Das Problem ist wahrscheinlich nicht die Kompetenz der Google IT-ler, sondern die deiner Leute
Solange man die Geräte konsequent trennt, also nicht auf dem Handy den Authenticator haben und von dort auch versuchen einzuloggen kann relativ wenig passieren.
Klar, Hardwaretokens sind noch eine Spur sicherer, aber auch bei der App benötigt man erst einmal Benutzername + Passwort und muss dann auch noch die (virtuelle) Seriennummer und den Wiederherstellungscode des Authenticators haben, die Wahrscheinlichkeit da die Richtige Kombi zu finden... Davor finde ich wahrscheinlich ein Hardwaretoken mit drangeklebten Zugangsdaten.
Und selbst wenn sowohl Recher als auch Handy kompromitiert wären, müsste man noch den Zusammenhang zwischen DIESEM Account und DIESEM Handy(token) herstellen. Bei Hardwaretoken vielleicht sogar eher möglich. Wenn alle Tokens gleich aussehen schreibt bestimmt irgendjemand mal den Namen drauf. Wenns blöd läuft sogar den Account wenn man mehrere von den Hardwareteilen für verschiedene Accounts hat...