur mit diesem Benutzernamen und diesem Kennwort auf Ihre Kontodaten zugreifen.

Wenn der Kontozugriff jedoch über OAuth erfolgt, erhalten wir mehr Details über die Anmeldung und können sie auf dieselbe Weise validieren wie bei jeder anderen Anmeldung bei Ihrem Konto. Das bedeutet, dass wir verdächtige Anmeldeversuche besser identifizieren und verhindern können, so dass Hijacker nicht auf die Kontodaten zugreifen können, selbst wenn sie Ihren Benutzernamen und Ihr Passwort haben. OAuth hilft uns auch dabei, vom G Suite-Administrator definierte Login-Richtlinien durchzusetzen, wie z. B. die Verwendung von Sicherheitsschlüsseln, sowie andere Sicherheitskontrollen, wie z. B. das Whitelisting von Apps und das Anbieten eines bereichsbasierten Kontozugriffs.
Da wir ständig daran arbeiten, die Sicherheit der G Suite-Konten Ihrer Organisation zu verbessern, haben wir die Entscheidung getroffen, den LSA-Zugriff zum 15. Februar 2021 zu entfernen. In Anbetracht der vielen alternativen Apps und Prozesse, die OAuth verwenden (siehe unten), hoffen wir, dass dies keine signifikanten Unterbrechungen verursacht und gleichzeitig die Sicherheit Ihrer Konten erhöht.

Wie Sie loslegen können

  • Admins:
    • Siehe den Abschnitt „Zusätzliche Details“ unten für weitere Informationen und empfohlene Maßnahmen.
    • Eine Liste der Benutzer, die wahrscheinlich von der Änderung betroffen sind, finden Sie in der E-Mail, die an den primären Administrator Ihrer Organisation gesendet wurde, mit der Betreffzeile „Wechseln Sie zu Apps, die sicheren OAuth-Zugriff verwenden, da der kennwortbasierte Zugriff nicht mehr unterstützt wird“.
  • Endbenutzer: Weitere Details und Handlungsempfehlungen finden Sie im Abschnitt „Informationen und Ratschläge für Nutzer“ weiter unten, oder nutzen Sie unser Hilfe-Center, um mehr über weniger sichere Apps und Ihr Google-Konto zu erfahren.

Zusätzliche Details

Informationen für Administratoren und Entwickler
Mobile Device Management (MDM)-Konfiguration – Wenn Ihre Organisation einen Mobile Device Management (MDM)-Anbieter verwendet, um CalDAV-, CardDAV- und Exchange ActiveSync (Google Sync)-Profile zu konfigurieren, werden diese Dienste gemäß dem unten stehenden Zeitplan auslaufen:

  • Juni 15, 2020 – MDM-Push von IMAP, CalDAV, CardDAV und Exchange ActiveSync (Google Sync) wird für neue Benutzer nicht mehr funktionieren.
  • Februar 15, 2021 – MDM-Push von IMAP, CalDAV, CardDAV und Exchange ActiveSync (Google Sync) wird für bestehende Benutzer nicht mehr funktionieren. Admins müssen ein Google-Konto über ihren MDM-Anbieter pushen, der die Google-Konten auf iOS-Geräten mit OAuth neu hinzufügt.

Scanner und andere Geräte – Für Scanner oder andere Geräte, die Simple Mail Transfer Protocol (SMTP) oder LSAs zum Senden von E-Mails verwenden, ist keine Änderung erforderlich. Wenn Sie Ihr Gerät austauschen, suchen Sie nach einem, das E-Mails mit OAuth sendet.
Anleitung für Entwickler – Um die Kompatibilität mit G Suite-Konten zu erhalten, aktualisieren Sie Ihre App, um OAuth 2.0 als Verbindungsmethode zu verwenden. Um loszulegen, folgen Sie unserem Entwicklerleitfaden zur Verwendung von OAuth 2.0 für den Zugriff auf Google-APIs. Sie können auch unseren Leitfaden zu OAuth 2.0 für mobile & Desktop-Apps lesen.
Informationen und Tipps für Endnutzer
Wenn Sie eine App verwenden, die nur mit einem Nutzernamen und einem Passwort auf Ihr Google-Konto zugreift, führen Sie eine der folgenden Maßnahmen durch, um zu einer sichereren Methode zu wechseln und weiterhin auf Ihre E-Mails, Ihren Kalender oder Ihre Kontakte zuzugreifen. Wenn Sie keine der folgenden Maßnahmen ergreifen, erhalten Sie, wenn der LSA-Zugriff nach dem 15. Februar 2021 eingestellt wird, eine Fehlermeldung, dass Ihre Benutzername-Passwort-Kombination falsch ist.
E-Mail

  • Wenn Sie eigenständiges Outlook 2016 oder früher verwenden, können Sie G Suite Sync für Microsoft Outlook verwenden. Alternativ können Sie auf Office 365 (oder Outlook 2019) umsteigen, die OAuth-Zugriff unterstützen.
  • Wenn Sie Thunderbird oder einen anderen E-Mail-Client verwenden, fügen Sie Ihr Google-Konto erneut hinzu und konfigurieren Sie es für die Verwendung von IMAP mit OAuth.
  • Wenn Sie die Mail-App auf iOS oder MacOS oder Outlook für Mac verwenden und nur ein Passwort zur Anmeldung verwenden, müssen Sie Ihr Konto entfernen und neu hinzufügen. Wenn Sie es wieder hinzufügen, stellen Sie sicher, dass Sie Google als Kontotyp auswählen, um automatisch OAuth zu verwenden.

Kalender

  • Wenn Sie CalDAV verwenden, um einer App oder einem Gerät Zugriff auf Ihren Kalender zu geben, wechseln Sie zu einer Methode, die OAuth unterstützt. Wir empfehlen die Google Kalender-App als die sicherste App, die Sie mit Ihrem G Suite-Konto verwenden können.
  • Wenn Ihr G Suite-Konto mit der Kalender-App in iOS oder MacOS verknüpft ist und nur ein Passwort zur Anmeldung verwendet, müssen Sie Ihr Konto entfernen und erneut auf Ihrem Gerät hinzufügen. Wenn Sie es wieder hinzufügen, wählen Sie „Mit Google anmelden“, um automatisch OAuth zu verwenden. Lesen Sie mehr.

Kontakte

  • Wenn Ihr G Suite-Konto Kontakte mit iOS oder MacOS über CardDAV synchronisiert und nur ein Passwort zur Anmeldung verwendet, müssen Sie Ihr Konto entfernen. Wenn Sie es wieder hinzufügen, wählen Sie „Mit Google anmelden“, um automatisch OAuth zu verwenden. Lesen Sie mehr.
  • Wenn Ihr G Suite-Konto Kontakte mit einer anderen Plattform oder App über CardDAV synchronisiert und nur ein Passwort für die Anmeldung verwendet, wechseln Sie zu einer Methode, die OAuth unterstützt.

Andere weniger sichere Apps

  • Wenn Sie andere Apps auf iOS oder MacOS verwenden, die nur über ein Kennwort auf die Informationen Ihres G Suite-Kontos zugreifen, können die meisten Zugriffsprobleme behoben werden, indem Sie Ihr Konto entfernen und wieder hinzufügen. Wenn Sie es wieder hinzufügen, stellen Sie sicher, dass Sie Google als Kontotyp auswählen, um automatisch OAuth zu verwenden.
  • Für jede andere LSA wenden Sie sich an Ihren Administrator oder bitten Sie den Entwickler der verwendeten App, OAuth zu unterstützen.
  • Wenn der Entwickler seine App nicht aktualisieren will, müssen Sie zu einem Client wechseln, der OAuth unterstützt.
  • G Suite Updates Blog: Zugriff auf weniger sichere Apps einschränken, um G Suite-Konten zu schützen
  • Admin Help Center: Zugriff auf weniger sichere Apps einschränken
  • Admin Help Center: Alternativen zu weniger sicheren Apps verwenden
  • Hilfecenter für Endnutzer: Weniger sichere Apps und Ihr Google-Konto

Verfügbarkeit

Rollout-Details – alle Domains

  • Nach dem 15. Juni 2020
    • Nutzer, die zum ersten Mal versuchen, sich mit einer LSA zu verbinden, können dies nicht mehr tun. Dies gilt auch für Apps von Drittanbietern, die den passwortgeschützten Zugriff auf Google-Kalender, -Kontakte und -E-Mails über Protokolle wie CalDAV, CardDAV, IMAP und Exchange ActiveSync (Google Sync) ermöglichen. Nutzer, die sich vor diesem Datum mit LSAs verbunden haben, können diese weiterhin nutzen, bis die Nutzung aller LSAs abgeschaltet wird.
    • MDM-Konfiguration von CalDAV oder CardDAV wird für neue Benutzer nicht mehr funktionieren.
  • Nach dem 15. Februar 2021
    • Der Zugriff auf LSAs wird für alle G Suite-Konten abgeschaltet.
    • MDM-Konfiguration von CalDAV und CardDAV wird für bestehende Benutzer nicht mehr funktionieren. Alle bestehenden Nutzer müssen ihre Google-Konten neu hinzufügen, wenn sie Kontakte, Kalender oder E-Mails synchronisieren möchten.

G Suite-Editionen
Gilt für alle G Suite-Editionen
Standardmäßig ein/aus?
Diese Funktion ist standardmäßig eingeschaltet und kann nicht ausgeschaltet werden.
Bleiben Sie bei G Suite-Neueinführungen auf dem Laufenden

  • Erhalten Sie Benachrichtigungen über G Suite-Produktaktualisierungen per E-Mail
  • Sehen Sie den Kalender für G Suite-Neueinführungen
  • Abonnieren Sie den RSS-Feed für diese Aktualisierungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.