hagel IT-Services
Festpreis-Angebot
12 Min.

Neue Gmail-Bedrohungen 2026 — und wie KMU sich wirksam schützen

Jens Hagel
Jens Hagel in IT-Sicherheit

Cyberkriminelle haben Gmail wegen seiner Reichweite und seiner engen Verzahnung mit Google Drive, Pay und Workspace seit Jahren im Fokus. 2026 hat sich die Bedrohungslage allerdings spürbar verschoben: KI-generiertes Phishing, OAuth-Token-Hijacking und gezielte Workspace-Übernahmen lassen sich mit klassischen Spam-Filtern kaum noch abfangen. Wer als Geschäftsführer oder IT-Verantwortlicher noch glaubt, ein starkes Passwort und „Augen auf beim Klicken” reichen aus, übersieht die Realität.

Dieser Artikel zeigt, welchen Gmail-Bedrohungen Unternehmen 2026 ausgesetzt sind, wie wir bei hagel IT sie in der Praxis sehen und welche konkreten Schutzmaßnahmen sich für den deutschen Mittelstand bewährt haben — bis hin zur Frage, wann der Wechsel zu Microsoft 365 Management die wirtschaftlich bessere Option ist.

Inhalt in Kürze
  • KI-Phishing in perfektem Deutsch: Klassische Sprachfilter und Bauchgefühl reichen 2026 nicht mehr — Mails sind grammatikalisch sauber und persönlich personalisiert.
  • OAuth-Hijacking: Angreifer übernehmen Konten ohne Passwort, indem sie sich als seriöse Drittanbieter-App ausgeben. Klassische 2FA hilft hier nicht.
  • Workspace-Übernahmen: Ein kompromittierter Gmail-Account öffnet Drive, Kalender, Pay und gespeicherte Passwörter — die Schadenshöhe liegt im sechsstelligen Bereich.
  • Schutz: Hardware-Sicherheitsschlüssel (FIDO2) statt SMS, Advanced Protection für VIP-Accounts, monatliches Audit der Drittanbieter-Apps und Filterregeln.
  • Für KMU oft besser: Microsoft 365 Business Premium mit Defender for Office 365 ersetzt Gmail-Workspace-Konstrukte und reduziert die Angriffsfläche zentralisiert.

Was sind die neuen Gmail-Bedrohungen 2026?

Die Bedrohungslage hat sich in den letzten zwei Jahren deutlich verschoben. Wo früher Tippfehler und plumpe Drohungen die Phishing-Erkennung erleichterten, kommen heute Mails an, die in Sprache und Tonfall kaum von echter Geschäftskorrespondenz zu unterscheiden sind. Laut Auswertungen von Zscaler stiegen KI-gestützte Phishing-Angriffe um rund 60 Prozent gegenüber dem Vorjahr — Trend stark steigend.

Drei Angriffsklassen dominieren 2026:

  1. KI-generiertes Spear-Phishing — personalisierte Mails, die Tonfall und Schreibstil eines echten Absenders imitieren. Grundlage sind oft öffentlich zugängliche LinkedIn-Profile, GitHub-Commits oder Pressemitteilungen.
  2. OAuth-Token-Hijacking — der Angreifer umgeht Passwort und 2FA, indem er sich als legitime App tarnt und einen permanenten Zugriffstoken erschleicht.
  3. Workspace-Übernahmen über kompromittierte Recovery-Adressen — wer eine alte private Gmail-Adresse als Wiederherstellungsmail hinterlegt hat, hängt nur so sicher dran wie diese Drittadresse.

Hinzu kommen Zero-Day-Lücken in der Gmail-Web-App und verstärkte Angriffe auf Browser-Erweiterungen, die Postfächer im Hintergrund mitlesen. Das BSI hat im aktuellen Lagebericht darauf hingewiesen, dass Mail-Konten nach wie vor das Haupt-Einfallstor für Ransomware-Angriffe in deutschen KMU sind — über 80 Prozent aller erfolgreichen Attacken beginnen mit einer kompromittierten Mailbox.

IT-Team bespricht Gmail-Sicherheit und Schutzmaßnahmen am Konferenztisch
Wer Gmail-Sicherheit ernst meint, bespricht sie regelmäßig im Team — nicht nur, wenn etwas passiert ist.

Warum gerade Gmail im Fadenkreuz steht

Gmail ist mit über 1,8 Milliarden Konten weltweit der Marktführer im privaten und Workspace-Bereich. Für Angreifer bedeutet das: Eine einzige Schwachstelle skaliert auf Millionen von Zielen. Hinzu kommt die Verzahnung mit anderen Google-Diensten:

  • Google Drive: Geschäftliche Dokumente, Verträge, Personalakten
  • Google Pay: Kreditkarten, Lieferadressen
  • Google Passwort-Manager: Zugangsdaten für alle anderen Online-Dienste
  • Google Authenticator (alt): früher 2FA-Codes für andere Plattformen — bis Google die Cloud-Synchronisierung einführte und damit eine neue Angriffsfläche schuf
  • Google Workspace Admin: für Unternehmenskonten der zentrale Steuerstand

Wer einen Gmail-Account übernimmt, übernimmt damit oft die komplette digitale Identität eines Mitarbeiters. Das macht Gmail-Konten in der Schadenshöhe pro erfolgreichem Angriff zu den lukrativsten Zielen — laut Bitkom-Studie 2024 betrug der durchschnittliche Schaden pro Cybervorfall im deutschen Mittelstand zuletzt rund 270.000 Euro.

Wir sehen es jeden Monat: Ein Geschäftsführer kommt panisch zu uns, weil sein Gmail-Konto übernommen wurde. Innerhalb weniger Stunden waren Rechnungen umgeleitet, Kunden angeschrieben und sechsstellige Überweisungen aus der Buchhaltung autorisiert. In neun von zehn Fällen hätte ein Hardware-Sicherheitsschlüssel den Angriff stoppen können — die Investition liegt bei unter 50 Euro pro Mitarbeiter.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

KI-Phishing: Warum Bauchgefühl nicht mehr reicht

KI-Phishing unterscheidet sich von klassischem Phishing in drei Punkten: Es ist sprachlich perfekt, persönlich personalisiert und situativ relevant. Ein Beispiel aus unserer Praxis: Ein Kunde aus dem Maschinenbau bekam eine Mail vom „Zollamt” mit Verweis auf eine konkrete Lieferung, die genau in dieser Woche aus China unterwegs war. Die Lieferinformation stammte aus einem öffentlichen Tracking-Link, den ein Mitarbeiter zwei Tage zuvor in einer Slack-Gruppe geteilt hatte.

Die Mail war grammatikalisch sauber, das Logo gestochen scharf, der Anhang als „Zoll-Bescheid.pdf” getarnt — in Wirklichkeit ein PDF mit eingebetteter Macro-Lader-Datei. Der Mitarbeiter klickte. Drei Stunden später lief der erste Verschlüsselungsprozess auf einem Fileserver.

Vier Erkennungssignale, die auch 2026 funktionieren

Auch wenn die Sprache perfekt ist — vier technische Signale verraten Phishing-Mails fast immer:

  • Antworten-an-Domain prüfen. Der Anzeigename kann „Microsoft Support" sein, aber die echte Domain im 'Reply-To'-Header ist oft eine Wegwerf-Adresse. In Gmail: drei Punkte rechts oben → 'Original anzeigen' → Header inspizieren.
  • Link-Vorschau lesen. Mit der Maus über einen Link fahren (nicht klicken!) und in der Statusleiste die Ziel-URL prüfen. Subdomain-Tricks wie 'amazon.evil.com' sind klassisch.
  • Dringlichkeit hinterfragen. Echte Geschäftspartner setzen keine 60-Minuten-Fristen für Überweisungen.
  • Zweitkanal-Verifikation. Bei jeder Zahlungsanweisung oder Passwort-Anfrage über einen anderen Kanal verifizieren — Telefon, persönlich, Teams-Chat.

Mehr Hintergrund zu KI-gestützten Mail-Angriffen haben wir in unserem Artikel Phishing 2.0 — Wie KI die Gefahr vergrößert und was Sie tun können aufgeschrieben.

OAuth-Hijacking: Der Angriff, gegen den 2FA nicht hilft

Der häufigste Angriffsweg, den klassische Schutzmaßnahmen nicht abdecken, ist OAuth-Hijacking. Das Prinzip: Statt das Passwort zu stehlen, lockt der Angreifer den Nutzer auf eine Login-Seite, die echt aussieht, weil sie es ist — die echte Google-Login-Seite. Der Trick: Die App, die Zugriff anfordert, ist fingiert.

Beispiel: Eine Mail mit dem Betreff „Ihr Kalender-Plugin ist abgelaufen — bitte erneut autorisieren” führt auf eine Google-OAuth-Seite, auf der eine App namens „CalenderSync Pro” Zugriff auf Mail, Kalender, Drive und Kontakte anfordert. Klickt der Nutzer auf „Erlauben”, erhält der Angreifer einen OAuth-Token. Der Token funktioniert wie ein Generalschlüssel — auch wenn der Nutzer später sein Passwort ändert oder 2FA aktiviert.

Wichtig: OAuth-Tokens überleben Passwort-Wechsel.

Wenn Sie nach einem Vorfall nur das Passwort zurücksetzen, bleiben kompromittierte OAuth-Tokens aktiv. Sie müssen unter myaccount.google.com/permissions jede unbekannte App-Berechtigung manuell entziehen.

Die wirksamste Gegenmaßnahme im Unternehmenskontext: In Google Workspace die App-Zugriffsrichtlinie auf „Nur verifizierte Apps zulassen” setzen und unbekannte OAuth-Anfragen blockieren. In Microsoft 365 erfüllt Defender for Office 365 die gleiche Funktion mit deutlich detaillierterem Logging — ein Grund, warum wir bei hagel IT für KMU mit erhöhtem Schutzbedarf häufig zu Microsoft 365 raten.

So schützen Sie Ihren Gmail-Account: 7 konkrete Schritte

Die folgenden sieben Maßnahmen decken über 95 Prozent der typischen Angriffsszenarien ab. Reihenfolge ist wichtig — Schritt 1 zuerst, Schritt 7 zuletzt.

  1. Hardware-Sicherheitsschlüssel als zweiten Faktor einrichten. Zwei FIDO2-Schlüssel beschaffen (z.B. YubiKey 5C oder Google Titan), beide am Konto registrieren — einer als Backup zuhause oder im Tresor. SMS-Code als zweiten Faktor entfernen. Anleitung: support.google.com/accounts/answer/6103523.
  2. Advanced Protection aktivieren für alle Geschäftsführer-, Buchhaltungs- und Admin-Konten. Aktivierung: myaccount.google.com/advanced-protection. Erzwingt FIDO2 und blockiert nicht-verifizierte Apps.
  3. Drittanbieter-Apps auditieren. Unter myaccount.google.com/permissions alle Apps prüfen, die Zugriff auf Mail oder Drive haben. Alle unbekannten oder nicht mehr genutzten Berechtigungen entfernen. Diesen Schritt monatlich wiederholen.
  4. Filterregeln und Weiterleitungen kontrollieren. Gmail-Einstellungen → 'Weiterleitung und POP/IMAP' und 'Filter und blockierte Adressen' prüfen. Angreifer hinterlegen hier oft stille Weiterleitungen, um auch nach Passwort-Wechsel mitzulesen.
  5. Recovery-Mail und -Telefonnummer aktualisieren. Eine private Gmail-Adresse von vor 15 Jahren ist kein sicherer Recovery-Anker. Idealerweise eine zweite, dedizierte Mail-Adresse mit eigenem Hardware-Schlüssel verwenden.
  6. Browser-Erweiterungen entrümpeln. Jede installierte Chrome-Erweiterung mit Mail-Zugriff ist ein Risiko. Nur Erweiterungen behalten, die wirklich benötigt werden — und diese aus dem offiziellen Chrome Web Store, nicht von Drittseiten.
  7. Mitarbeiter-Schulung jährlich. Phishing-Simulationen durchführen, Reaktionsplan üben. Die Investition liegt bei wenigen hundert Euro pro Jahr — bei einem realen Vorfall sparen Sie ein Vielfaches.

Gmail vs. Microsoft 365 für KMU: Wann sich der Wechsel lohnt

Wir betreuen über 200 Unternehmen in Hamburg und Norddeutschland — etwa 15 Prozent davon sind in den letzten zwei Jahren von Google Workspace nach Microsoft 365 migriert. Die Gründe sind in fast allen Fällen dieselben:

KriteriumGoogle Workspace Business StandardMicrosoft 365 Business Premium
Preis pro Nutzer/Monat~12 €~22 €
Mail-Postfach2 TB Drive (kombiniert)50 GB Mail + 1 TB OneDrive
E-Mail-Schutz auf Enterprise-NiveauAdvanced Protection (Add-on)Defender for Office 365 inklusive
Geräte-ManagementEndpoint Management (Basic)Intune (Vollumfang) inkl. Autopilot
Office-AnwendungenGoogle Docs/Sheets (Web)Word, Excel, PowerPoint (Desktop + Web)
KollaborationGoogle Meet, ChatTeams, SharePoint
Compliance/eDiscoveryVault (Add-on)Purview integriert

Für reine Cloud-Erstausstattung mit kleinem Team kann Google Workspace ausreichen. Sobald aber Anforderungen wie Geräte-Management, Defender-E-Mail-Schutz oder Office-Desktop-Apps dazukommen, ist Microsoft 365 in der Regel günstiger und einfacher zu betreuen — gerade in Branchen wie Steuerkanzleien, Anwaltskanzleien oder Maschinenbau, wo deutsche Compliance-Anforderungen (DSGVO, GoBD, BRAO) eine Rolle spielen.

Wir hatten 18 Mitarbeiter auf Google Workspace, jeder mit privatem Gmail als Zweit-Konto, niemand wusste mehr, wo welche Datei lag. hagel IT hat uns innerhalb von vier Wochen auf Microsoft 365 migriert — heute haben alle ein zentrales Postfach, gemeinsame SharePoint-Strukturen und ich kann als GF erstmals nachvollziehen, was passiert.

Frank Möller · Geschäftsführer, Maschinenbau, 18 Mitarbeiter

Mehr Praxisberichte zur Migration: Warum immer mehr Unternehmen von Google Suite auf Office 365 umsteigen.

Was im Ernstfall passieren muss: Reaktionsplan

Egal ob Gmail oder Microsoft 365 — ein kompromittierter Mail-Account ist 2026 ein Vorfall, der binnen Stunden mehrstellige Schäden verursachen kann. Wer keinen vorbereiteten Reaktionsplan hat, verliert in den ersten 24 Stunden alles.

  1. Sofort alle aktiven Sitzungen beenden. myaccount.google.com → 'Sicherheit' → 'Geräteaktivität' → 'Abmelden auf allen Geräten'.
  2. Passwort ändern und Hardware-Schlüssel als zweiten Faktor erzwingen. SMS-Codes deaktivieren.
  3. OAuth-Tokens und Drittanbieter-Apps prüfen. Alle unbekannten Berechtigungen entziehen. Filterregeln, Weiterleitungen und Antwort-an-Adressen auf Manipulationen kontrollieren.
  4. Buchhaltung und Geschäftspartner warnen. Niemals per Mail — telefonisch oder persönlich. Angreifer lesen weiter mit, bis Sie sicher sind, dass alle Tokens entzogen sind.
  5. DSGVO-Meldung prüfen. Bei Datenschutzverletzung: 72-Stunden-Frist gemäß Art. 33 DSGVO an die Aufsichtsbehörde. Im Zweifel datenschutz-hamburg.de kontaktieren.
  6. Forensik beauftragen. Bei wirtschaftlich relevantem Schaden ist eine forensische Auswertung der Logs Pflicht — sonst weiß auch der Versicherer nicht, ob ein Cyber-Schaden gedeckt ist.
Versicherungs-Praxistipp:

Cyber-Versicherungen verlangen 2026 bei der Schadensregulierung in fast allen Fällen den Nachweis von MFA und einem Reaktionsplan. Wer das nicht dokumentieren kann, bleibt auf dem Schaden sitzen — auch wenn die Versicherung formal greift.

Aus der Praxis: Drei Fälle, drei Lehren

Fall 1 — Spedition mit 35 Mitarbeitern, Hamburg-Wilhelmsburg. Der Geschäftsführer nutzte ein privates Gmail als Recovery-Mail für sein Workspace-Konto. Die private Adresse wurde vor zwei Jahren bei einem Datenleck kompromittiert, blieb aber unbenutzt. Im Februar 2026 nutzten Angreifer diese Recovery-Mail, um das Workspace-Konto zu übernehmen. Schaden: 84.000 Euro Falschzahlungen, drei Tage Betriebsausfall. Nach dem Vorfall Migration auf Microsoft 365 mit zentral verwalteten Recovery-Pfaden.

Fall 2 — Steuerkanzlei, Hamburg-Eppendorf, 12 Mitarbeiter. Eine OAuth-App namens „MailReader Pro” hatte vor 18 Monaten Zugriff bekommen — niemand erinnerte sich, wer sie installiert hatte. Der Angreifer hatte 18 Monate stillen Zugriff auf Mandanten-Korrespondenz. Aufgefallen erst, als ein Mandant ungewöhnliche Zahlungsanweisungen mit Kanzlei-Briefkopf erhielt. Konsequenz: Komplette Audit-Pflicht, BRAO-Meldung, Vertrauensschaden. Nach dem Vorfall haben wir die Kanzlei migriert und ein monatliches Drittanbieter-App-Audit eingeführt.

Fall 3 — Architekturbüro, 8 Mitarbeiter. Klassisches KI-Phishing: Mail vom „Steuerberater” mit Verweis auf konkrete Buchungsvorgänge der Vorwoche. Der Geschäftsführer überwies 23.000 Euro auf das angegebene Konto. Aufgefallen erst beim Steuerberater-Termin zwei Wochen später. Lehren: Zweitkanal-Verifikation bei Zahlungen über 5.000 Euro etabliert, alle Konten auf Hardware-Schlüssel umgestellt, Cyber-Versicherung abgeschlossen.

Pflicht für 2026: Cybersecurity ist Chefsache

Mail-Sicherheit ist 2026 keine IT-Aufgabe mehr, sondern eine Geschäftsführer-Aufgabe. Nach NIS2 (für betroffene Unternehmen ab 50 Mitarbeitern oder kritischen Sektoren) ist die Geschäftsführung persönlich haftbar für angemessene Schutzmaßnahmen — und Mail-Konten gelten in jedem Bedrohungsmodell als kritisch.

80 %
Ransomware-Angriffe starten per Mail (BSI)
270k €
Durchschn. Schaden pro Cybervorfall (Bitkom)
99 %
der Angriffe abgewehrt durch FIDO2-Schlüssel
< 50 €
pro Mitarbeiter für Hardware-Schlüssel

Wir empfehlen unseren Kunden in Hamburg und Norddeutschland einen klaren Drei-Stufen-Plan: Erstens jetzt Hardware-Schlüssel und Advanced Protection für VIP-Konten ausrollen, zweitens binnen drei Monaten die OAuth-Audit-Routine etablieren, drittens binnen sechs Monaten prüfen, ob ein Wechsel zu Microsoft 365 Management und Cybersecurity-Betreuung wirtschaftlich sinnvoll ist.

Wenn Sie unsicher sind, wo Ihr Unternehmen steht, ist das genau der Moment, in dem ein 15-minütiges Erstgespräch mehr bringt als jedes Whitepaper. Wir schauen uns Ihre aktuelle Mail-Infrastruktur an, prüfen Workspace-Berechtigungen und sagen Ihnen ehrlich, ob Sie umstellen müssen oder mit gezielter Härtung auskommen.

Das Wichtigste: Klassisches Passwort-Denken reicht 2026 nicht mehr. Hardware-Sicherheitsschlüssel, monatliches OAuth-Audit und ein Reaktionsplan kosten zusammen unter 100 Euro pro Mitarbeiter und Jahr — der durchschnittliche Schaden eines Vorfalls liegt bei 270.000 Euro. Die Mathematik ist einfach.

Weiterführende Artikel und Quellen

Gmail-Account übernommen oder Sorge wegen aktueller Bedrohungen?

15 Minuten Erstgespräch. Kostenlos. Ohne Vertriebsdruck.

Termin mit Jens Hagel buchen →
Jens Hagel
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Rechtsanwaltskanzlei
Case Study Hamburg: Von heterogener IT zur sicheren Kanzlei-Umgebung in 30 Tagen
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Drei Angriffsklassen dominieren 2026: KI-generiertes Spear-Phishing in perfektem Deutsch, OAuth-Token-Hijacking über manipulierte Drittanbieter-Apps und gezielte Übernahmen ganzer Google-Workspace-Konten samt verbundener Drive- und Pay-Daten. Klassische Spam-Filter erkennen das oft nicht mehr, weil die Mails technisch sauber zugestellt werden und der Inhalt sprachlich nicht mehr auffällig ist.

Beim OAuth-Hijacking täuscht der Angreifer eine seriöse Drittanbieter-App vor, die Zugriff auf Ihr Google-Konto möchte (zum Beispiel ein Kalender-Plugin oder ein Mail-Client). Klickt der Nutzer auf 'Erlauben', erhält der Angreifer einen OAuth-Token, mit dem er dauerhaft auf Mails, Drive und Kontakte zugreifen kann — ohne Passwort, oft auch trotz aktivierter Zwei-Faktor-Authentifizierung. Der Schutz: Drittanbieter-Apps regelmäßig über myaccount.google.com/permissions prüfen und unbekannte Berechtigungen sofort entziehen.

Für Unternehmen mit Mitarbeiterstrukturen reicht ein kostenloses Gmail-Konto nicht. Sie brauchen zentrale Verwaltung, DMARC-/DKIM-/SPF-Konfiguration, Logging und Compliance-Funktionen. Google Workspace bietet das, Microsoft 365 Business Premium ebenso — letzteres ist im deutschen Mittelstand verbreiteter, weil Outlook, Teams, SharePoint und Defender for Office 365 in einem Paket kommen. Für reine Gmail-Nutzer ist Google Workspace mit Advanced Protection der nächste Schritt; bei Misch-Umgebungen oder Office-Bindung empfehlen wir Microsoft 365.

KI-Phishing umgeht klassische Erkennungsmuster: kein gebrochenes Deutsch, keine pauschalen Anreden, keine offensichtlichen Tippfehler. Achten Sie stattdessen auf vier Signale: ungewöhnliche Domain im 'Antworten an'-Feld (nicht der Anzeigename!), Links die auf andere Domains zeigen als der Buchstabentext, Dringlichkeit oder Geheimhaltungsaufforderungen, und untypische Zahlungsanweisungen oder Passwort-Resets. Im Zweifel über einen zweiten Kanal verifizieren — Telefon, persönlich, Teams-Chat.

Advanced Protection ist Googles Hochsicherheitsmodus für besonders gefährdete Accounts. Er erzwingt Hardware-Sicherheitsschlüssel (FIDO2) für die Anmeldung, blockiert die Installation nicht verifizierter Apps und prüft Downloads mit zusätzlichem Malware-Scanning. Sinnvoll ist er für Geschäftsführung, Buchhaltung, IT-Administratoren und alle Konten mit Zugriff auf Finanzen oder Personal-Daten. Aktivierung: myaccount.google.com/advanced-protection. Voraussetzung: zwei FIDO2-Schlüssel, idealerweise von zwei Herstellern.

Nein. SMS-basierte Zwei-Faktor-Authentifizierung ist 2026 nicht mehr ausreichend, weil sie über SIM-Swapping, SS7-Schwachstellen und Echtzeit-Phishing umgangen werden kann. Für Gmail empfehlen wir Hardware-Schlüssel (YubiKey, Google Titan), die Google-Authenticator-App oder eine Passkey-Anmeldung. Details zur MFA-Auswahl haben wir in unserem Artikel zum MFA-Level-Up beschrieben.

Vier Schritte in dieser Reihenfolge: Erstens alle aktiven Sitzungen beenden (myaccount.google.com → 'Sicherheit' → 'Geräteaktivität' → 'Abmelden'). Zweitens Passwort ändern und Hardware-Schlüssel als zweiten Faktor erzwingen. Drittens Filterregeln, Weiterleitungen und Drittanbieter-App-Berechtigungen prüfen — Angreifer hinterlegen oft stille Weiterleitungen, um auch nach dem Passwort-Wechsel mitzulesen. Viertens den Vorfall dokumentieren und ggf. die Datenschutz-Aufsichtsbehörde informieren (DSGVO Art. 33, 72-Stunden-Frist).

Wenn Sie Office-Anwendungen, Teams oder SharePoint bereits nutzen, ja. Microsoft 365 Business Premium kostet pro Nutzer und Monat ungefähr so viel wie Google Workspace Business Standard, bietet aber Defender for Office 365 (E-Mail-Schutz auf Enterprise-Niveau), Intune (Geräte-Management) und Exchange Online in einem Paket. Wir betreuen in Hamburg über 200 Unternehmen — der Wechsel von Google Workspace nach Microsoft 365 ist 2026 unser häufigster Migrations-Auftrag. In drei bis acht Wochen ist der Umzug planbar abgeschlossen.

Das könnte Sie auch interessieren

IT-Sicherheit

Externer Datenschutzbeauftragter Hamburg: Die 10 besten Anbieter 2026 (ehrlicher Vergleich)
IT-Sicherheit

IT-Sicherheitsprüfung für den Mittelstand: So läuft ein Audit, das wirklich Schwachstellen findet
IT-Sicherheit

Disaster Recovery Plan: So schützen Sie Ihr Unternehmen vor dem Totalausfall