Chrome schließt mit DBSC ein gefährliches Sicherheitsleck

Mit den neuen Device Bound Session Credentials (DBSC) werden Anmeldesitzungen kryptografisch an die Hardware des Geräts gebunden. Diese Technologie neutralisiert einen der häufigsten Angriffswege im Netz.

Das Ende des gestohlenen Logins?

Die digitale Sicherheitslandschaft hat sich grundlegend verändert. Seit dem 10. April 2026 setzt Google für Windows-Nutzer des Chrome 146 auf eine neue Verteidigungslinie. Sie macht die Diebstahl-Methode unschädlich, mit der Cyberkriminelle seit Jahren die Zwei-Faktor-Authentifizierung (2FA) umgehen: den Diebstahl von Session-Cookies.

4,7 Millionen gehackte Konten pro Quartal in Deutschland zeigen, dass herkömmliche Passwörter allein keinen ausreichenden Schutz mehr bieten. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. manipulationssicher machen. Sicher, bequem und passwortlos: Jetzt Gratis-Report sichern

Bisher konnten Schadprogramme wie LummaC2 oder Vidar diese Cookies aus dem Browserspeicher stehlen und auf anderen Rechnern nutzen. So erhielten Hacker vollen Zugriff auf Konten – ohne Passwort oder Sicherheitscode. DBSC beendet dieses Spiel. Bei der Anmeldung erzeugt Chrome nun einen einzigartigen Schlüssel im Trusted Platform Module (TPM) der Hardware. Der private Schlüssel verlässt den Sicherheitschip nie.

Gestohlene Cookies laufen sofort ab und sind nutzlos. „Dies adressiert eine kritische Schwachstelle“, analysieren Experten. Selbst wenn Malware hochrangigen Systemzugriff erlangt, kann sie die gebundenen Sitzungen nicht mehr entwenden.

Privatsphäre als Design-Prinzip

Ein zentrales Versprechen der neuen Architektur: Sie soll nicht zur Überwachung missbraucht werden können. Google entwickelte das Protokoll gemeinsam mit Microsoft und dem World Wide Web Consortium (W3C) als offenen Standard. Andere Browser-Hersteller können die Technologie somit übernehmen.

Die Architektur ist „schlank“ designed. Sie teilt keine Geräte-Identifikatoren oder komplexen Bestätigungsdaten mit den Servern. Stattdessen übermittelt sie nur den für die Sitzung notwendigen öffentlichen Schlüssel. Webseiten können die Credentials daher nicht nutzen, um Nutzeraktivitäten über verschiedene Sitzungen hinweg zu verfolgen.

Für Webseiten-Betreiber bleibt der Aufwand überschaubar. Entwickler müssen ihre Backends um spezifische Endpunkte erweitern. Die komplexe Kryptografie und Cookie-Verwaltung übernimmt der Browser im Hintergrund. Für den Nutzer ändert sich am Login-Prozess nichts – die Sicherheit dahinter ist jedoch massiv erhöht.

Stärkung für Unternehmen und Compliance

Für die Unternehmenswelt ist der Effekt besonders bedeutend, vor allem im Kontext von Single Sign-On (SSO) und Remote-Arbeit. DBSC schafft eine lückenlose Vertrauenskette während des gesamten Login-Prozesses.

Das Protokoll unterstützt nun auch cross-origin Bindungen. Eine Sitzung bleibt damit kontinuierlich an den ursprünglichen Geräteschlüssel gebunden, der bei der Anmeldung beim Identitätsanbieter erzeugt wurde. Ob Google Workspace, das Firmen-Intranet oder externe SaaS-Tools – alle Zugänge stehen unter demselben hardwaregebundenen Schutzschirm.

Während neue Browser-Technologien die Sitzungssicherheit erhöhen, bleiben Phishing-Angriffe auf Mitarbeiter eine der größten Gefahren für die Unternehmens-Compliance. Dieses kostenlose Anti-Phishing-Paket bietet eine detaillierte Risikoanalyse und zeigt in 4 Schritten, wie Firmen sich effektiv gegen psychologische Manipulationstaktiken schützen. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern

Für Compliance-Beauftragte bietet dies eine überprüfbare Methode. Sie können sicherstellen, dass Firmenzugänge nicht auf unbefugten Geräten genutzt werden können – selbst wenn der Mitarbeiter-PC mit Malware infiziert ist. Erste Tests mit Plattformen wie Okta Ende 2025 zeigten bereits einen messbaren Rückgang erfolgreicher Account-Übernahmen.

Kontext: Der Kampf gegen die Daten-Industrie

Der Schritt zu hardwaregebundenen Credentials kommt zur rechten Zeit. Herkömmliche Sicherheitsmaßnahmen halten mit dem industriellen Maßstab des Credential-Harvesting kaum noch Schritt. Laut dem Identity Breach Report 2026 verarbeiteten Infostealer allein 2025 über 50 Millionen Datenpakete – ein Anstieg von 72 Prozent zum Vorjahr.

DBSC schließt zwar die „Cookie-Diebstahl-Tür“. Es ist jedoch kein Allheilmittel. Die Technologie schützt nicht vor Keyloggern, die Passwörter abfangen. Auch bereits gestohlene und im Darknet zirkulierende Daten sind nicht gesichert. Doch indem Google die Möglichkeit eliminiert, gestohlene Session-Tokens zum Umgehen der 2FA zu nutzen, entzieht es Angreifern eines ihrer tödlichsten Werkzeuge.

Die historische Reaktion auf Session-Diebstahl war reaktiv: Ungewöhnliche Login-Muster wurden erst nach dem Diebstahl erkannt. DBSC verschiebt dieses Paradigma hin zur proaktiven Prävention. Die physische Präsenz des authentifizierten Geräts wird zur unabdingbaren Voraussetzung für den Zugang.

Ausblick: Expansion zum Web-Standard

Die aktuelle Verfügbarkeit beschränkt sich auf Windows-Nutzer von Chrome 146. Der Fahrplan für DBSC sieht jedoch bedeutende Erweiterungen vor. Die Unterstützung für macOS, die den Secure Enclave für die Schlüsselspeicherung nutzen wird, wird in einem kommenden Browser-Release erwartet.

Forscher untersuchen zudem softwarebasierte Schlüssel. Diese könnten ähnlichen, wenn auch etwas weniger robusten Schutz auf ältere Geräte ohne dedizierte Hardware-Sicherheitsmodule ausweiten.

Das ultimative Ziel des Projektteams ist es, DBSC durch den W3C-Prozess zu einem universellen Web-Standard zu machen. Gelänge dies, könnten alle Webseiten hardwaregebundene Sitzungen verlangen – unabhängig vom verwendeten Browser. Wenn sich der Standard 2026 und 2027 weiter durchsetzt, könnte die Ära des „wertvollen, gestohlenen Cookies“ zu Ende gehen. Cyberkriminelle müssten einen ihrer profitabelsten Angriffsvektoren aufgeben.

de | boerse | 69139905 |