Cyberkriminelle und ihre Infostealer haben es oftmals auf sogenannte Session-Cookies abgesehen. Damit erlangen sie Zugriff auf laufende Sitzungen, in denen Nutzer und Nutzerinnen an Diensten angemeldet sind. Google hat in Chrome für Windows ab Version 146 einen Schutz standardmäßig aktiviert und kündigt das in Kürze auch für macOS an.

Es geht dabei um die Funktion „Device Bound Session Credentials“ (DBSC), wie Google in einem Blogbeitrag erklärt. Dieser Cookie-Schutz ist seit 2024 in der Entwicklung und schafft nun den Sprung in die Praxis. Die kurze Erläuterung der Funktion lautet: Authentifizierte Sitzungen (authentication sessions) werden an das Gerät gebunden, mit dem die Anmeldung erfolgte. Gestohlene Cookies werden dadurch wertlos.

Google Chrome aktiviert Device Bound Session Credentials

Etwas ausführlicher steckt dahinter ein Mechanismus, der ein wenig an Passkeys erinnert. Beim Start einer Session erzeugt der Webbrowser ein Schlüsselpaar, bei dem der private Schlüssel auf dem Rechner verbleibt, derzeit geschützt im TPM (Trusted Platform Module) des Rechners. Zur Ablage im TPM nutzt Chrome Funktionen des Betriebssystems. Unter macOS kommt dafür die Secure Enclave zum Einsatz. Server nutzen den öffentlichen Schlüssel und können bei laufenden Sitzungen durch die API den Besitzbeweis des privaten Schlüssels beim Client anfordern.

Bei Session-Diebstahl laden User in der Regel unabsichtlich Malware herunter, die nach Aktivierung heimlich die Session-Cookies aus dem Browser ausschleusen oder auf neue Logins warten, bevor sie die Token an die Server der Angreifer übertragen. Infostealer-Malware wie Lumma wird Google zufolge immer geschickter beim Abgreifen der Zugangsdaten. Da Cookies in der Regel eine längere Laufzeit haben, können Angreifer sich damit unbefugten Zugang zu Nutzerkonten verschaffen. Derartige Session-Cookies werden dann gebündelt und unter Bedrohungsakteuren gehandelt oder verkauft. Das Ausschleusen solcher Cookies lasse sich mit Software allein jedoch nicht verlässlich verhindern.

DBSC soll das Problem nun lösen. Das Schlüsselpaar lässt sich nicht aus der Maschine exportieren. In Kombination mit Cookies mit kurzer Laufzeit führt das dazu, dass gestohlene Cookies zügig ablaufen und für Angreifer nutzlos werden. Google hat im vergangenen Jahr frühe Versionen des Mechanismus getestet und seitdem einen signifikanten Rückgang beim Session-Diebstahl beobachtet.

Web-Entwickler können ihre Systeme damit jetzt ebenfalls gegen Session-Klau wappnen. Google stellt dafür eine Anleitung für Entwickler bereit. Außerdem stellt das W3C eine aktuelle Spezifikation des Protokolls bereit, es gibt auch ein zugehöriges Projekt auf GitHub. Google kündigt bereits weitere Entwicklungen an. So soll eine Unterstützung für Single-Sign-on-Systeme (SSO) kommen oder noch strengerer Schutz zum Binden von DBSC an existierende, vertraute Schlüssel, anstatt beim Anmelden neue zu erstellen. Außerdem wollen die Entwickler die Möglichkeiten mit softwarebasierten Schlüsseln ausloten, um auch auf Geräten ohne spezialisierte Sicherheitshardware den Sicherheitsmechanismus anbieten zu können.

(dmk)

Frankreich will sich schneller von außereuropäischen IT-Anbietern lösen. Auf einem interministeriellen Seminar am 8. April 2026 legte die Digitalbehörde DINUM gemeinsam mit weiteren Regierungsstellen konkrete Maßnahmen und Zeitpläne fest. Der Staat soll seine digitale Souveränität über alle Ressorts hinweg stärken – zusammen mit Behörden und Industrie.

Die Initiative knüpft an eine seit Jahren laufende französische und europäische Debatte an. Frankreich sieht zunehmend ein strategisches, politisches und wirtschaftliches Risiko darin, dass zentrale IT-Systeme der Verwaltung – Betriebssysteme, Cloud-Dienste, Kollaborationswerkzeuge – von nicht-europäischen Anbietern abhängen.

Wechsel zu Linux

Einen ersten zentralen Schritt kündigte die DINUM für die eigenen Arbeitsplätze an: Sie will Windows durch Linux ersetzen. Parallel migrieren Behörden auf staatlich betriebene Kollaborationswerkzeuge. Die Krankenversicherung Caisse nationale d’Assurance maladie etwa stellt ihre rund 80.000 Beschäftigten auf den Messenger Tchap, die Videokonferenzsoftware Visio und den Dateiübertragungsdienst FranceTransfert um. Bereits zuvor hatte die Regierung angekündigt, die zentrale Gesundheitsdatenplattform bis Ende 2026 auf eine „vertrauenswürdige“ – also europäisch gehostete – Lösung zu migrieren.

Neben den technischen Umstellungen setzt die Regierung auf eine neue Organisationsform: Ministerien, öffentliche Einrichtungen und Privatunternehmen sollen in thematischen Koalitionen zusammenarbeiten. Im Mittelpunkt stehen dabei offen entwickelte Software (communs numériques) und Interoperabilitätsstandards wie Open-Interop und OpenBuro. So soll der Wechsel einzelner Komponenten leichter werden, ohne ganze Infrastrukturen umbauen zu müssen.

Pläne müssen noch dieses Jahr stehen

Die DINUM koordiniert einen ressortübergreifenden Abbauplan. Bis Herbst 2026 muss jedes Ministerium – einschließlich nachgeordneter Behörden – eine eigene Roadmap vorlegen. Sie soll Arbeitsplatzsysteme, Kollaborationswerkzeuge, Antivirensoftware, KI-Systeme, Datenbanken, Virtualisierung und Netzwerktechnik abdecken.

Parallel kartiert die staatliche Beschaffungsbehörde DAE die bestehenden Abhängigkeiten, während die Wirtschaftsbehörde DGE ein europäisches digitales Angebot definiert. Auf dieser Grundlage sollen konkrete Zielwerte und Fristen entstehen. Für Juni 2026 plant die DINUM zudem die ersten „rencontres industrielles du numérique“ – Branchentreffen, auf denen öffentlich-private Partnerschaften konkret werden sollen. Geplant ist unter anderem eine „alliance public-privé pour la souveraineté européenne“, also eine öffentlich-private Allianz für europäische Souveränität.

„Der Staat kann sich nicht länger damit begnügen, seine Abhängigkeit festzustellen – er muss sie überwinden“, sagte Haushaltsminister David Amiel im Rahmen der Ankündigung der Maßnahmen. Frankreich müsse die Kontrolle über seine Daten, Infrastrukturen und technologischen Entscheidungen zurückgewinnen. Anne Le Hénanff, beigeordnete Ministerin für Künstliche Intelligenz und Digitales, nannte digitale Souveränität eine „strategische Notwendigkeit“ und forderte interoperable und nachhaltige Lösungen auf europäischer Ebene.

(fo)

US-Finanzminister Scott Bessent und der US-Notenbankchef Jerome Powell haben die Chefs der wichtigsten US-Banken am Dienstag zu einem ungewöhnlich dringenden Treffen zusammengerufen, um vor den Gefahren von Anthropics neuem KI-Modell Claude Mythos Preview zu warnen. Das berichtet Bloomberg unter Berufung auf eingeweihte Personen. Das kurzfristig anberaumte Treffen sei ein Zeichen dafür, dass US-Aufsichtsbehörden die Möglichkeit einer neuen Art von Cyberattacken zu den größten Risiken für die Finanzindustrie zählen, fasst die Finanznachrichtenplattform zusammen. Vorgeladen waren demnach die Chefs aller Banken, die in den USA als systemrelevant gelten. Auch das BSI erwartet von dem neuen KI-Modell und ähnlichen Nachfolgern „Umwälzungen im Umgang mit Sicherheitslücken“.

„Mittelfristig keine unbekannten klassischen Sicherheitslücken mehr“

Anthropic hat Mythos erst am Dienstag vorgestellt und gleichzeitig erklärt, dass das Modell so gefährlich sei, dass es nur Firmen zur Verfügung gestellt wird, die an IT-Sicherheit arbeiten. Das KI-Modell habe bereits tausende hochriskante Zero-Day-Lücken identifiziert, darunter auch welche in allen großen Betriebssystemen und jedem Internetbrowser. Gleichzeitig sei die KI-Technik deutlich häufiger in der Lage, einen funktionierenden Exploit für solche Lücken zu entwickeln, teilweise würden dafür sogar mehrere in Verbindung miteinander ausgenutzt. Im Rahmen von „Project Glasswing“ soll die Branche nun daran arbeiten, damit gefundene Lücken abzudichten, bevor andere KI-Modelle zur Verfügung stehen, mit denen auch Kriminelle viel leichter Lücken finden können.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass die neue Technik erhebliche Auswirkungen auf die Cyberbedrohungslage haben wird, berichtet die dpa. Man stehe dazu mit Anthropic im Kontakt, habe BSI-Präsidentin, Claudia Plattner, auf Anfrage mitgeteilt. Ihre Behörde erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“. Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben, meint sie. „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.“

Zudem stelle sich die Frage, ob und wie lange derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden, zitiert die dpa weiter. Angesichts der rasanten Entwicklung von KI-Technik kann man davon ausgehen, dass die bislang nicht frei verfügbaren Fähigkeiten schon bald einer breiteren Masse zur Verfügung stehen und damit auch Kriminellen sowie Akteuren gegnerischer Staaten. „Daraus wiederum ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität“, meint Plattner. Ihre Behörde hat Mythos demnach noch nicht testen können, im persönlichen Gespräch mit Entwicklern von Anthropic jedoch Einblick in die Funktionsweise gewonnen.

(mho)