Verdächtige Sitzungscookies prüfen und Maßnahmen ergreifen

Als Google Workspace-Administrator können Sie sich per E-Mail benachrichtigen lassen, wenn Nutzer aufgrund verdächtiger Sitzungscookies abgemeldet wurden. Beim Cookiediebstahl-Hijacking bzw. Session-Hijacking wird die Sitzungs-ID eines Nutzers mithilfe von Cookies gestohlen, die bei der Anmeldung im Konto generiert wurden. Wird ein verdächtiges Sitzungscookie erkannt, wird die Sitzung beendet und der Nutzer wird für diese Sitzung und alle zugehörigen verdächtigen Sitzungen auf dem Gerät von seinem Konto abgemeldet.

Wenn der Nutzer versucht, sich auf demselben Gerät noch einmal anzumelden, wird eine Meldung angezeigt, in der er aufgefordert wird, Malware oder unsichere Software zu entfernen. Der Nutzer muss außerdem einen zusätzlichen Bestätigungsschritt durchführen, wenn er sich auf dem Gerät wieder in seinem Konto anmeldet.

Mit dem Sicherheitsprüftool oder dem Audit- und Prüftool können Sie Versuche ausfindig machen, Nutzerkonten über Sitzungscookies in Ihrer Organisation zu hacken.

Schritt 1: Prüfung beginnen

Option 1: Verdächtige Sitzungscookies im Sicherheitsprüftool untersuchen

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus; Cloud Identity Premiumversion. Versionen vergleichen

  1. Gehen Sie in der Admin-Konsole zum Menü und dann Sicherheitund dannSicherheitscenterund dannPrüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Wählen Sie im Menü Datenquelle die Option Nutzer-Protokollereignisse aus.
  3. Wählen Sie im Menü Bedingung hinzufügen die Option Ereignis aus und achten Sie darauf, dass die Bedingung auf Ist (Standardoption) festgelegt ist.
  4. Wählen Sie im Menü Ereignis die Option Nutzer wurde wegen verdächtigem Sitzungscookie abgemeldet aus.
  5. Klicken Sie auf Suchen.
    Die Suchergebnisse werden unten auf der Seite angezeigt.

Option 2: Verdächtige Sitzungscookies auf der Audit- und Prüfseite untersuchen

  1. Gehen Sie in der Admin-Konsole zum Menü und dann Berichterstellungund dannAudit und Prüfungund dannNutzer-Protokollereignisse.

    Hierfür ist die Administratorberechtigung Audit und Prüfung erforderlich.

  2. Klicken Sie auf Filter hinzufügen und wählen Sie dann Ereignis aus.
  3. Prüfen Sie im Pop-up-Fenster, ob der Operator im oberen Menü auf Ist (Standardoption) gesetzt ist, wählen Sie im unteren Menü Nutzer wurde wegen verdächtigem Sitzungscookie abgemeldet aus und klicken Sie dann auf Übernehmen.
  4. Klicken Sie auf Suchen.
    Die Protokolle werden unten auf der Seite angezeigt.

Schritt 2: Maßnahmen ergreifen

Klicken Sie in der Spalte Beschreibung auf Verdächtiges Sitzungscookie, um den Bereich Protokolldetails zu öffnen. In jedem Log wird ein betroffener Nutzer angezeigt. Arbeiten Sie mit den betroffenen Nutzern zusammen und führen Sie die Schritte zum Entfernen von Malware oder unsicherer Software aus.

Manipulierte Konten sichern

Falls Sie vermuten, dass Konten manipuliert oder gehackt wurden, können Sie als Administrator dafür sorgen, dass die Konten Ihrer Nutzer sicher sind. Arbeiten Sie mit den betroffenen Nutzern zusammen, um gehackte Konten zu erkennen und zu sichern.