Google macht Zwei-Faktor-Authentifizierung (2FA) bis Ende 2025 für alle Google Cloud-Nutzer verpflichtend — einschließlich Accounts, die föderierte Authentifizierung über externe Identity Provider nutzen. Betroffen sind Zugriffe auf Google Cloud Console, Firebase Console und alle weiteren Plattform-Tools.
Dreistufiger Implementierungsplan für erhöhte Sicherheit
Die Einführung der verpflichtenden Zwei-Faktor-Authentifizierung erfolgt in drei strategisch geplanten Phasen. In der ersten Phase, die bereits begonnen hat, werden etwa 30% der Nutzer, die bisher keine 2FA aktiviert haben, durch gezielte Benachrichtigungen zur Aktivierung zusätzlicher Sicherheitsmaßnahmen aufgefordert.
Die zweite Phase beginnt Anfang 2025 und sieht vor, dass alle Nutzer – sowohl bestehende als auch neue – beim Zugriff auf die Cloud Console, Firebase Console und weitere Plattform-Tools verpflichtende Hinweise zur 2FA-Aktivierung erhalten.
In der finalen Phase bis Ende 2025 wird die Zwei-Faktor-Authentifizierung für sämtliche Nutzer obligatorisch, einschließlich jener, die föderierte Authentifizierung nutzen. Unternehmen können dabei zwischen der Implementation der 2FA ihres Identity Providers oder der direkten Integration mit Google wählen.
Wirksamkeit von 2FA: CISA-Daten und Google-interne Studien
Die CISA bestätigt, dass 2FA das Risiko von Account-Kompromittierungen um bis zu 99% reduziert. Diese Zahlen werden durch interne Studien von Google validiert, die eine signifikante Steigerung des Sicherheitsniveaus durch 2FA nachweisen.
Auswirkungen auf verschiedene Nutzergruppen
Die neue Richtlinie betrifft ausschließlich Google Cloud-Nutzer, also primär Unternehmen, Entwickler und IT-Teams. Private Google-Konten sind von dieser Verpflichtung ausgenommen, wenngleich Google die Aktivierung der 2FA auch für diese Nutzergruppe nachdrücklich empfiehlt.
Unternehmen mit Workforce Identity Federation sollten vorab prüfen, ob ihr Identity Provider 2FA bereits erzwingt — andernfalls muss die Google-seitige 2FA-Pflicht über die Google Admin Console konfiguriert werden, bevor die Enforcement-Phase für föderierte Nutzer greift.
