# Google Chrome implementiert gerätegebundene Sitzungsanmeldeinformationen zur Eindämmung von Sitzungsdiebstahl **Google** hat nach einer offenen Beta-Testphase die **Device Bound Session Credentials (DBSC)** offiziell für alle Windows-Nutzer seines Webbrowsers **Chrome** eingeführt. Diese Sicherheitsverbesserung zielt darauf ab, die allgegenwärtige Bedrohung durch Sitzungsdiebstahl zu bekämpfen, und es sind Pläne vorgesehen, die Funktion in zukünftigen Versionen auch auf macOS auszuweiten.  ## Adressierung der Bedrohung durch Sitzungsdiebstahl Beim Sitzungsdiebstahl werden Sitzungs-Cookies unbefugt aus dem Webbrowser eines Nutzers extrahiert, oft durch informationsstehlende Malware wie Atomic, Lumma und Vidar Stealer. Diese Cookies, die eine lange Lebensdauer haben können, ermöglichen es Angreifern, auf Online-Konten zuzugreifen, ohne Passwörter zu benötigen. Gestohlene Tokens werden häufig an andere Cyberkriminelle verkauft, was weitere bösartige Aktivitäten ermöglicht. ## Wie DBSC funktioniert **DBSC**, das erstmals im April 2024 angekündigt wurde, mindert dieses Risiko, indem es Authentifizierungssitzungen kryptografisch an ein bestimmtes Gerät bindet. Dies geschieht mithilfe hardwaregestützter Sicherheitsmodule wie dem Trusted Platform Module (**TPM**) unter Windows und der Secure Enclave unter macOS, um ein eindeutiges Schlüsselpaar (öffentlich/privat) zu generieren, das nicht vom Gerät exportiert werden kann.  **Google** erklärt, dass die Ausstellung neuer kurzlebiger Sitzungs-Cookies davon abhängt, dass **Chrome** dem Server den Besitz des entsprechenden privaten Schlüssels nachweist. Da Angreifer diesen Schlüssel nicht stehlen können, laufen alle exfiltrierten Cookies schnell ab und werden nutzlos. In Fällen, in denen ein Gerät keine sichere Schlüsselspeicherunterstützung bietet, greift **DBSC** nahtlos auf das Standardverhalten zurück, ohne den Authentifizierungsprozess zu stören. ## Frühe Erfolge und Zukunftspläne **Google** berichtet von einer signifikanten Reduzierung des Sitzungsdiebstahls seit der ersten Einführung von **DBSC**, was die Wirksamkeit dieser Gegenmaßnahme unterstreicht. Das Unternehmen plant, **DBSC** auf eine breitere Palette von Geräten auszuweiten und erweiterte Funktionen für eine bessere Integration in Unternehmensumgebungen einzuführen. ## Datenschutzorientiertes Design **Google** hat in Zusammenarbeit mit **Microsoft** den **DBSC**-Standard unter Berücksichtigung des Datenschutzes entwickelt, mit dem Ziel, ihn als offenen Webstandard zu etablieren. Die Architektur stellt sicher, dass Websites Sitzungsanmeldeinformationen nicht verwenden können, um Benutzeraktivitäten über verschiedene Sitzungen oder Websites auf demselben Gerät hinweg zu korrelieren. Das Protokoll ist schlank konzipiert und vermeidet die Offenlegung von Geräte-IDs oder Attestierungsdaten über den für den Besitznachweis erforderlichen öffentlichen Schlüssel pro Sitzung hinaus. Dieser minimale Informationsaustausch stellt sicher, dass **DBSC** Sitzungen sichert, ohne Cross-Site-Tracking zu ermöglichen oder als Mechanismus zur Geräte-Fingerprinting zu dienen.