Verdächtige Sitzungscookies prüfen und Maßnahmen ergreifen

Als Google Workspace-Administrator können Sie sich per E‑Mail benachrichtigen lassen, wenn Nutzer aufgrund verdächtiger Sitzungscookies abgemeldet wurden. Beim Cookiediebstahl-Hijacking bzw. Session-Hijacking wird die Sitzungs-ID eines Nutzers mithilfe von Cookies gestohlen, die bei der Anmeldung im Konto generiert wurden. Wird ein verdächtiges Sitzungscookie erkannt, wird die Sitzung beendet und der Nutzer wird für diese Sitzung und alle zugehörigen verdächtigen Sitzungen auf dem Gerät von seinem Konto abgemeldet.

Wenn der Nutzer versucht, sich auf demselben Gerät noch einmal anzumelden, wird eine Meldung angezeigt, in der er aufgefordert wird, Malware oder unsichere Software zu entfernen. Der Nutzer muss außerdem einen zusätzlichen Bestätigungsschritt durchführen, wenn er sich auf dem Gerät wieder in seinem Konto anmeldet.

Mit dem Sicherheitsprüftool oder dem Audit- und Prüftool können Sie Versuche ausfindig machen, Nutzerkonten über Sitzungscookies in Ihrer Organisation zu hacken.

Schritt 1: Prüfung beginnen

Option 1: Verdächtige Sitzungscookies im Sicherheitsprüftool untersuchen

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Versionen vergleichen

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Sicherheitscenter und dann Prüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Wählen Sie im Menü Datenquelle die Option Nutzer-Protokollereignisse aus.
  3. Wählen Sie im Menü Bedingung hinzufügen die Option Ereignis aus und achten Sie darauf, dass die Bedingung auf Ist (Standardoption) festgelegt ist.
  4. Wählen Sie im Menü Ereignis die Option Nutzer wurde wegen verdächtigem Sitzungscookie abgemeldet aus.
  5. Klicken Sie auf Suchen.
    Die Suchergebnisse werden unten auf der Seite angezeigt.

Option 2: Verdächtige Sitzungscookies auf der Audit- und Prüfseite untersuchen

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  und dann Berichterstellung und dann Audit und Prüfung und dann Nutzer-Protokollereignisse.

    Hierfür ist die Administratorberechtigung Audit und Prüfung erforderlich.

  2. Klicken Sie auf Filter hinzufügen und wählen Sie dann Ereignis aus.
  3. Prüfen Sie im Pop-up-Fenster, ob der Operator im oberen Menü auf Ist (Standardoption) gesetzt ist, wählen Sie im unteren Menü Nutzer wurde wegen verdächtigem Sitzungscookie abgemeldet aus und klicken Sie dann auf Übernehmen.
  4. Klicken Sie auf Suchen.
    Die Protokolle werden unten auf der Seite angezeigt.

Schritt 2: Maßnahmen ergreifen

Klicken Sie in der Spalte Beschreibung auf Verdächtiges Sitzungscookie, um den Bereich Protokolldetails zu öffnen. Jedes Log enthält einen betroffenen Nutzer. Arbeiten Sie mit den betroffenen Nutzern zusammen und führen Sie die Schritte zum Entfernen von Malware oder unsicherer Software aus.

Manipulierte Konten sichern

Falls Sie vermuten, dass Konten manipuliert oder gehackt wurden, können Sie als Administrator dafür sorgen, dass die Konten Ihrer Nutzer sicher sind. Arbeiten Sie mit den betroffenen Nutzern zusammen, um gehackte Konten zu erkennen und zu sichern.