Cookie-Diebstahl mit Sitzungsbindung verhindern (Beta)

Als Administrator können Sie die Sicherheit der Online-Sitzungen Ihrer Nutzer verbessern, indem Sie Anmeldedaten für gerätegebundene Sitzungen (Device Bound Session Credentials, DBSC) implementieren. DBSC soll Sitzungsübernahmen verhindern, die auch als Cookie-Diebstahl bezeichnet werden.

Diese Art von Cyberangriff tritt auf, wenn eine nicht autorisierte Partei die Kontrolle über die aktive Websitzung eines Nutzers erlangt, indem sie das Sitzungscookie stiehlt. Dieses Cookie ist eine kleine Datendatei mit der eindeutigen Sitzungs-ID, die von der Website während der Anmeldung ausgegeben wird. Mit diesem gestohlenen Cookie kann sich der Angreifer als legitimer Nutzer ausgeben und die authentifizierte Sitzung fortsetzen.

Bei DBSC wird die Sitzung eines Nutzers an sein bestimmtes Gerät gebunden, sodass es für Angreifer schwieriger ist, gestohlene Cookies auf anderen Geräten zu verwenden. Durch die Verwendung von DBSC können Sie das Risiko eines unbefugten Zugriffs auf Nutzerkonten verringern und sensible Nutzerdaten schützen.

Voraussetzungen für die Verwendung von DBSC

  • Derzeit ist DBSC nur im Chrome-Browser für Windows-Geräte verfügbar.
  • Das Gerät des Nutzers muss ein Trusted Platform Module (TPM) haben. Das ist eine Standard-Hardwarekomponente, die bereits für die meisten Geräte mit Windows 11 verfügbar ist, um kryptografische Daten sicher zu speichern und zu verarbeiten. Informationen zur TPM-Verfügbarkeit finden Nutzer in der Regel in den Systemeinstellungen ihres Geräts oder in der Dokumentation des Geräteherstellers.
  • Der Nutzer muss Chrome Version 136 oder höher verwenden. Weitere Informationen finden Sie unter Google Chrome aktualisieren.

Hinweis: Während der Betaphase werden nur eine begrenzte Anzahl von Google-Cookies durch die Sitzungsbindung geschützt. Das bedeutet, dass nicht alle Cookies für einen Nutzer geschützt werden.

DBSC aktivieren

Vorbereitung:Informationen zum Anwenden der Einstellung auf eine Abteilung oder Gruppe finden Sie hier.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannGoogle-Sitzungssteuerung.

    Erfordert die Administratorberechtigung „Sicherheitseinstellungen“.

  2. Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.

    Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen

  3. Wählen Sie für Anmeldedaten für gerätegebundene Sitzung die Option DBSC aktivieren aus.
  4. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie später den übernommenen Wert wiederherstellen möchten, klicken Sie auf Übernehmen (oder Nicht festgelegt für eine Gruppe).

Mögliche Folgen der Aktivierung von DBSC

Nachdem Sie DBSC aktiviert haben, kann es bei Nutzern zu folgenden Problemen kommen:

  • Sitzungsunterbrechungen: Wenn die Sitzung eines Nutzers gültig ist, aber beim Bindungsprozess ein Fehler auftritt, muss sich der Nutzer noch einmal anmelden. Dadurch werden das Konto und die Daten des Nutzers geschützt.
  • Anhaltende Probleme: Wenn ein Nutzer immer wieder Probleme mit DBSC hat, wird er möglicherweise häufig abgemeldet. In solchen Fällen sollten sich Nutzer an ihren Administrator wenden, um Unterstützung bei der Fehlerbehebung zu erhalten. Dazu gehört möglicherweise auch das Deaktivieren von DBSC für ihr Konto. Der Administrator kann eine Gruppe erstellen, die von DBSC ausgenommen ist, und den Nutzer dieser Gruppe hinzufügen.

DBSC mit dem kontextsensitiven Zugriff erzwingen

Beschränkt auf Desktop-Webanwendungen und nicht für mobile Apps oder APIs geeignet

Sie können die Sicherheit weiter erhöhen, indem Sie festlegen, dass Nutzer für den Zugriff auf bestimmte Google Workspace-Apps DBSC benötigen. Nutzern, die ohne eine DBSC-gebundene Sitzung auf geschützte Apps zugreifen möchten, wird der Zugriff verweigert. Diese Sicherheitsmaßnahme wird über den kontextsensitiven Zugriff konfiguriert.

So richten Sie die DBSC-Erzwingung ein:

  1. Aktivieren Sie DBSC für die Nutzer, die Sie schützen möchten. Eine Anleitung finden Sie unter DBSC aktivieren.
  2. Folgen Sie der Anleitung unter Zugriff auf Apps nur über DBSC-gebundene Sitzungen zulassen, um eine benutzerdefinierte Zugriffsebene zu erstellen.
  3. Weisen Sie die Zugriffsebene den Apps zu, auf die nur über DBSC-gebundene Sitzungen zugegriffen werden soll. Verwenden Sie dazu den Monitormodus , um die Erzwingung zu simulieren, ohne den Nutzerzugriff zu blockieren.
  4. Nachdem Sie die Auswirkungen bewertet haben, weisen Sie im Aktivmodus Zugriffsebenen zu, um den Zugriff nur über DBSC-gebundene Sitzungen zu erzwingen. Weitere Informationen finden Sie unter Kontextsensitiven Zugriff implementieren.

Die Durchsetzung von DBSC erfolgt nicht sofort. Nach der Anmeldung eines Nutzers gibt es also eine Kulanzzeitraum, bevor die Durchsetzung erfolgt. So können potenzielle vorübergehende Bindungsprobleme berücksichtigt werden. Nach der Bindung prüft das System regelmäßig, ob Nutzer, die auf die angegebenen Apps zugreifen, DBSC-gebundene Sitzungen haben. Bei jeder erneuten Authentifizierung wird dieser Kulanzzeitraum zurückgesetzt und DBSC wird während dieser erneuten Authentifizierung nicht erzwungen.

DBSC-Protokollereignisse prüfen

Nachdem Sie DBSC aktiviert haben, können Sie die Nutzer-Protokollereignisse prüfen, um festzustellen, ob ein DBSC-Ereignis aufgetreten ist. Sie können beispielsweise prüfen, ob die DBSC-Schlüsselbindung erfolgreich war oder fehlgeschlagen ist.

Hinweis: DBSC-Protokollereignisse sind nur für das primäre Konto sichtbar, wenn mehrere Nutzerkonten im selben Chrome-Browserprofil angemeldet sind.

So prüfen Sie, ob ein Ereignis aufgetreten ist:

  1. Öffnen Sie die Nutzer-Protokollereignisse.
    Weitere Informationen finden Sie unter Nutzer-Protokollereignisse.
  2. Klicken Sie auf Filter hinzufügenund dannEreignis.
  3. Wählen Sie ein DBSC-Ereignis aus und klicken Sie auf Anwenden.

Weitere Informationen zu Ereignissen finden Sie in der folgenden Tabelle:

Ereignisname Beschreibung
DBSC-Schlüsselbindung Es wurde versucht, die Sitzung eines Nutzers an sein Gerät zu binden. Der Ereignisstatus ist Erfolgreich oder Fehlgeschlagen. Wenn die Bindung erfolgreich ist, wird ein neues TPM-Schlüsselpaar generiert und der Schlüssel wird an das Gerät gebunden.
DBSC-Schlüsselvalidierung

Ein Versuch, den DBSC-Schlüssel zu validieren, ist fehlgeschlagen. Das Ergebnis ist einer der folgenden Fehlercodes:

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.