Vorhandene Nutzerkonten bewerten

Google unterstützt zwei Arten von Nutzerkonten: verwaltete Nutzerkonten und Privatnutzerkonten. Verwaltete Nutzerkonten werden vollständig von einem Cloud Identity- oder G Suite-Administrator verwaltet. Im Gegensatz dazu sind Privatnutzerkonten vollständig im Besitz der Nutzer, die sie erstellt haben, und werden von ihnen verwaltet.

Ein zentrales Prinzip der Identitätsverwaltung ist die zentrale Verwaltung von Identitäten in Ihrer Organisation:

  • Wenn Sie Google als Identitätsanbieter (Identity Provider, IdP) verwenden, sollten Sie Cloud Identity oder die G Suite zur zentralen Verwaltung von Identitäten verwenden. Mitarbeiter sollten sich ausschließlich auf Nutzerkonten verlassen, die Sie in Cloud Identity oder der G Suite verwalten.

  • Wenn Sie einen externen IdP verwenden, sollten diese Anbieter Identitäten zentral verwalten. Der externe IdP muss Nutzerkonten in Cloud Identity oder der G Suite bereitstellen und verwalten. Mitarbeiter sollten sich bei der Verwendung von Google-Diensten ausschließlich auf diese verwalteten Nutzerkonten verlassen.

Wenn Mitarbeiter Privatnutzerkonten verwenden, ist die Prämisse der zentralen Verwaltung von Identitäten gefährdet. Privatnutzerkonten werden nicht von Cloud Identity, der G Suite oder Ihrem externen IdP verwaltet. Daher müssen Sie die Privatnutzerkonten identifizieren, die Sie in verwaltete Konten umwandeln möchten, wie in der Authentifizierungsübersicht erläutert.

In diesem Dokument wird Folgendes erläutert:

  • Welche vorhandenen Nutzerkonten die Mitarbeiter Ihrer Organisation möglicherweise verwenden und wie diese Konten identifiziert werden.
  • Welche Risiken mit diesen vorhandenen Nutzerkonten verbunden sein können.

Beispielszenario

Zur Veranschaulichung der verschiedenen Gruppen von Nutzerkonten, die Mitarbeiter möglicherweise verwenden, wird in diesem Dokument ein Beispielszenario für ein Unternehmen mit dem Namen Beispielorganisation verwendet. Die Beispielorganisation hat sechs Mitarbeiter und frühere Mitarbeiter, die alle Google-Dienste wie Google Docs und Google Ads nutzen. Die Beispielorganisation möchte nun ihre Identitätsverwaltung konsolidieren und ihren externen IdP zur zentralen Verwaltung von Identitäten einrichten. Jeder Mitarbeiter hat eine Identität beim externen IdP, die mit der E-Mail-Adresse des Mitarbeiters übereinstimmt.

Es gibt zwei Privatnutzerkonten, Carol und Chuck, die eine example.com-E-Mail-Adresse verwenden:

  • Carol hat mit ihrer geschäftlichen E-Mail-Adresse (carol@example.com) ein Privatnutzerkonto erstellt.
  • Chuck, ein früherer Mitarbeiter des Unternehmens, hat mit seiner geschäftlichen E-Mail-Adresse (chuck@example.com) ein Privatnutzerkonto erstellt.

Die beiden Mitarbeiter Glen und Grace haben sich für ein Gmail-Konto entschieden:

  • Glen hat sich für ein Gmail-Konto (glen@gmail.com)) registriert, mit dem er auf private Dokumente, Unternehmensdokumente und andere Google-Dienste zugreifen kann.
  • Grace verwendet außerdem ein Gmail-Konto (grace@gmail.com), hat jedoch ihre geschäftliche E-Mail-Adresse (grace@example.com) als alternative E-Mail-Adresse hinzugefügt.

Und schließlich verwenden zwei Mitarbeiter, Mary und Mike, bereits Cloud Identity:

  • Mary hat ein Cloud Identity-Nutzerkonto (mary@example.com).
  • Mike ist der Administrator des Cloud Identity-Kontos und hat einen Nutzer (admin@example.com) für sich selbst erstellt.

Das folgende Diagramm veranschaulicht die verschiedenen Gruppen von Nutzerkonten:

Gruppen von Nutzerkonten

Um den externen IdP zur zentralen Verwaltung von Identitäten festzulegen, müssen Sie die Identitäten der vorhandenen Google-Nutzerkonten mit den Identitäten im externen IdP verknüpfen. Im folgenden Diagramm wird daher eine Kontogruppe hinzugefügt, die die Identitäten beim externen IdP darstellt.

Nutzerkontogruppe für Identitäten im externen IdP

Wenn Mitarbeiter einen externen IdP zur zentralen Verwaltung von Identitäten einrichten möchten, müssen sie sich ausschließlich auf verwaltete Nutzerkonten verlassen. Der externe IdP muss diese Nutzerkonten verwalten.

Derzeit erfüllt nur Mary diese Anforderungen. Sie verwendet einen Cloud Identity-Nutzer, bei dem es sich um ein verwaltetes Nutzerkonto handelt. Die Identität ihres Nutzerkontos stimmt mit ihrer Identität beim externen IdP überein. Alle anderen Mitarbeiter verwenden entweder Privatnutzerkonten oder die Identität ihrer Konten stimmt nicht mit ihrer Identität beim externen IdP überein. Die Risiken und Konsequenzen für das Nichterfüllen der Anforderungen sind für jeden dieser Nutzer unterschiedlich. Jeder Nutzer stellt eine andere Gruppe von Nutzerkonten dar, die weitere Untersuchungen erfordern.

Zu untersuchende Nutzerkonten

In den folgenden Abschnitten werden potenziell problematische Gruppen von Nutzerkonten untersucht.

Privatnutzerkonten

Diese Gruppe von Nutzerkonten besteht aus Konten, für die eine der folgenden Bedingungen zutrifft:

  • Sie wurden von Mitarbeitern mithilfe des Features Registrieren erstellt, die von vielen Google-Diensten angeboten wird.
  • Sie verwenden eine geschäftliche E-Mail-Adresse als Identität.

Im Beispielszenario trifft diese Beschreibung auf Carol und Chuck zu.

Ein Privatnutzerkonto, das für geschäftliche Zwecke verwendet wird und eine geschäftliche E-Mail-Adresse verwendet, kann ein Risiko für Ihr Unternehmen darstellen, z. B.:

  • Sie können den Lebenszyklus des Privatnutzerkontos nicht steuern. Ein Mitarbeiter, der das Unternehmen verlässt, kann das Nutzerkonto weiterhin verwenden, um auf Unternehmensressourcen zuzugreifen oder Ausgaben für das Unternehmen zu erzeugen.

    Selbst wenn Sie den Zugriff auf alle Ressourcen widerrufen, kann das Konto dennoch ein Risiko für Social Engineering darstellen. Da das Nutzerkonto eine scheinbar vertrauenswürdige Identität wie chuck@example.com verwendet, kann der frühere Mitarbeiter möglicherweise aktuelle Mitarbeiter oder Geschäftspartner davon überzeugen, ihm wieder Zugriff auf Ressourcen zu gewähren.

    Ebenso kann ein ehemaliger Mitarbeiter über das Nutzerkonto Aktivitäten ausführen, die nicht den Richtlinien Ihrer Organisation entsprechen, was den Ruf Ihres Unternehmens gefährden könnte.

  • Sie können keine Sicherheitsrichtlinien wie MFA-Überprüfung oder Regeln für die Passwortkomplexität für das Konto erzwingen.

  • Sie können nicht einschränken, an welchem geografischen Standort die Daten in Google Docs und Google Drive gespeichert werden. Dies kann ein Compliance-Risiko darstellen.

  • Sie können nicht einschränken, auf welche Google-Dienste über dieses Nutzerkonto zugegriffen werden kann.

Wenn sich die Beispielorganisation dazu entscheidet, Google als IdP zu verwenden, sollten Kundenkonten entweder zu Cloud Identity oder zur G Suite migriert oder entfernt werden. Zwingen Sie dafür die Eigentümer dazu, das Nutzerkonto umzubenennen.

Wenn sich die Beispielorganization für die Verwendung eines externen IdP entscheidet, muss zwischen folgenden Fällen unterschieden werden:

  • Privatnutzerkonten mit übereinstimmender Identität beim externen IdP.
  • Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP.

In den folgenden beiden Abschnitten werden diese beiden abgeleiteten Klassen im Detail behandelt.

Privatnutzerkonten mit übereinstimmender Identität beim externen IdP

Diese Gruppe von Nutzerkonten besteht aus Konten, auf die Folgendes zutrifft:

  • Sie wurden von Mitarbeitern erstellt.
  • Sie verwenden eine geschäftliche E-Mail-Adresse als primäre E-Mail-Adresse.
  • Ihre Identität stimmt mit einer Identität beim externen IdP überein.

Im Beispielszenario passt diese Beschreibung zu Carol.

Konten mit einer übereinstimmenden Identität beim externen IdP

Die Tatsache, dass diese Privatnutzerkonten bei Ihrem externen IdP eine übereinstimmende Identität haben, deutet darauf hin, dass diese Nutzerkonten aktuellen Mitarbeitern gehören und beibehalten werden sollten. Daher sollten Sie diese Konten zu Cloud Identity oder zur G Suite migrieren.

So können Sie Privatnutzerkonten identifizieren, deren Identität beim externen IdP übereinstimmt:

  1. Fügen Sie alle Domains zu Cloud Identity oder zur G Suite hinzu, die möglicherweise für die Registrierung von Privatnutzerkonten verwendet wurden. Insbesondere sollte die Liste der Domains in Cloud Identity oder der G Suite alle Domains enthalten, die von Ihrem E-Mail-System unterstützt werden.
  2. Verwenden Sie das Übertragungstool für nicht verwaltete Nutzer, um Privatnutzerkonten zu identifizieren, deren E-Mail-Adresse mit einer der Domains übereinstimmt, die Sie Cloud Identity oder der G Suite hinzugefügt haben.
  3. Vergleichen Sie die Liste der Privatnutzerkonten mit den Identitäten Ihres externen IdP und finden Sie Privatnutzerkonten mit einem entsprechenden Gegenstück.

Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP

Diese Gruppe von Nutzerkonten besteht aus Konten, auf die Folgendes zutrifft:

  • Sie wurden von Mitarbeitern erstellt.
  • Sie verwenden eine geschäftliche E-Mail-Adresse als Identität.
  • Ihre Identität stimmt nicht mit einer Identität beim externen IdP überein.

Im Beispielszenario passt diese Beschreibung zu Chuck.

Konten ohne übereinstimmende Identität beim externen IdP

Es gibt mehrere Gründe für Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP, darunter:

  • Der Mitarbeiter, der das Konto erstellt hat, hat das Unternehmen möglicherweise verlassen. Dadurch ist die entsprechende Identität nicht mehr im externen IdP vorhanden.
  • Die E-Mail-Adresse, die für die Registrierung des Privatnutzerkontos verwendet wird, und die Identität, die dem externen IdP bekannt ist, stimmen möglicherweise nicht überein. Solche Abweichungen können auftreten, wenn Ihr E-Mail-System Variationen von E-Mail-Adressen wie die folgenden zulässt:

    • Verwenden alternativer Domains. Zum Beispiel könnten johndoe@example.org und johndoe@example.com Aliasse für dasselbe Postfach sein, aber der Nutzer ist möglicherweise nur als johndoe@example.com in Ihrem IdP bekannt.
    • Verwenden alternativer Handles. johndoe@example.com und john.doe@example.com können sich beispielsweise auch auf dasselbe Postfach beziehen, aber Ihr IdP erkennt möglicherweise nur eine Schreibweise.
    • Verwenden von Groß- und Kleinschreibung. Beispielsweise werden die Varianten johndoe@example.com und JohnDoe@example.com möglicherweise nicht als derselbe Nutzer erkannt.

Sie können Privatnutzerkonten, die keine übereinstimmende Identität beim externen IdP haben, so behandeln:

So können Sie Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP identifizieren:

  1. Fügen Sie alle Domains zu Cloud Identity oder zur G Suite hinzu, die möglicherweise für die Registrierung von Privatnutzerkonten verwendet wurden. Insbesondere sollte die Liste der Domains in Cloud Identity oder der G Suite alle Domains enthalten, die Ihr E-Mail-System als Aliasse unterstützt.
  2. Verwenden Sie das Übertragungstool für nicht verwaltete Nutzer, um Privatnutzerkonten zu identifizieren, deren E-Mail-Adresse mit einer der Domains übereinstimmt, die Sie Cloud Identity oder der G Suite hinzugefügt haben.
  3. Vergleichen Sie die Liste der Privatnutzerkonten mit den Identitäten Ihres externen IdP und finden Sie die Privatnutzerkonten, für die es kein Gegenstück gibt.

Verwaltete Konten ohne übereinstimmende Identität beim externen IdP

Diese Gruppe von Nutzerkonten besteht aus Konten, auf die Folgendes zutrifft:

  • Sie wurden manuell von einem Cloud Identity- oder G Suite-Administrator erstellt.
  • Ihre Identität stimmt mit keiner Identität beim externen IdP überein.

Im Beispielszenario entspricht diese Beschreibung Mike, der die Identität admin@example.com für sein verwaltetes Konto verwendet hat.

Manuell erstellte Konten, deren Identität mit keiner Identität beim externen IdP übereinstimmt

Die potenziellen Gründe für verwaltete Konten ohne übereinstimmende Identität beim externen IdP ähneln denen für Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP:

  • Der Mitarbeiter, für den das Konto erstellt wurde, hat möglicherweise das Unternehmen verlassen, sodass die entsprechende Identität nicht mehr im externen IdP vorhanden ist.
  • Die geschäftliche E-Mail-Adresse, die mit der Identität beim externen IdP übereinstimmt, wurde möglicherweise als alternative E-Mail-Adresse oder als Alias und nicht als primäre E-Mail-Adresse festgelegt.
  • Die E-Mail-Adresse, die für das Nutzerkonto in Cloud Identity oder der G Suite verwendet wird, stimmt möglicherweise nicht mit der Identität überein, die dem externen IdP bekannt ist. Weder Cloud Identity noch die G Suite prüft, ob die als Identität verwendete E-Mail-Adresse vorhanden ist. Eine Abweichung kann daher nicht nur aufgrund alternativer Domains, alternativer Handles oder unterschiedlicher Groß- und Kleinschreibung auftreten, sondern auch aufgrund von Tippfehlern oder anderen menschlichen Fehlern.

Unabhängig von ihrem Grund stellen verwaltete Konten ohne übereinstimmende Identität beim externen IdP ein Risiko dar, da sie unbeabsichtigt wiederverwendet und besetzt werden können. Wir empfehlen Ihnen, diese Konten abzugleichen.

So können Sie Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP identifizieren:

  1. Exportieren Sie über die Admin-Konsole oder die Directory API die Liste der Nutzerkonten in Cloud Identity oder die G Suite.
  2. Vergleichen Sie die Liste der Konten mit den Identitäten Ihres externen IdP und finden Sie Konten ohne Gegenstück.

Gmail-Konten für geschäftliche Zwecke

Diese Gruppe von Nutzerkonten umfasst Konten, auf die Folgendes zutrifft:

  • Sie wurden von Mitarbeitern erstellt.
  • Sie verwenden eine gmail.com-E-Mail-Adresse als Identität.
  • Ihre Identitäten stimmen mit keiner Identität beim externen IdP überein.

Im Beispielszenario entspricht diese Beschreibung Grace und Glen.

Von Mitarbeitern erstellte Gmail-Konten, deren Identität mit keiner Identität beim externen IdP übereinstimmt

Gmail-Konten, die für geschäftliche Zwecke verwendet werden, unterliegen ähnlichen Risiken wie Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP:

  • Sie können den Lebenszyklus des Privatnutzerkontos nicht steuern. Ein Mitarbeiter, der das Unternehmen verlässt, kann das Nutzerkonto weiterhin verwenden, um auf Unternehmensressourcen zuzugreifen oder Ausgaben für das Unternehmen zu erzeugen.
  • Sie können keine Sicherheitsrichtlinien wie MFA-Überprüfung oder Regeln für die Passwortkomplexität für das Konto erzwingen.

Der beste Umgang mit Gmail-Konten besteht daher darin, den Zugriff dieser Nutzerkonten auf alle Unternehmensressourcen aufzuheben und den betroffenen Mitarbeitern neue verwaltete Nutzerkonten als Ersatz zur Verfügung zu stellen.

Da Gmail-Konten gmail.com als Domain verwenden, gibt es keine eindeutige Zugehörigkeit zu Ihrer Organisation. Das Fehlen einer eindeutigen Zugehörigkeit deutet darauf hin, dass es neben der Bereinigung vorhandener Richtlinien zur Zugriffskontrolle keine systematische Möglichkeit gibt, Gmail-Konten zu identifizieren, die für geschäftliche Zwecke verwendet wurden.

Gmail-Konten mit einer geschäftlichen E-Mail-Adresse als alternative E-Mail-Adresse

Diese Gruppe von Nutzerkonten besteht aus Konten, auf die Folgendes zutrifft:

  • Sie wurden von Mitarbeitern erstellt.
  • Sie verwenden eine gmail.com-E-Mail-Adresse als Identität.
  • Sie verwenden eine geschäftliche E-Mail-Adresse als alternative E-Mail-Adresse.
  • Ihre Identitäten stimmen mit keiner Identität beim externen IdP überein.

Im Beispielszenario passt diese Beschreibung zu Grace.

Gmail-Konten mit einer geschäftlichen E-Mail-Adresse als alternative E-Mail-Adresse

In Bezug auf das Risiko entsprechen Gmail-Konten, die eine geschäftliche E-Mail-Adresse als alternative E-Mail-Adresse verwenden, Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP. Da diese Konten eine scheinbar vertrauenswürdige Unternehmens-E-Mail-Adresse als zweite Identität verwenden, unterliegen sie dem Risiko von Social Engineering.

Gmail-Konten, die eine geschäftliche E-Mail-Adresse als alternative E-Mail-Adresse verwenden, sollten am besten bereinigt werden. Wenn Sie ein Konto bereinigen, zwingen Sie den Inhaber, die geschäftliche E-Mail-Adresse aufzugeben, indem Sie ein verwaltetes Nutzerkonto mit derselben geschäftlichen E-Mail-Adresse erstellen. Darüber hinaus empfehlen wir Ihnen, den Zugriff auf alle Unternehmensressourcen zu widerrufen und den betroffenen Mitarbeitern die neuen verwalteten Nutzerkonten als Ersatz zur Verfügung zu stellen.

Wenn Sie Hilfe bei der systematischen Identifizierung von Gmail-Konten benötigen, die eine geschäftliche E-Mail-Adresse als alternative E-Mail-Adresse verwenden, wenden Sie sich an unser Supportteam.

Weitere Informationen