Google G Suite: Nicht verifizierte Drittanbieter-Apps, die auf Gmail zugreifen, müssen jetzt auf die Whitelist

Maximilian Boos

Google Cloud G SuiteFür Unternehmen, die von klassischen Anwendungen auf moderne Cloud-Lösungen umsteigen, ist Sicherheit einer der zentralen Aspekte. Dementsprechend arbeiten die Entwicklungsteams der Google G Suite kontinuierlich daran, höchsten Anforderungen gerecht zu werden.

Um Kundendaten noch wirksamer zu schützen, hat Google eine Änderung der Richtlinien für Drittanbieter-Apps (Web-Applikationen, Android, iOS, Chrome und andere Anwendungen) ausgeliefert, die über G-Suite-APIs und Oauth2 auf Gmail-Daten zugreifen.

Whitelist auch für Apps, die in der eigenen Domain genutzt werden

Google hatte bereits Anfang des Jahres die Maßnahme durchgesetzt, dass unternehmensfremde Apps, die über Gmail-APIs auf User-Daten zugreifen, mittels OAuth API Application Verification verifiziert werden mussten, um die neuen Datenschutz- und Sicherheitsstandards zu erfüllen. Ab dem heutigen 8. Juli gelten ähnliche Anforderungen auch für Apps, die in der eigenen Domain zum Einsatz kommen.

Was bedeutet das konkret? Eine neue App-Installation für eine nicht verifizierte Drittanbieter-Anwendung, die auf Gmail-Daten zugreift und die ab dem 8. Juli vorgenommen wird, ist per Standardeinstellung blockiert, wenn das Administrationsteam sie via Admin-Konsole nicht explizit als vertrauenswürdig einstuft (Whitelist). Bestehende unverifizierte App-Installationen, die zu einem früheren Zeitpunkt vorgenommen wurden, funktionieren für die Nutzer weiterhin.

Optionen für G-Suite-Administratoren

Admins sind nun angehalten, die im Unternehmen benötigten Anwendungen explizit freizugeben. Die entsprechenden Optionen sind in der Admin-Konsole zu finden.

Unverifizierte Apps prüfen: Administratoren sollten nicht verifizierte Apps, die in der G-Suite-Umgebung des Unternehmens zurzeit genutzt werden, prüfen und entscheiden, welche dieser Anwendungen vertrauenswürdig sind, sodass User sie weiterhin installieren können. Der Hauptadministrator der Instanz hat bereits Ende Juni eine E-Mail mit einer Liste der betreffenden Apps erhalten, aus der weitere Details hervorgehen.

Apps vertrauen, sodass Nutzer sie weiterhin installieren können: Um eine App auf die Whitelist zu setzen, müssen Admins die entsprechende Einstellung in den API-Berechtigungen im Security-Bereich der Admin-Konsole vornehmen (OAuth Apps Whitelisting). Eine App als vertrauenswürdig einzustufen, bedeutet auch, dass sie (die Zustimmung des Users vorausgesetzt) auf bestimmte G-Suite-Nutzerdaten zugreifen kann (gemäß OAuth Scopes), die sonst vielleicht für dasselbe Tool beschränkt sind. Ist beispielsweise der Zugriff auf Gmail grundsätzlich blockiert, erhalten Whitelist-Apps dennoch Zugriff für Accounts, deren User dem zustimmen.

Warum sind manche Apps nicht verifiziert?

Apps können den Verifizierungsprozess aus diversen Gründen nicht abgeschlossen haben – etwa weil es sich um einen nicht unterstützten Applikationstyp handelt oder weil Daten auf eine Art genutzt werden, die inkompatibel mit bestimmten Limited Use-Voraussetzungen sind. Google hat diesen Prozess implementiert, um Nutzern Sicherheit und Konsistenz im Hinblick auf ihre Datenschutz-Erwartungen zu bieten.

Was geschieht nach dem 8. Juli mit nicht verifizierten Apps?

User, die entsprechende Apps zu einem früheren Zeitpunkt installiert haben, können weiterhin auf sie zugreifen, falls Admins den Zugriff auf die G-Suite-APIs nicht unterbinden. Neue Nutzer haben allerdings nicht die Möglichkeit, unverifizierte Apps zu installieren, ehe diese nicht als vertrauenswürdig definiert werden.

Was passiert, wenn eine App auf der Whitelist ist?

User können solche Anwendungen auch nach dem 8. Juli installieren - egal, ob die App Google-verifiziert ist oder nicht. Die App hat Zugriff auf alle G-Suite-APIs (gemäß OAuth2 Scope), die über die API-Berechtigungseinstellungen beschränkt sind.

Was ist, wenn gar keine Apps auf die Whitelist kommen sollen?

Wenn das Admin-Team nicht reagiert, haben User ab dem 8. Juli keine Möglichkeit mehr, auf nicht verifizierte Drittanbieter-Apps zuzugreifen, die Gmail-Daten verwenden. Darüber hinaus können Administratoren in den API-Berechtigungen den Gmail-Zugriff für jedwede App unterbinden oder einschränken. Das gilt auch für früher installierte Anwendungen.

Müssen Apps Script und der App Maker auf die Whitelist?

Google Apps Script und der Google App Maker müssen nicht explizit als vertrauenswürdig eingestuft werden, um sie in der eigenen Domain weiter nutzen zu können. Diese Tools (inklusive der Apps-Script-Projekte, die von Nutzern innerhalb der Domain erstellt wurden) sind davon ebensowenig betroffen wie diejenigen Apps, die in der Google Cloud Platform-Konsole mit dem Unternehmen assoziiert sind.

Weitere hilfreiche Ressourcen zum Thema gibt es direkt bei Google:

Ihr Partner für die G Suite und Google-Cloud-Lösungen

Interessieren Sie sich für moderne Zusammenarbeit in Unternehmen mit Google-Software? Melden Sie sich bei uns, wenn Sie Fragen haben oder mehr wissen möchten: Wir sind offizieller Google Cloud Partner und beraten Sie gerne unverbindlich zur Einführung, Lizenzierung und produktiven Nutzung der Google G Suite!

Am 10. Juli, also übermorgen, findet in Wiesbaden übrigens ein Google Cloud Meetup statt, zu dem wir Sie herzlich einladen! Auf dieser Veranstaltung erfahren Sie weitere aktuelle Neuigkeiten und Hintergründe rund um die G Suite und können mit anderen Interessierten ins Gespräch kommen. Wir haben auf jeden Fall einen Platz für Sie reserviert! 🙂

Weiterführende Infos

Weshalb sich große Organisationen für die Google G Suite entscheiden
Google G Suite erweitern: Google Apps Scripts oder App Maker?
Google G Suite: Offline-Modus und bessere MS-Office-Kompatibilität
Google G Suite: Revisionssichere und DSGVO-kompatible Mail-Archivierung im Google Vault

Schreibe einen Kommentar