Cookie-Hijacking-Angriffe haben sich 2025/2026 zu einer der größten Bedrohungen für Google-Nutzer entwickelt. Moderne Trojaner umgehen selbst Passwort-Änderungen und verschaffen sich dauerhaften Zugriff auf alle Google-Dienste. Die wichtigsten Hintergründe und effektive Schutzmaßnahmen.
Es gibt eine bewährte Regel: Nach einer Malware-Infektion sollten alle Passwörter sofort geändert werden. Bei den aktuellen Cookie-Hijacking-Angriffen auf Google-Dienste ist diese Maßnahme jedoch wirkungslos. Cyberkriminelle nutzen gestohlene Session-Cookies und verschaffen sich so trotz geänderter Passwörter weiterhin Zugang zu euren Google-Konten.
Grundlage für die neue Art des Angriffs sind Cookies
Alle Google-Dienste im Visier der Hacker
Betroffen sind praktisch alle Nutzer von Google-Diensten: Gmail, YouTube, Google Drive, Google Photos, Android Play Store, Google Pay, Google Workspace und die Google-Suche. Wer sich mit einem Google-Konto anmeldet, steht potenziell im Fadenkreuz dieser Angriffe.
Die Attacken nutzen eine Schwachstelle in Googles OAuth-Authentifizierungssystem. Hacker stehlen Session-Cookies von infizierten Geräten und können damit unbegrenzt neue Authentifizierungs-Token generieren. Diese Tokens funktionieren wie ein Generalschlüssel für das gesamte Google-Ökosystem – selbst nach Passwort-Änderungen bleiben sie gültig.
Von Datendiebstahl bis Identitätsübernahme
Die Konsequenzen gehen weit über simple Datenspionage hinaus. Mit Zugriff auf Gmail können Angreifer komplette Identitätsübernahmen durchführen. Sie lesen nicht nur private E-Mails, sondern nutzen die Passwort-Reset-Funktion anderer Dienste, um sich Zugang zu Banking, Shopping-Accounts oder sozialen Netzwerken zu verschaffen.
Besonders perfide: Die Angreifer agieren oft monatelang unentdeckt, sammeln Informationen und verkaufen Daten in Darknet-Marktplätzen. Ende 2025 dokumentierte das Cybersecurity-Unternehmen CloudSEK bereits über 15 verschiedene Malware-Familien, die diese Technik nutzen – Tendenz stark steigend.
Diese Trojaner nutzen die Cookie-Lücke
Zu den gefährlichsten Cookie-Hijacking-Trojanern gehören mittlerweile:
• Lumma Stealer: Der Pionier dieser Angriffstechnik, aktiv seit Ende 2023
• Rhadamanthys: Spezialisiert auf Browser-Datendiebstahl
• Risepro: Fokus auf Kryptowährungs- und Banking-Daten
• WhiteSnake: Neue Variante mit KI-gestützten Tarnfunktionen
• StealC: Besonders verbreitet in deutschen Spam-Kampagnen
Diese Malware verbreitet sich hauptsächlich über gefälschte Software-Downloads, Phishing-E-Mails und kompromittierte Websites. Einmal installiert, kopieren sie alle Browser-Cookies und senden diese an Command-&-Control-Server der Hacker.
Effektive Schutzmaßnahmen implementieren
Multi-Faktor-Authentifizierung (MFA) ist euer wichtigster Schutz. Aktiviert unbedingt die 2FA in eurem Google-Konto – am besten mit einer Authenticator-App wie Google Authenticator, Authy oder Microsoft Authenticator. SMS-basierte 2FA ist besser als nichts, aber Authenticator-Apps sind sicherer.
Zusätzlich solltet ihr:
Browser-Hygiene praktizieren:
• Regelmäßig alle Cookies löschen (wöchentlich)
• Private/Inkognito-Modus für sensible Aktivitäten nutzen
• Browser-Profile für verschiedene Zwecke trennen
• Automatisches Anmelden in kritischen Diensten deaktivieren
Gerätesicherheit erhöhen:
• Aktuelle Anti-Malware-Software verwenden (Windows Defender reicht meist)
• Browser und Betriebssystem zeitnah aktualisieren
• Downloads nur von vertrauenswürdigen Quellen
• E-Mail-Anhänge und Links kritisch prüfen
Im Zweifel auf allen Geräten abmelden
Verdächtige Aktivitäten erkennen und handeln
Überprüft regelmäßig eure Google-Kontoaktivitäten. Achtet auf:
• Unbekannte Anmeldungen oder Geräte
• Ungewöhnliche IP-Adressen oder Standorte
• Änderungen an Sicherheitseinstellungen
• Verdächtige E-Mail-Aktivitäten in Gmail
• Unautrisierte Käufe im Play Store
Bei verdächtigen Aktivitäten sofort handeln:
1. Auf allen Geräten von Google-Diensten abmelden
2. Alle Browser schließen und Cookies löschen
3. Vollständigen Malware-Scan durchführen
4. Passwort ändern (erst nach Malware-Bereinigung)
5. Bei schwerwiegenden Vorfällen Google-Support kontaktieren
Googles Gegenmaßnahmen und Ausblick
Google arbeitet an Lösungen für die OAuth-Schwachstelle, hat aber noch keinen konkreten Zeitplan genannt. Das Unternehmen erweitert seine Anomalie-Erkennung und führt zusätzliche Sicherheitsebenen ein. Dennoch liegt die Hauptverantwortung aktuell bei den Nutzern.
Experten erwarten, dass Cookie-Hijacking-Angriffe 2026 weiter zunehmen werden. Neue KI-gestützte Malware macht die Erkennung noch schwieriger. Umso wichtiger ist es, die Schutzmaßnahmen konsequent umzusetzen.
Google-Kontoaktivitäten überprüfen:
https://myaccount.google.com/data-and-privacy
Sicherheitscheck durchführen:
https://myaccount.google.com/security-checkup
Zuletzt aktualisiert am 17.02.2026
