Du loggst Dich morgens ins Backend Deiner Webseite ein, beantwortest Mails, schaust später noch in den Onlineshop und am Abend in die Buchhaltung. Zwischendurch klappst Du den Laptop zu, fährst zum Kunden, arbeitest im Café weiter. Am Ende des Tages bist Du in einem Dutzend Diensten gleichzeitig angemeldet, ohne dass Du Dich auch nur einmal abgemeldet hast.
Genau hier setzt Sitzungs-Sicherheit an. Eine offen gelassene Sitzung ist eine offene Tür zu Deinem Konto, und wer durch diese Tür geht, braucht weder Dein Passwort noch Deinen zweiten Faktor. Die gute Nachricht ist, dass Du das Risiko mit ein paar Gewohnheiten und einem Blick in die richtigen Einstellungen klein hältst.
Was eine Sitzung überhaupt ist
Wenn Du Dich bei einem Dienst anmeldest, prüft der Server einmal Dein Passwort und Deinen zweiten Faktor. Danach möchte niemand bei jedem Klick erneut das Passwort eingeben. Deshalb stellt der Dienst Deinem Browser eine Art Ausweis aus, der bei jeder weiteren Anfrage mitgeschickt wird. Dieser Ausweis ist die Sitzung, oft auch Session genannt.
Solange dieser Ausweis gültig ist, gilt Dein Browser als angemeldet. Der Server fragt nicht mehr nach, wer Du bist. Er vertraut dem Ausweis. Das ist bequem und meistens harmlos, weil der Ausweis nur in Deinem Browser liegt.
Kritisch wird es, wenn der Ausweis länger gültig bleibt, als er gebraucht wird. Ein Gerät, das Du aus der Hand gibst, ein öffentlicher Rechner oder ein gestohlenes Notebook tragen diesen Ausweis weiter, auch ohne Dein Passwort. Eine Sitzung zu beenden bedeutet, diesen Ausweis ungültig zu machen, damit er niemandem mehr nützt.
Was offen gelassene Sitzungen riskant macht
Eine dauerhaft offene Sitzung umgeht genau die Schutzmaßnahmen, in die Du sonst investierst. Wer an einem angemeldeten Gerät sitzt, muss kein Passwort raten und keinen zweiten Faktor überwinden. Der Zugang liegt bereits offen.
Im Alltag entstehen die meisten Probleme an drei Stellen. Ein fremder oder geteilter Rechner behält die Anmeldung, wenn Du nur das Fenster schließt. Ein verlorenes Smartphone gibt jedem Finder Zugriff auf alles, was dort angemeldet ist. Und ein offenes Backend im unverschlüsselten WLAN lässt sich leichter abfangen.
Besonders unangenehm sind drei Konten, die bei Selbständigen alles zusammenhalten:
- Das E-Mail-Postfach: Über die Passwort-vergessen-Funktion lassen sich von hier aus viele andere Konten kapern.
- Das Webseiten-Backend: Hier kann jemand Inhalte ändern, Schadcode einbauen oder weitere Benutzer anlegen.
- Zahlungs- und Shop-Konten: Hinterlegte Zahlungsdaten und Kundendaten sind ein direktes Ziel.
Der Schaden entsteht selten durch einen aufwendigen Angriff. Meist reicht eine vergessene Anmeldung. Das macht das Thema so leicht zu unterschätzen und gleichzeitig so leicht zu entschärfen.
Auto-Logout und aktive Sitzungen prüfen
Gegen vergessene Anmeldungen hilft der Auto-Logout. Dabei beendet der Dienst eine Sitzung automatisch, sobald sie eine Weile ungenutzt bleibt oder ein fester Zeitraum abgelaufen ist. Du findest die Einstellung bei seriösen Diensten unter Begriffen wie Sicherheit, Sitzungsdauer oder Timeout.
Für ein Webseiten-Backend ist ein kurzer Timeout sinnvoll, etwa wenn Du nur gelegentlich Inhalte pflegst. Für Werkzeuge, die Du den ganzen Tag offen hast, darf der Zeitraum länger sein, sollte aber spätestens über Nacht greifen. Dein Hoster oder Deine Agentur kann den Wert für das Backend meist passend einstellen.
Mindestens genauso wichtig ist die Übersicht der aktiven Sitzungen. Viele Dienste zeigen Dir in den Sicherheitseinstellungen, wo Du überall angemeldet bist, oft mit Gerät, ungefährem Standort und letzter Aktivität. Geh diese Liste regelmäßig durch und achte auf folgende Punkte:
- Unbekannte Geräte: Ein Gerät, das Du nicht zuordnen kannst, gehört sofort abgemeldet.
- Alte Standorte: Eine Anmeldung aus einem Hotel oder Café von vor Wochen muss nicht mehr aktiv sein.
- Verlorene Geräte: Ein verkauftes oder defektes Notebook hat in der Liste nichts mehr zu suchen.
Praktisch bieten die meisten dieser Übersichten einen Knopf, der alle anderen Sitzungen auf einen Schlag beendet. Das ist Dein Notausgang, wenn ein Gerät abhandenkommt. Nach dem Abmelden braucht jeder Zugriff wieder Passwort und zweiten Faktor, womit Dein zweiter Faktor wieder voll greift.
Gute Gewohnheiten im Alltag
Sitzungs-Sicherheit lebt weniger von Technik als von ein paar verlässlichen Handgriffen. An einem fremden oder geteilten Rechner meldest Du Dich aktiv ab, statt nur das Fenster zu schließen, und nutzt dort am besten ein privates Browserfenster. So bleibt nach Dir keine Anmeldung zurück.
Unterwegs ist das Netz die zweite Schwachstelle. In offenen Funknetzen ohne Passwort gehören sensible Backends und Zahlungskonten nicht geöffnet, und wenn doch, dann über eine abgesicherte Verbindung. Wie Du Dich dort schützt, steht ausführlich im Beitrag zu öffentlichem WLAN.
Drei Gewohnheiten tragen den größten Teil der Sicherheit:
- Aktiv abmelden: Bei E-Mail, Backend und Shop am Ende der Arbeit bewusst ausloggen, nicht nur den Tab schließen.
- Geräte sperren: Laptop und Smartphone mit kurzer automatischer Bildschirmsperre versehen, damit eine offene Sitzung nicht offen herumliegt.
- Sitzungen prüfen: Einmal im Monat die aktive-Sitzungen-Liste der wichtigsten Konten durchsehen.
Diese Handgriffe ergänzen die Schutzmaßnahmen, die Angreifer von vornherein ausbremsen. Wenn Du zusätzlich automatisierte Anmeldeversuche abwehrst, schließt Du die zweite große Lücke, was der Beitrag zum Brute-Force-Schutz im Detail erklärt.
Fazit
Eine Sitzung ist nichts anderes als ein Ausweis, der Deinen Browser angemeldet hält, und der größte Hebel liegt darin, diesen Ausweis nicht länger gültig zu lassen als nötig. Auto-Logout nimmt Dir das Abmelden teilweise ab, die Übersicht der aktiven Sitzungen gibt Dir die Kontrolle über alle Geräte zurück.
Stell den Timeout fürs Backend passend ein, prüfe einmal im Monat, wo Du überall angemeldet bist, und melde Dich an fremden Geräten bewusst ab. Damit verschließt Du eine Tür, die sonst oft den ganzen Tag offen steht.