Cookie-Diebstahl mit Sitzungsbindung verhindern (Beta)

Als Administrator können Sie die Sicherheit der Onlinesitzungen Ihrer Nutzer durch die Implementierung von Anmeldedaten für gerätegebundene Sitzungen (Device Bound Session Credentials, DBSC) verbessern. DBSC soll Session Hijacking verhindern, das auch als Cookie-Diebstahl bezeichnet wird.

Diese Art von Cyberangriff erfolgt, wenn eine unbefugte Partei die Kontrolle über die aktive Websitzung eines Nutzers erlangt, indem sie das Sitzungscookie stiehlt – oft durch Malware auf dem Gerät des Nutzers. Ein Sitzungscookie ist eine kleine Datei, die die eindeutige Sitzungskennung enthält, die von der Website während der Anmeldung ausgegeben wird. Durch Vorlage dieses gestohlenen Cookies kann sich der Angreifer als der legitime Nutzer ausgeben und die authentifizierte Sitzung fortsetzen.

DBSC bindet die Sitzung eines Nutzers an sein bestimmtes Gerät. Dadurch wird es Angreifern erschwert, gestohlene Cookies auf anderen Geräten zu verwenden. Mit DBSC können Sie das Risiko eines unbefugten Zugriffs auf Nutzerkonten verringern und sensible Nutzerdaten schützen.

Voraussetzungen für die Verwendung von DBSC

  • Chrome für Windows: Derzeit ist DBSC nur im Chrome-Browser für Windows-Geräte verfügbar.
  • Hardwaresicherheit (TPM): Das Gerät des Nutzers muss ein Trusted Platform Module (TPM) haben. Das ist eine Standard-Hardwarekomponente, die bereits für die meisten Geräte mit Windows 11 verfügbar ist. In dieser Hardware werden die kryptografischen Schlüssel, die zum Binden der Sitzung an das Gerät verwendet werden, sicher gespeichert. Nutzer finden in der Regel Informationen zur TPM-Verfügbarkeit in den Systemeinstellungen ihres Geräts oder in der Dokumentation des Geräteherstellers.
  • Chrome-Version: Der Nutzer muss Chrome ab Version 136 verwenden. Weitere Informationen finden Sie unter Google Chrome aktualisieren.
  • Primäres Konto: DBSC-Schutz und Log-Ereignisdaten sind nur für das primäre Konto in einem Chrome-Browserprofil verfügbar.

Hinweis: Die Sitzungsbindung schützt die meisten Google-Cookies. Einige Cookies oder Sitzungen bleiben jedoch möglicherweise ungebunden.

DBSC aktivieren

Hinweis: Bei Bedarf können Sie die Einstellung auf eine Abteilung oder Gruppe anwenden.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Google-Sitzungssteuerung.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.

    Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen

  3. Wählen Sie für Anmeldedaten für gerätegebundene Sitzung die Option DBSC aktivieren aus.
  4. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen (oder bei einer Gruppe auf Nicht festgelegt).

DBSC mit dem kontextsensitiven Zugriff erzwingen

Beschränkt auf Desktop-Web-Apps und nicht für mobile Apps oder APIs anwendbar

Sie können die Sicherheit weiter erhöhen, indem Sie festlegen, dass Nutzer für den Zugriff auf bestimmte Google Workspace-Apps DBSC benötigen. Wenn Sie DBSC erzwingen, werden Nutzer aufgefordert, sich noch einmal anzumelden, wenn das System eine Abweichung von einer zuvor eingerichteten gebundenen Sitzung erkennt. Durch diese erneute Authentifizierung kann das System versuchen, eine neue, sichere Bindung herzustellen. Nutzer auf nicht unterstützten Plattformen werden daran gehindert, auf die geschützte App zuzugreifen. Diese Sicherheitsmaßnahme wird über den kontextsensitiven Zugriff konfiguriert.

So richten Sie die Durchsetzung von DBSC ein:

  1. Aktivieren Sie DBSC für die Nutzer, die Sie schützen möchten. Eine Anleitung dazu finden Sie im Hilfeartikel DBSC aktivieren.
  2. Folgen Sie der Anleitung unter Zugriff auf Apps nur über DBSC-gebundene Sitzungen zulassen, um eine benutzerdefinierte Zugriffsebene zu erstellen.
  3. Weisen Sie die Zugriffsebene den Apps zu, auf die nur über DBSC-gebundene Sitzungen zugegriffen werden soll. Verwenden Sie dazu den Monitormodus, um die Erzwingung zu simulieren, ohne den Nutzerzugriff zu blockieren.
  4. Nachdem Sie die Auswirkungen bewertet haben, weisen Sie Zugriffsebenen im Aktivmodus zu, um den Zugriff nur über sitzungsbasierte Anmeldedaten zu erzwingen. Weitere Informationen finden Sie unter Kontextsensitiven Zugriff bereitstellen.

Die Durchsetzung von DBSC erfolgt nicht sofort. Nach der Anmeldung eines Nutzers gibt es also einen Kulanzzeitraum, bevor die Durchsetzung erfolgt. Dieses Design berücksichtigt potenzielle vorübergehende Bindungsprobleme. Nach der Bindung prüft das System regelmäßig, ob Nutzer, die auf die angegebenen Apps zugreifen, Sitzungen haben, die an DBSC gebunden sind. Bei jeder erneuten Authentifizierung wird diese Kulanzfrist zurückgesetzt und DBSC wird während der erneuten Authentifizierung nicht erzwungen.

DBSC-Schutz und Sitzungsprobleme untersuchen

Mit dem Sicherheitsprüftool können Sie den DBSC-Schutz überwachen und Probleme mit Sitzungsunterbrechungen beheben. Es gibt zwei Log-Quellen für DBSC-Aktivitäten:

  • Nutzer-Protokollereignisse: Hier können Sie die Bindung von Zugriffstokens an Nutzergeräte überwachen.
  • Protokollereignisse bei der Zugriffsbewertung: Hier können Sie den Status bestimmter Cookies einsehen.

Schritt 1: Nach DBSC-Aktivitäten in Nutzerprotokollereignissen suchen

Mit dieser Datenquelle können Sie prüfen, ob DBSC Schlüssel erfolgreich an Nutzergeräte bindet und Sitzungen validiert.

So prüfen Sie, ob DBSC Schlüssel bindet:

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Sicherheitscenter und dann Prüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Wählen Sie für Datenquelle die Option Nutzer-Protokollereignisse aus.
  3. Klicken Sie auf Bedingung hinzufügen.
  4. Wählen Sie für Attribut die Option Ereignisund dannIst als Operator und dannDBSC-Schlüsselbindung als Ereignis aus.
  5. Klicken Sie auf Suchen.
  6. Sehen Sie sich in der Ergebnistabelle die Spalte Ereignisstatus an:
    • Erfolgreich: Der DBSC-Schutz ist für den Nutzer aktiviert und die Sitzung ist geschützt.
    • Fehler: Die DBSC-Bindung ist fehlgeschlagen und der Schutz ist für den Nutzer nicht aktiviert.
    • Keine Ergebnisse: Für diese Nutzersitzung wurde kein DBSC-Schutz versucht.

So prüfen Sie, ob DBSC Sitzungen validiert:

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Sicherheitscenter und dann Prüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Klicken Sie auf Bedingung hinzufügen.
  3. Wählen Sie für Attribut die Option Ereignis aus und dann als Operator Ist und dann als Ereignis DBSC-Schlüsselvalidierung.
  4. Klicken Sie auf Suchen.
  5. Sehen Sie sich in der Ergebnistabelle die Spalte Ereignisstatus an:
    • Erfolgreich: Das Cookie wurde erfolgreich validiert.
    • Fehlgeschlagen: Die DBSC-Validierung ist fehlgeschlagen. Klicken Sie auf den Status, um zusätzliche Informationen wie einen Fehlercode zu erhalten.

Ein Fehler bedeutet nicht unbedingt, dass die Sitzung des Nutzers unterbrochen wird. Nutzer können unterbrochen werden, wenn mehrere Validierungsfehler nacheinander auftreten.

Schritt 2: Log-Ereignisse bei der Zugriffsbewertung auf Zugriffsverweigerungen prüfen

Mit dieser Datenquelle können Sie prüfen, ob der Zugriff auf das Cookie eines Nutzers verweigert wurde.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Sicherheitscenter und dann Prüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Wählen Sie für Datenquelle die Option Log-Ereignisse bei der Zugriffsbewertung aus.
  3. Klicken Sie auf Bedingung hinzufügen.
  4. Wählen Sie für Attribut die Option Ereignis aus. Verwenden Sie Ist als Operatorund dannCookie-Validierungsanfrage ablehnen als Ereignis.und dann
  5. Klicken Sie auf Suchen.
  6. Klicken Sie in der Ergebnistabelle in der Spalte Ereignisstatus auf Abgelehnt oder in der Spalte Beschreibung auf den Link, um eine Seitenleiste zu öffnen, in der Sie die folgenden Fehlerursachen sehen können:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Logereignisse werden nach Sitzung gruppiert. Pro Nutzer wird nur ein Ereignis pro Stunde aufgezeichnet, auch wenn in diesem Zeitraum mehrere Zugriffsversuche blockiert werden.

Schritt 3: Prüfen, ob Sitzungsunterbrechungen durch DBSC verursacht werden

Nutzer können aus verschiedenen Gründen abgemeldet werden, z. B. aufgrund von Sitzungslängenbeschränkungen, von Administratoren definierten Richtlinien oder Netzwerkproblemen. Eine Abmeldung deutet nicht immer auf ein DBSC-Problem hin. Bestimmte Logfolgen können jedoch dabei helfen, potenzielle DBSC-bezogene Aktivitäten oder Fälle zu identifizieren, in denen das System eine kompromittierte Sitzung blockiert hat.

Anhand dieser Punkte können Sie DBSC-bezogene Aktivitäten identifizieren:

  • Log-Sequenzen prüfen: Wenn Sie Fehler bei der DBSC-Schlüsselvalidierung gefolgt von einer Anfrage zur Cookie-Validierung verweigern finden, könnte DBSC die Ursache für die Abmeldung des Nutzers sein.
  • Auswirkungen auf den Nutzer: Um das Konto zu schützen, muss sich ein Nutzer noch einmal anmelden, wenn beim Bindungsprozess ein Fehler auftritt.
  • Nutzer von DBSC ausnehmen: Wenn ein Nutzer immer wieder abgemeldet wird, können Sie eine Konfigurationsgruppe erstellen, die von DBSC ausgenommen ist, und den Nutzer dieser Gruppe hinzufügen, um zu prüfen, ob die Abmeldungen durch DBSC verursacht werden.


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.