Cookie-Diebstahl mit Sitzungsbindung verhindern (Beta)

Als Administrator können Sie die Sicherheit der Onlinesitzungen Ihrer Nutzer durch die Implementierung von Anmeldedaten für gerätegebundene Sitzungen (Device Bound Session Credentials, DBSC) verbessern. DBSC soll Session-Hijacking verhindern, das auch als Cookie-Diebstahl bezeichnet wird.

Diese Art von Cyberangriff tritt auf, wenn sich ein Unbefugter die Kontrolle über die aktive Websitzung eines Nutzers verschafft, indem er das Sitzungscookie stiehlt. Dieses Cookie ist eine kleine Datei mit der eindeutigen Sitzungskennung, die von der Website bei der Anmeldung ausgestellt wird. Durch Vorlage dieses gestohlenen Cookies kann sich der Angreifer als der legitime Nutzer ausgeben und die authentifizierte Sitzung fortsetzen.

DBSC bindet die Sitzung eines Nutzers an sein bestimmtes Gerät. Dadurch wird es Angreifern erschwert, gestohlene Cookies auf anderen Geräten zu verwenden. Mit DBSC können Sie das Risiko eines unbefugten Zugriffs auf Nutzerkonten verringern und sensible Nutzerdaten schützen.

Voraussetzungen für die Verwendung von DBSC

  • Derzeit ist DBSC nur im Chrome-Browser für Windows-Geräte verfügbar.
  • Das Gerät des Nutzers muss ein Trusted Platform Module (TPM) haben. Das ist eine Standard-Hardwarekomponente, die bereits für die meisten Geräte mit Windows 11 verfügbar ist, um kryptografische Daten sicher zu speichern und zu verarbeiten. Nutzer finden Informationen zur TPM-Verfügbarkeit in der Regel in den Systemeinstellungen ihres Geräts oder in der Dokumentation des Geräteherstellers.
  • Der Nutzer muss Chrome-Version 136 oder höher verwenden. Weitere Informationen finden Sie unter Google Chrome aktualisieren.

Hinweis: Während der Betaphase werden durch die Sitzungsbindung nur ausgewählte Google-Cookies geschützt. Das bedeutet, dass nicht alle Cookies für einen Nutzer geschützt werden.

DBSC aktivieren

Hinweis:Bei Bedarf können Sie die Einstellung auf eine Abteilung oder Gruppe anwenden.

  1. Öffnen Sie in der Google Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Google-Sitzungssteuerung.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.

    Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen

  3. Wählen Sie für Anmeldedaten für gerätegebundene Sitzung die Option DBSC aktivieren aus.
  4. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen (oder bei einer Gruppe auf Nicht festgelegt).

Mögliche Folgen der Aktivierung von DBSC

Nachdem Sie DBSC aktiviert haben, kann es bei Nutzern zu folgenden Problemen kommen:

  • Unterbrechungen der Sitzung: Wenn die Sitzung eines Nutzers gültig ist, beim Bindungsprozess jedoch ein Fehler auftritt, muss sich der Nutzer noch einmal anmelden. So werden das Konto und die Daten des Nutzers geschützt.
  • Anhaltende Probleme: Wenn ein Nutzer immer wieder Probleme mit DBSC hat, wird er möglicherweise häufig abgemeldet. In solchen Fällen sollten sich Nutzer an ihren Administrator wenden, um Unterstützung bei der Fehlerbehebung zu erhalten. Dazu gehört möglicherweise auch, DBSC für ihr Konto zu deaktivieren. Der Administrator kann eine Gruppe erstellen, die von DBSC ausgenommen ist, und den Nutzer dieser Gruppe hinzufügen.

DBSC mit dem kontextsensitiven Zugriff erzwingen

Beschränkt auf Desktop-Web-Apps und nicht für mobile Apps oder APIs anwendbar

Sie können die Sicherheit weiter erhöhen, indem Sie festlegen, dass Nutzer für den Zugriff auf bestimmte Google Workspace-Apps DBSC benötigen. Nutzern, die ohne eine DBSC-gebundene Sitzung auf geschützte Apps zugreifen möchten, wird der Zugriff verweigert. Diese Sicherheitsmaßnahme wird über den kontextsensitiven Zugriff konfiguriert.

So richten Sie die Durchsetzung von DBSC ein:

  1. Aktivieren Sie DBSC für die Nutzer, die Sie schützen möchten. Eine Anleitung finden Sie im Hilfeartikel DBSC aktivieren.
  2. Folgen Sie der Anleitung unter Zugriff auf Apps nur über sitzungsgebundene DBSC-Sitzungen zulassen, um eine benutzerdefinierte Zugriffsebene zu erstellen.
  3. Weisen Sie die Zugriffsebene den Apps zu, auf die nur über DBSC-gebundene Sitzungen zugegriffen werden soll. Verwenden Sie dazu den Monitormodus, um die Erzwingung zu simulieren, ohne den Nutzerzugriff zu blockieren.
  4. Nachdem Sie die Auswirkungen bewertet haben, weisen Sie Zugriffsebenen im Aktivmodus zu, um den Zugriff nur über sitzungsbasierte Geräte zu erzwingen. Weitere Informationen finden Sie unter Kontextsensitiven Zugriff bereitstellen.

Die Durchsetzung von DBSC erfolgt nicht sofort. Nach der Anmeldung eines Nutzers gibt es also einen Kulanzzeitraum, bevor die Durchsetzung erfolgt. Dieses Design berücksichtigt potenzielle vorübergehende Bindungsprobleme. Nach der Bindung prüft das System regelmäßig, ob Nutzer, die auf die angegebenen Apps zugreifen, DBSC-gebundene Sitzungen haben. Bei jeder erneuten Authentifizierung wird diese Kulanzfrist zurückgesetzt und DBSC wird während der erneuten Authentifizierung nicht erzwungen.

DBSC-Protokollereignisse prüfen

Nachdem Sie DBSC aktiviert haben, können Sie in den Nutzer-Protokollereignissen prüfen, ob ein DBSC-Ereignis aufgetreten ist. Sie können beispielsweise prüfen, ob die DBSC-Schlüsselbindung erfolgreich war oder fehlgeschlagen ist.

Hinweis: DBSC-Protokollereignisse sind nur für das primäre Konto sichtbar, wenn mehrere Nutzerkonten im selben Chrome-Browserprofil angemeldet sind.

So prüfen Sie, ob ein Ereignis eingetreten ist:

  1. Öffnen Sie Nutzer-Protokollereignisse.
    Weitere Informationen finden Sie unter Nutzerprotokollereignisse.
  2. Klicken Sie auf Filter hinzufügen und dann Ereignis.
  3. Wählen Sie ein DBSC-Ereignis aus und klicken Sie auf Anwenden.

Weitere Informationen zu Ereignissen finden Sie in der folgenden Tabelle:

Ereignisname Beschreibung
DBSC-Schlüsselbindung Es wurde versucht, die Sitzung eines Nutzers an sein Gerät zu binden. Der Ereignisstatus wird als Erfolgreich oder Fehlgeschlagen angezeigt. Wenn die Bindung erfolgreich ist, wird ein neues TPM-Schlüsselpaar generiert und der Schlüssel wird an das Gerät gebunden.
DBSC-Schlüsselvalidierung

Ein Versuch, den DBSC-Schlüssel zu validieren, ist fehlgeschlagen und hat einen der folgenden Fehlercodes zur Folge:

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.