Im Januar 2024 verlor Linus Tech Tips eine dreistellige Zahl an YouTube-Videos und alle drei Kanäle an einen Angreifer. Der Passwortmanager blieb unberührt, die Zwei-Faktor-Authentifizierung war aktiv, niemand im Team bekam eine Login-Warnung. Der Angreifer hat sich gar nicht eingeloggt, er musste es nicht. Er hatte ein Session-Cookie, das der Browser des Opfers längst als Beweis für einen erfolgten Login akzeptiert hatte.
So sehen moderne Account-Übernahmen heute aus. Passwörter werden kaum noch geknackt, 2FA-Codes kaum noch abgefangen. Gestohlen werden Session-Tokens, also die Cookies, in denen dein Browser vermerkt „dieser Nutzer ist bereits authentifiziert". Einmal extrahiert, spielt der Angreifer sie in seinem eigenen Browser ab und hat direkten Zugriff, ohne weitere Prüfung.
Was eine Session wirklich ist
Wenn du dich bei einem Dienst anmeldest, prüft der Server Passwort und zweiten Faktor ein einziges Mal. Danach stellt er deinem Browser einen Cookie aus, meist ein langes zufälliges Token. Bei jeder weiteren Anfrage schickt dein Browser diesen Cookie mit, und der Server akzeptiert ihn als Beweis, dass du schon eingeloggt bist. Genau deshalb musst du dich nicht auf jeder Seite neu anmelden.
Dieses Token hält typischerweise Tage bis Wochen. Gmail akzeptiert Sessions bis zu zwei Wochen. Slack und Discord bis zu einem Jahr. Manche SaaS-Tools haben überhaupt kein Ablaufdatum. Wer das Token hat, ist aus Sicht des Servers der legitime Nutzer, ganz gleich, welches Gerät es präsentiert.
Der Cookie liegt in einer Datenbank deines Browsers, etwa in Cookies oder Network State im Chrome-Profilordner. Jedes Programm, das mit deinen Rechten läuft, kann ihn lesen. Windows verschlüsselt manche Werte, aber mit dem DPAPI-Schlüssel desselben Accounts, und den hat das Programm.
Wie Cookies heute gestohlen werden
Diese Klasse von Angriffen nennt sich Infostealer. Tools wie RedLine, Raccoon, Lumma oder Stealc gibt es als Mietsoftware für wenige hundert Dollar im Monat. Sie laufen nur ein paar Sekunden auf dem Rechner des Opfers, saugen Cookies, Passwörter, Autofill-Daten und Crypto-Wallets ab, und sind wieder weg.
Der häufigste Einstieg sind geknackte Software und Game-Cheats. Dahinter stecken Malvertising-Kampagnen, gefälschte Installer für bekannte Tools und vermeintliche Raubkopien. Nach der Infektion dauert es keine Minute, bis alle Browser-Daten beim Angreifer liegen.
Die Beute landet auf Marktplätzen wie Russian Market, Genesis oder 2easy. Verkauft wird dort nicht nur ein einzelnes Passwort, sondern ein ganzer Bot: ein Paket aus Cookies, Fingerprint, User-Agent und IP-Historie. Damit baut ein Käufer deine Browser-Umgebung so genau nach, dass die Risiko-Engine des Dienstes nichts merkt.
Warum dein zweiter Faktor hier nichts hilft
2FA schützt den Login. Ist der Login einmal durch, wird die Session ausgestellt. Das Cookie teilt dem Server mit: „Du hast mich vor drei Tagen schon geprüft." Der Server glaubt es. Ein Angreifer, der das Cookie mitbringt, überspringt den kompletten Authentifizierungspfad, inklusive 2FA und jedem biometrischen Schritt.
Einige Anbieter binden Sessions an IP-Adresse oder Geräte-Fingerprint. Das hilft, wenn das Gerät offensichtlich ein anderes ist, aber nicht gegen einen Angreifer, der Fingerprint und IP passend einstellt. Genau das liefern die Marktplätze gleich mit. Dein Security-Team sieht im besten Fall einen Login aus deiner Stadt, mitten in deiner Arbeitszeit.
FIDO2-Hardware-Keys helfen beim Login. Gegen ein bereits ausgestelltes Cookie helfen sie nicht. Für wirklich kritische Accounts gibt es inzwischen Token-Binding-Ansätze (Device-Bound Session Credentials, DBSC), die sind 2026 aber erst teilweise ausgerollt. Bis dahin gilt: Ein geklautes Cookie ist ein gültiges Cookie.
Wie du einen Diebstahl erkennst
Die üblichen Login-Warnungen bemerken nichts, wenn der Angreifer deine Session weiterbenutzt, statt sich neu einzuloggen. Die Anzeichen sind subtiler. Versendete Mails, die du gar nicht geschrieben hast, sind ein deutliches Signal. Neue Filter oder Weiterleitungen im Mail-Client, die du nicht angelegt hast, gehen fast immer aufs Konto des Angreifers. Wenn Freunde dir Nachrichten zurückspielen, an die du dich nicht erinnerst, sollten alle Alarmglocken läuten.
Bei Diensten mit Session-Verwaltung (Google, GitHub, Discord) lohnt sich ein Blick in die Liste der aktiven Geräte. Sessions aus unbekannten Städten, Browsern oder Betriebssystemen gehören sofort beendet. Danach unbedingt das Passwort ändern, denn der Logout-Button geht meist über einen frischen Login, und gestohlene Sessions werden so nicht zwangsläufig ungültig.
Bei Verdacht auf einen Infostealer reicht es nicht, nur die Passwörter zu wechseln. Die richtige Reihenfolge: Gerät komplett neu aufsetzen oder forensisch isolieren, Passwörter von einem sauberen Gerät aus ändern, alle Sessions ungültig machen, 2FA-Secrets rotieren.
Sessions schützen, ohne sich einzuigeln
Am wirksamsten ist es, sensible Cookies gar nicht erst auf dem Hauptgerät entstehen zu lassen. Wer sich in einem isolierten Browser einloggt, der am Ende der Sitzung komplett verworfen wird, hinterlässt nach dem Logout schlicht kein Cookie auf einem noch laufenden Rechner. Ein Infostealer auf deinem Laptop findet nichts mehr zum Mitnehmen.
In der Praxis bewährt sich ein gestaffeltes Modell. Logins auf Seiten ohne grossen Schaden bleiben im normalen Browser. Hochwertige Accounts, also alles, womit du Geld bewegst, Code deployst, Werbebudgets steuerst oder Kundendaten siehst, öffnest du ausschliesslich in einer isolierten Sitzung. Diese Gewohnheit umzustellen, ist das Einzige, was gegen diese Angriffsklasse wirklich zuverlässig hilft. Den grösseren Zusammenhang findest du in How Hackers Use Your Browser History.
Desktop-Power, auf jedem Gerät?
Probier Browser.lol kostenlos aus und sieh selbst, wie produktiv du mobil arbeiten kannst.
Desktop-Browser startenKein Download nötig • Läuft auf jedem Gerät
