Kaspersky warnt, dass Session-Hijacking über Cookies ernsthafte Sicherheitsrisiken birgt und Angreifern ermöglicht, sich als Benutzer auszugeben oder Daten zu stehlen. Der Bericht hebt Bedrohungen wie XSS, Session Fixation und unsichere Cookie-Einstellungen hervor. Zu den wirksamen Abwehrmaßnahmen gehören HTTPS, Secure/HttpOnly-Flags, MFA und Consent Management-Plattformen (CMPs) wie CookieHub, um Cookie-basierte Schwachstellen zu minimieren.
Im September 2025 veröffentlichte das Websicherheitsunternehmen Kaspersky eine Warnung mit dem Titel „Nicht von Cookies beißen lassen: Kaspersky warnt vor der drohenden Gefahr des Web-Session-Hijacking“. Sie lenkt die Aufmerksamkeit auf ein wenig beachtetes Cyberrisiko: Session-Hijacking über Cookies.
Kurz gesagt: Ein Angreifer, der Session-Cookies stiehlt oder manipuliert, kann sich als ein Benutzer ausgeben, unbefugten Zugriff erlangen oder in dessen Namen Aktionen ausführen. Dies ist einer von vielen Cookie-basierten Angriffsvektoren, die den Datenschutz, die Datenintegration oder sogar die finanzielle Sicherheit gefährden können.
Wir untersuchen, was das bedeutet, welche Abwehrmaßnahmen es gibt und wie eine Consent-Management-Plattform dazu beitragen kann, das Risiko zu verringern.
Kaspersky berichtet, dass 87 % einer zufällig ausgewählten Stichprobe von Websites Cookie-Hinweise anzeigen, doch viele Benutzer sind sich der größeren Sicherheitsrisiken, die von Cookies ausgehen, nicht bewusst.
Cookies können Sitzungs-IDs, Einstellungen, Authentifizierungstoken oder andere Statusdaten speichern, die einen Benutzer an eine Serversitzung binden. Wenn Angreifer diese Cookies stehlen oder missbrauchen, können sie die Identität des Benutzers annehmen oder unbefugte Aktionen ausführen.
Cookies speichern Statusinformationen. Wenn eine Website ein Cookie oder ein ähnliches Token setzt, sendet der Browser dieses automatisch bei zukünftigen Anfragen, sodass der Server weiterhin „Sie“ kennt. Stiehlt oder manipuliert ein Angreifer dieses Cookie, kann er sich als Sie ausgeben, bis die Sitzung ungültig wird.
Einige Angriffswege sind:
Session Sniffing/Man-in-the-Middle-Angriffe: Über unsichere Verbindungen (z. B. HTTP oder schlecht konfigurierte WLAN-Netzwerke) kann ein Angreifer Cookies während der Übertragung abfangen.
Cross-Site-Scripting (XSS): Schädliche Skripte werden in eine Website eingeschleust und im Browser des Nutzers ausgeführt, wodurch der Diebstahl von Cookies ermöglicht wird.
Session Fixation: Ein Angreifer bringt einen Nutzer dazu, eine vordefinierte Sitzungs-ID anzunehmen, und kapert diese Sitzung nach der Anmeldung. Die Warnung von Kaspersky weist ausdrücklich auf Fixierungsrisiken und allgemeinere Muster des Cookie-Missbrauchs hin.
Die Schwachstellen der Cookie-zentrierten Sitzungsauthentifizierung sind in der Wissenschaft seit langem dokumentiert. Ein klassisches ACM-Paper erklärt beispielsweise, warum Cookies der De-facto-Mechanismus für Websitzungen sind und warum ihr Design sie für Angreifer attraktiv macht. Als Gegenmaßnahme werden Einmal-Cookies vorgeschlagen. Neuere Arbeiten zeigen weiterhin, dass XSS nach wie vor weit verbreitet und in großem Maßstab automatisierbar ist.
Dies ist ein wichtiger Weckruf: Cookies mögen banal erscheinen, doch bei Missbrauch oder falscher Handhabung werden sie zu potenziellen Angriffsvektoren.
Cookie-Hijacking bezeichnet in der Regel den Diebstahl oder die Verwendung fremder Cookies (Sitzungs-/Authentifizierungs-Cookies oder Tracking-Cookies), um sich als diese auszugeben oder sie zu verfolgen. Häufige Ursachen:
Cookies, die JavaScript ausgesetzt sind (kein HttpOnly)
Cookies, die über unsichere Verbindungen gesendet werden (kein Secure / kein HTTPS)
Cross-Site-Scripting (XSS), das Cookies liest
Drittanbieter-Skripte setzen oder lesen unbeabsichtigte Cookies
Falsch konfigurierte SameSite-Einstellungen ermöglichen CSRF-ähnlichen Missbrauch
Eine Consent-Management-Plattform sowie einige allgemeinere Best Practices können mehrere dieser Vektoren adressieren, indem sie steuern, welche Skripte und Cookies ausgeführt werden dürfen, und indem sie zuverlässige Einwilligungsprotokolle erstellen.
Kaspersky empfiehlt folgende Best Practices: Erzwingen Sie HTTPS, verwenden Sie HttpOnly- und Secure-Flags für Cookies, wenden Sie CSRF-Token an, verwenden Sie kryptografisch starke Sitzungs-IDs, fördern Sie die minimale Cookie-Akzeptanz, löschen Sie Cookies und Cache, aktivieren Sie die Zwei-Faktor-Authentifizierung, vermeiden Sie HTTP oder öffentliche WLANs ohne Schutz usw.
Der Schutz vor Session Hijacking erfordert einen mehrschichtigen Ansatz. Aufbauend auf den Sicherheitsempfehlungen können einige Best Practices Folgendes umfassen:
Verwenden Sie immer HTTPS/TLS.
Der gesamte Cookie-Austausch und alle sensiblen Anfragen sollten auf verschlüsselte Kanäle beschränkt sein. Verwenden Sie HSTS (HTTP Strict Transport Security), um Angriffe durch Protokoll-Downgrades zu vermeiden.
Setzen Sie Secure- und HttpOnly-Flags für Cookies.
Sicher: Stellt sicher, dass das Cookie nur über HTTPS und nicht über unsicheres HTTP gesendet wird. HttpOnly: Verhindert, dass JavaScript im Browser das Cookie liest oder manipuliert, wodurch XSS-basierter Diebstahl reduziert wird.
SameSite-Cookie-Attribut
Verwenden Sie SameSite (z. B. „Strict“ oder „Lax“), um das Senden von Cookies in Cross-Site-Kontexten einzuschränken und so das CSRF-Risiko und bestimmte Cross-Site-Lecks zu reduzieren.
CSRF-Token/Anti-CSRF-Strategien
Jede statusändernde Anfrage sollte ein unvorhersehbares Token (z. B. in Headern oder Formulartexten) enthalten, das mit der Sitzung des Benutzers verknüpft ist.
Sitzungserneuerung und -ablauf
Erzwingen Sie eine regelmäßige erneute Authentifizierung oder einen automatischen Ablauf. Ungültigkeit von Sitzungen nach Abmeldung oder längerer Inaktivität.
Eingabebereinigung/XSS-Minderung
Verwenden Sie Content Security Policies (CSP), strenge Eingabevalidierung, Output Escaping, Sandboxing und Frameworks, die das Risiko von Skript-Injektionen reduzieren.
Multifaktor-Authentifizierung (MFA)
Selbst bei Diebstahl von Sitzungstoken kann MFA als Backup-Barriere dienen.
Sitzungsbindung/Geräte-Fingerprinting
Kombinieren Sie Sitzungstoken mit zusätzlichen Metadaten (IP-Adressbereich, Benutzeragent, Geräte-Fingerprint) und lehnen Sie Sitzungen ab, die erheblich abweichen.
Dies ist eine grundlegende, wenn auch unvollständige Liste grundlegender Schutzmaßnahmen. Ein Bereich, in dem Webbetreiber (Websitebesitzer) jedoch häufig Schwierigkeiten haben, ist die Cookie-Verwaltung. Hier kann eine Consent Management Platform (CMP) wie CookieHub helfen.
Eine Consent Management Platform (CMP) ist ein Tool, das von Websites verwendet wird, um Nutzereinwilligungen für Cookies, Tracker und andere Browser-Speicher oder Skripte zu erfassen, zu verwalten und durchzusetzen. CMPs werden häufig zur Einhaltung von Datenschutzbestimmungen (wie DSGVO, ePrivacy-Richtlinie, CCPA usw.) eingesetzt.
Über die Einhaltung von Vorschriften hinaus trägt eine gut konzipierte CMP auf verschiedene Weise zur Sicherheit und zur Risikominderung bei:
Eines der Hauptziele einer CMP ist es, Nutzern die Möglichkeit zu geben, bestimmte Cookie-Kategorien (z. B. unbedingt erforderliche, funktionale, Performance-, Marketing-, Targeting- und Analyse-Cookies) zu aktivieren oder zu deaktivieren. Durch die Ablehnung nicht unbedingt erforderlicher Cookies reduzieren Websites ihre Angriffsfläche. Lehnt ein Nutzer Cookies ab, werden diese Cookies (und die zugehörigen Sitzungs-/Tracking-Token) nie gesetzt, wodurch mögliche Angriffspunkte ausgeschlossen werden.
Eine CMP ermöglicht Websites die Segmentierung von Cookies nach Zweck und Dienst, der das Cookie setzt, und ermöglicht so eine differenzierte Kontrolle. Nutzer können die Cookies kategorisieren, sodass nur First-Party-Session-Cookies zugelassen werden.
Durch die systematische Durchsetzung von Cookie-Kategorien und -Attributen kann die CMP das Risiko verringern, dass weniger vertrauenswürdige Cookies Angriffsflächen bieten.
Eine robuste CMP holt die Einwilligung nicht nur einmal ein, sondern erzwingt den Einwilligungsstatus dynamisch:
Widerruft ein Nutzer die Einwilligung, kann die CMP zugehörige Cookies und Skripte automatisch löschen oder deaktivieren. Skripte oder Tracker, die auf Cookies angewiesen sind, werden deaktiviert, bis die Einwilligung erneut erteilt wird. Einwilligungseinstellungen bleiben bestehen und werden über Seiten, Subdomains und zukünftige Sitzungen hinweg abgeglichen. Dieser dynamische Widerruf ist wichtig: Sie möchten nicht, dass „Zombie-Cookies“ auch nach dem Opt-out des Nutzers bestehen bleiben.
CMPs verfügen häufig über Dashboards oder Protokolle, die zeigen, welche Anfrage das Cookie geladen hat, und den Zustimmungsstatus protokollieren. Diese Transparenz hilft Sicherheitsteams bei der Prüfung auf anomale oder riskante Cookie-Nutzung oder Skripte.
CookieHub bietet eine Funktion zur automatischen Cookie-Entfernung im Dashboard. Nutzer können diese Funktion aktivieren oder deaktivieren, um die Cookie-Entfernung zu verbessern. Die Einstellung ist standardmäßig deaktiviert.
Drittanbieter-Skripte (Werbetreibende, Tracker, Widgets) sind häufige Quellen für Sicherheitslücken (z. B. XSS, Skriptkompromittierung in der Lieferkette). Eine CMP kann diese Skripte blockieren oder zurückstellen, sofern der Nutzer nicht zustimmt. So wird das Risiko minimiert, dass bösartige Drittanbieter-Skripte Code einschleusen, um Cookies auszuspionieren oder zu stehlen.
Obwohl eine gute CMP keine direkte Sicherheitsmaßnahme darstellt, ermutigen die Transparenz und das Vertrauen, die sie schafft, Nutzer dazu, Cookie-Hinweise, Datenschutzeinstellungen und Einwilligungsoptionen zu beachten. Nutzerbewusstsein ist ein zusätzlicher Schutz: Nutzer, die ihre Cookies aktiv verwalten, riskieren weniger, sich versehentlich zu exponieren.
Wenn Sie Website-Betreiber oder -Entwickler sind, ergänzt die Implementierung einer CMP Ihre Sicherheits- und Compliance-Bemühungen.
Ein einfaches Cookie, das für viele Funktionen moderner digitaler Erlebnisse wichtig ist, kann bei Missbrauch oder falscher Handhabung große Probleme verursachen. Cookies bieten Angreifern ein leichtes Ziel für Session-Hijacking, Identitätsdiebstahl oder Datendiebstahl. Mit einer CMP wie CookieHub erhalten Sie jedoch eine zusätzliche Schutzebene und reduzieren die Angriffsfläche rund um Cookies.
©2025 CookieHub ehf.
