Die Mehr-Faktor-Authentifizierung (MFA) bietet einen verbesserten Schutz vor Datenmissbrauch. Phishing wird dadurch schwieriger. Google kündigte im November an, dass eine MFA für Online-Konten verpflichtend wird. Nun steht der konkrete Zeitplan fest.
MFA und ihre Bedeutung
MFA schützt Konten mit einer hohen Wahrscheinlichkeit vor Hackerangriffen. Laut Google haben mit MFA geschützte Konten eine 99-prozentige Sicherheit gegen das Knacken. Das Unternehmen plant die MFA-Verpflichtung schrittweise für alle Cloud-Konten einzuführen.
Geplanter Zeitrahmen der MFA-Aktivierung
Zuerst betrifft die MFA-Verpflichtung Reseller-Konten. Ab dem 28. April 2025 müssen diese Nutzer MFA aktivieren. Die Kundenkonten dieser Reseller bleiben zu diesem Zeitpunkt jedoch vorerst unberührt. Die privaten Google-Konten – etwa bei Google Mail – erhalten am 12. Mai 2025 die MFA-Aktivierung. Für Cloud-Identity-Konten von Unternehmen – ohne Single-Sign-On – ist im dritten Quartal 2025 die Einführung geplant. Die letzten Unternehmenskonten die föderierte Authentifizierung benötigen, folgen im vierter Quartal 2025 oder später.
Information & Erinnerungen für Nutzer
Google beabsichtigt die betroffenen Nutzer rechtzeitig zu informieren. Über die Cloud-Konsole wird mindestens 90 Tage vorher eine Erinnerung angezeigt. Eine E-Mail informiert die Nutzer ebenfalls. Für Reseller und deren Benutzer erfolgt die Benachrichtigung 60 Tage vor dem Stichtag. Privatnutzer erhalten außerdem eine Informationsemail unabhängig davon ob sie bereits 2FA aktiviert haben oder nicht. Der Link in der E-Mail führt zu den Sicherheitseinstellungen des Google-Kontos. Dort können Benutzer die Aktivierung der 2-Faktor-Authentifizierung erkennen. Diese zeigt ebenfalls die hinterlegten Zweitfaktoren an ebenso wie Passkeys oder Sicherheitsschlüssel.
Zugangsbedingungen zu Google-Services
Die Änderungen betreffen den Zugriff auf die Google Cloud Console die gcloud CLI und die Firebase Console. Der Zugang zum Google-Konto und auch die Nutzung von Diensten wie Workspace oder YouTube bleibt weiterhin ohne aktivierte MFA möglich. Google Workspace ist von dieser Regelung ausgeschlossen und hat eigene MFA-Anforderungen.
Empfehlungen und zukünftige Programme
Nutzer werden von Google ermutigt, MFA bereits jetzt zu aktivieren. Informationen zu den bevorstehenden Anforderungen sind wichtig. Privatnutzer scheinen keine Möglichkeit zu haben sich der MFA zu entziehen. Unternehmenskunden hingegen prüft Google, ob ein "Deaktivierungsprogramm" für MFA-Anforderungen ins Leben gerufen wird. Für weitere Informationen verweist Google auf die FAQ-Sektion im verlinkten Artikel.
Kommentare
Im vergangenen November kündigte Google an, dass Nutzer zusätzlich zu ihrem Passwort einen weiteren Sicherheitscode benötigen. Dieses Vorgehen zielt darauf ab – die Sicherheit bei der Anmeldung zu erhöhen und Accountübernahmen zu verhindern. Der ursprünglich grobe Zeitrahmen ist nun konkretisiert worden.