Chrome DBSC: Google macht gestohlene Cookies auf Windows unbrauchbar

Google hat eine neue Sicherheitsfunktion für Chrome auf Windows freigegeben, die gestohlene Sitzungscookies unbrauchbar macht.

Seit dem 30. Mai 2026 ist die Funktion "Device Bound Session Credentials" (DBSC) für alle Chrome-Nutzer unter Windows verfügbar. Das Verfahren koppelt Browser-Sitzungen kryptografisch an das jeweilige Gerät – selbst wenn Angreifer einen Cookie stehlen, können sie ihn auf einem anderen Rechner nicht verwenden.

Während Google neue Hardware-Hürden für Cookie-Diebe errichtet, bleiben klassische Passwörter das größte Sicherheitsrisiko für Ihre privaten Konten. Dieser kostenlose Report zeigt, wie Sie mit der neuen Passkey-Technologie Ihre Accounts bei Amazon, Microsoft und WhatsApp unknackbar machen. Passkey-Ratgeber jetzt kostenlos herunterladen

So funktioniert die Technik

Im Kern nutzt DBSC das Trusted Platform Module (TPM) von Windows. Dieses Sicherheitschip-generiert einen privaten Schlüssel, der das Gerät niemals verlässt. Bei jeder Sitzungsanfrage läuft ein Challenge-Response-Verfahren ab: Der Server prüft, ob die Anfrage tatsächlich vom ursprünglichen Gerät kommt. Ist der Cookie gestohlen, verweigert das System die Freigabe.

Für macOS-Nutzer hat Google angekündigt, die Unterstützung für die Secure Enclave in einer zukünftigen Chrome-Version nachzureichen.

Ausrollen gestartet – kein Admin-Eingriff nötig

Der breite Rollout begann am 25. Mai 2026. Google rechnet damit, dass die Funktion innerhalb von rund 60 Tagen bei allen berechtigten Nutzern aktiv ist. DBSC ist ab Werk für alle Google-Workspace-Kunden, Individual-Abonnenten und private Google-Konten aktiviert.

Administratoren müssen nichts konfigurieren – und können es auch nicht: Google hat keinen Schalter zum Deaktivieren vorgesehen. Die Funktion gilt als integraler Sicherheitsstandard und ist ab Chrome 148 (Version 146 startete die Beta-Phase im April 2026) an Bord.

Das Ende der "Pass-the-Cookie"-Angriffe

Mit DBSC zielt Google direkt auf eine der gefährlichsten Angriffsmethoden: "Pass-the-Cookie". Dabei stehlen Angreifer aktive Sitzungstoken und umgehen so die Mehrfaktor-Authentifizierung (MFA). Sicherheitsforscher hatten zuvor beobachtet, wie Kriminelle bestimmte API-Schnittstellen missbrauchten, um neue Authentifizierungs-Cookies zu erzeugen. Schadsoftware wie Lumma oder Rhadamanthys gab vor, sogar abgelaufene Cookies wiederherstellen zu können.

Die allgemeine Verfügbarkeit von DBSC folgt auf eine Ankündigung aus dem Jahr 2024. Google reiht sich damit in eine branchenweite Bewegung ein, die klassische Sitzungscookies durch hardwaregestützte Alternativen ersetzen will. Das World Wide Web Consortium (W3C) pflegt seit rund drei Jahren eine offene Spezifikation für ähnliche Standards. Auch Microsoft arbeitet daran, den Edge-Browser mit dem gleichen Schutz auszustatten.

Da allein in Deutschland pro Quartal Millionen Online-Konten gehackt werden, ist der Wechsel zu hardwaregestützten Sicherheitsverfahren wie Passkeys für jeden Internetnutzer ratsam. Erfahren Sie in diesem Experten-Leitfaden, wie Sie die sichere Alternative zu Passwörtern sofort einrichten und Hackern keine Chance mehr lassen. Gratis-Report: Passwortlos und sicher anmelden

Integration für Unternehmen

Für Firmenkunden lässt sich DBSC mit Context-Aware Access (CAA) kombinieren. Organisationen können über bereitgestellte Prüfprotokolle Bindungsereignisse und den Sicherheitsstatus überwachen. Das verschafft mehr Kontrolle über die gerätebasierte Sitzungssicherheit.

Damit die Technik vollständig wirkt, müssen Websites die serverseitige Implementierung für den kryptografischen Handshake unterstützen. Google setzt hier auf die Eigeninitiative der Betreiber – der Schutz steht, die Annahme ist der nächste Schritt.

de | wissenschaft | 69452194 |