Cookie-Diebstahl mit Sitzungsbindung verhindern (Beta)

Als Administrator können Sie die Sicherheit der Online-Sitzungen Ihrer Nutzer verbessern, indem Sie Anmeldedaten für gerätegebundene Sitzungen (Device Bound Session Credentials, DBSC) implementieren. DBSC soll Sitzungsübernahmen verhindern, die auch als Cookie-Diebstahl bezeichnet werden.

Diese Art von Cyberangriff tritt auf, wenn eine nicht autorisierte Person die Kontrolle über die aktive Websitzung eines Nutzers erlangt, indem sie das Sitzungscookie stiehlt. Dies geschieht häufig durch Malware auf dem Gerät des Nutzers. Ein Sitzungscookie ist eine kleine Datendatei, die die eindeutige Sitzungs-ID enthält, die von der Website bei der Anmeldung ausgegeben wird. Durch Vorlage dieses gestohlenen Cookies kann sich der Angreifer als der legitime Nutzer ausgeben und die authentifizierte Sitzung fortsetzen.

DBSC bindet die Sitzung eines Nutzers an sein bestimmtes Gerät. So wird es für Angreifer schwieriger, gestohlene Cookies auf anderen Geräten zu verwenden. Durch die Verwendung von DBSC können Sie das Risiko eines unbefugten Zugriffs auf Nutzerkonten verringern und vertrauliche Nutzerdaten schützen.

Voraussetzungen für die Verwendung von DBSC

  • Chrome für Windows: Derzeit ist DBSC nur im Chrome-Browser für Windows-Geräte verfügbar.
  • Hardwaresicherheit (TPM): Das Gerät des Nutzers muss ein Trusted Platform Module (TPM) haben. Das ist eine Standardhardwarekomponente, die bereits für die meisten Geräte mit Windows 11 verfügbar ist. Auf dieser Hardware werden die kryptografischen Schlüssel sicher gespeichert, die verwendet werden, um die Sitzung an das Gerät zu binden. Informationen zur Verfügbarkeit von TPM finden Nutzer in der Regel in den Systemeinstellungen ihres Geräts oder in der Dokumentation des Geräteherstellers.
  • Chrome-Version: Der Nutzer muss Chrome-Version 136 oder höher verwenden. Weitere Informationen finden Sie unter Google Chrome aktualisieren.
  • Primäres Konto: DBSC-Schutz und Protokollereignisdaten sind nur für das primäre Konto in einem Chrome-Browserprofil verfügbar.

Hinweis: Die Sitzungsbindung schützt die meisten Google-Cookies. Einige Cookies oder Sitzungen bleiben jedoch möglicherweise ungebunden.

DBSC aktivieren

Hinweis:Bei Bedarf können Sie die Einstellung auf eine Abteilung oder Gruppe anwenden.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Google-Sitzungssteuerung.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.

    Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen

  3. Wählen Sie für Anmeldedaten für gerätegebundene Sitzung die Option DBSC aktivieren aus.
  4. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen (oder bei einer Gruppe auf Nicht festgelegt).

DBSC mit dem kontextsensitiven Zugriff erzwingen

Beschränkt auf Webanwendungen für den Desktop und nicht für mobile Apps oder APIs geeignet

Sie können die Sicherheit weiter erhöhen, indem Sie festlegen, dass Nutzer für den Zugriff auf bestimmte Google Workspace-Apps DBSC benötigen. Wenn Sie DBSC erzwingen, werden Nutzer aufgefordert, sich noch einmal anzumelden, wenn das System eine Abweichung von einer zuvor eingerichteten gebundenen Sitzung feststellt. Durch diese erneute Authentifizierung kann das System eine neue, sichere Bindung versuchen. Nutzer auf nicht unterstützten Plattformen können nicht auf die geschützte App zugreifen. Diese Sicherheitsmaßnahme wird über den kontextsensitiven Zugriff konfiguriert.

So richten Sie die Durchsetzung von DBSC ein:

  1. Aktivieren Sie DBSC für die Nutzer, die Sie schützen möchten. Eine entsprechende Anleitung finden Sie unter DBSC aktivieren.
  2. Folgen Sie der Anleitung unter Zugriff auf Apps nur über DBSC-gebundene Sitzungen zulassen, um eine benutzerdefinierte Zugriffsebene zu erstellen.
  3. Weisen Sie die Zugriffsebene den Apps zu, auf die nur über DBSC-gebundene Sitzungen zugegriffen werden soll. Verwenden Sie dazu den Monitormodus , um die Erzwingung zu simulieren, ohne den Nutzerzugriff zu blockieren.
  4. Nachdem Sie die Auswirkungen bewertet haben, weisen Sie Zugriffsebenen im Aktivmodus zu, um den Zugriff nur über DBSC-gebundene Sitzungen zu erzwingen. Weitere Informationen finden Sie unter Kontextsensitiven Zugriff implementieren.

Die Durchsetzung von DBSC erfolgt nicht sofort. Nach der Anmeldung eines Nutzers gibt es also eine Kulanzzeitraum, bevor die Durchsetzung erfolgt. So können potenzielle vorübergehende Probleme mit der Bindung berücksichtigt werden. Nach der Bindung prüft das System regelmäßig, ob Nutzer, die auf die angegebenen Apps zugreifen, DBSC-gebundene Sitzungen haben. Bei jeder erneuten Authentifizierung wird dieser Kulanzzeitraum zurückgesetzt und DBSC wird während dieser erneuten Authentifizierung nicht erzwungen.

Probleme mit DBSC-Schutz und Sitzungen untersuchen

Mit dem Sicherheitsprüftool können Sie den DBSC-Schutz überwachen und Probleme mit Sitzungsunterbrechungen beheben. Es gibt zwei Protokollquellen für DBSC-Aktivitäten:

  • Nutzer-Protokollereignisse: Überwachen Sie die Bindung von Zugriffstokens an Nutzergeräte.
  • Protokollereignisse bei der Zugriffsbewertung : Überprüfen Sie den Status bestimmter Cookies.

Schritt 1: In Nutzer-Protokollereignissen nach DBSC-Aktivitäten suchen

Anhand dieser Datenquelle können Sie prüfen, ob DBSC Schlüssel erfolgreich an Nutzer geräte bindet und Sitzungen validiert.

So prüfen Sie, ob DBSC Schlüssel bindet :

  1. Gehen Sie in der Admin-Konsole zum Menü  und dann Sicherheit und dann Sicherheitscenter und dann Prüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Wählen Sie unter Datenquelle die Option Nutzer-Protokollereignisse aus.
  3. Klicken Sie auf Bedingung hinzufügen.
  4. Wählen Sie unter Attribut die Option Ereignis aus. Wählen Sie als Operator Ist aus und als Ereignis DBSC key binding aus.und dannund dann
  5. Klicken Sie auf Suchen.
  6. Überprüfen Sie in der Ergebnistabelle die Spalte Ereignisstatus :
    • Erfolgreich : Der DBSC-Schutz ist für den Nutzer aktiviert und die Sitzung ist geschützt.
    • Fehlgeschlagen : Die DBSC-Bindung ist fehlgeschlagen und der Schutz ist nicht aktiviert für den Nutzer.
    • Keine Ergebnisse: Der DBSC-Schutz wurde für diese Nutzersitzung nicht versucht.

So prüfen Sie, ob DBSC Sitzungen validiert :

  1. Gehen Sie in der Admin-Konsole zum Menü  und dann Sicherheit und dann Sicherheitscenter und dann Prüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Klicken Sie auf Bedingung hinzufügen.
  3. Wählen Sie unter Attribut die Option Ereignisund dannIst als Operator und DBSC-Schlüsselvalidierung als Ereignis aus.und dann
  4. Klicken Sie auf Suchen.
  5. Überprüfen Sie in der Ergebnistabelle die Spalte Ereignisstatus :
    • Erfolgreich : Das Cookie wurde erfolgreich validiert.
    • Fehlgeschlagen : Die DBSC-Validierung ist fehlgeschlagen. Klicken Sie auf den Status um zusätzliche Informationen wie einen Fehlercode zu erhalten.

Ein Fehler bedeutet nicht unbedingt, dass es zu Sitzungs unterbrechungen kommt. Unterbrechungen können auftreten, wenn mehrere Validierungen fehlschlagen.

Schritt 2: In Protokollereignissen bei der Zugriff Bewertung nach verweigerten Zugriffen suchen

Anhand dieser Datenquelle können Sie prüfen, ob der Zugriff auf das Cookie eines Nutzers verweigert wurde.

  1. Gehen Sie in der Admin-Konsole zum Menü  und dann Sicherheit und dann Sicherheitscenter und dann Prüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Wählen Sie unter Datenquelle die Option Protokollereignisse bei der Zugriffsbewertung aus.
  3. Klicken Sie auf Bedingung hinzufügen.
  4. Wählen Sie unter Attribut die Option Ereignisund dannIst als Operator und Anfrage zur Cookie-Validierung ablehnen als Ereignis aus.und dann
  5. Klicken Sie auf Suchen.
  6. Klicken Sie in der Ergebnistabelle in der Spalte Ereignisstatus auf Abgelehnt oder in der Spalte Beschreibung auf den Link, um ein Seitenfenster zu öffnen, in dem Sie die folgenden Gründe für den Fehler sehen:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Protokollereignisse werden nach Sitzung gruppiert. Pro Nutzer wird nur ein Ereignis pro Stunde aufgezeichnet, auch wenn in diesem Zeitraum mehrere Zugriffsversuche blockiert werden.

Schritt 3: Untersuchen, ob Sitzungsunterbrechungen durch DBSC verursacht werden

Nutzer können aus verschiedenen Gründen abgemeldet werden, z. B. aufgrund von Beschränkungen der Sitzungslänge , von Administratoren festgelegten Richtlinien oder Netzwerkproblemen. Eine Abmeldung deutet nicht immer auf ein DBSC-Problem hin. Bestimmte Protokollsequenzen können jedoch helfen, potenzielle DBSC-bezogene Aktivitäten oder Fälle zu identifizieren, in denen das System eine kompromittierte Sitzung blockiert hat.

Anhand der folgenden Punkte können Sie DBSC-bezogene Aktivitäten identifizieren:

  • Protokollsequenzen überprüfen: Wenn Sie Fehler bei der DBSC-Schlüssel validierung finden, gefolgt von einer Anfrage zur Cookie-Validierung ablehnen, könnte DBSC die Ursache für die Abmeldung des Nutzers sein.
  • Auswirkungen auf den Nutzer verstehen: Um das Konto zu schützen, muss sich ein Nutzer noch einmal anmelden, wenn beim Bindungsprozess ein Fehler auftritt.
  • Nutzer von DBSC ausnehmen: Wenn ein Nutzer immer wieder abgemeldet wird, können Sie eine Konfigurationsgruppe erstellen, die von DBSC ausgenommen ist, und den Nutzer dieser Gruppe hinzufügen, um zu prüfen, ob DBSC die Ursache für die Abmeldungen ist.


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.