Session-Sicherheit: Wie CampusHub deine Anmeldung schützt

Du hast dich in CampusHub eingeloggt. Du schliesst den Laptop, öffnest ihn am nächsten Tag — und du bist noch eingeloggt. Wie funktioniert das? Und wie stellt CampusHub sicher, dass niemand anderes deine Session übernehmen kann?

In diesem Artikel erklären wir die technischen Details der Session-Sicherheit bei CampusHub. Keine Panik — wir bleiben verständlich, auch wenn du kein Sicherheitsexperte bist.

Was ist eine Session?

Eine Session ist eine Zeitspanne, in der du bei CampusHub eingeloggt bist. Sie beginnt mit dem Login und endet mit dem Logout oder dem Ablauf der Session.

Wie funktioniert das?

Du loggst dich ein (Magic Link)
CampusHub erstellt eine Session für dich
Die Session wird in einem Cookie gespeichert
Bei jedem Request sendet dein Browser das Cookie
CampusHub prüft das Cookie und erkennt dich

Das Problem: Wenn jemand dein Cookie stiehlt, kann er sich als dich ausgeben. Das nennt man Session Hijacking.

Wie schützt CampusHub deine Session?

1. HMAC-SHA256 Signierung

CampusHub signiert das Session-Cookie mit HMAC-SHA256. Das bedeutet:

Das Cookie enthält deine UserID und eine kryptographische Signatur
Die Signatur wird mit einem geheimen Schlüssel erstellt
Wenn jemand das Cookie ändert, ist die Signatur ungültig
CampusHub lehnt manipulierte Cookies ab

Technisch:

Cookie = base64url(UserID) + "." + HMAC-SHA256(UserID, SESSION_SECRET)

UserID: Deine eindeutige Benutzer-ID
SESSION_SECRET: Ein 256-bit geheimer Schlüssel, der nur dem Server bekannt ist
HMAC-SHA256: Ein kryptographischer Algorithmus, der Manipulation erkennt

Was das bedeutet:

Selbst wenn jemand dein Cookie liest, kann er es nicht manipulieren
Jede Änderung am Cookie wird erkannt
CampusHub verwendet Timing-Safe-Comparison, um Timing-Angriffe zu verhindern

Das Cookie ist HttpOnly. Das bedeutet:

JavaScript kann das Cookie nicht lesen
XSS-Angriffe (Cross-Site Scripting) können das Cookie nicht stehlen
Nur der Browser und der Server können das Cookie lesen

Warum ist das wichtig?

XSS-Angriffe sind die häufigste Web-Sicherheitslücke. Ein HttpOnly-Cookie schützt dich vor den meisten XSS-Angriffen.

Das Cookie ist Secure. Das bedeutet:

Das Cookie wird nur über HTTPS übertragen
Nie über unverschlüsselte HTTP-Verbindungen
Selbst wenn jemand den Netzwerkverkehr abfängt, kann er das Cookie nicht lesen

Warum ist das wichtig?

Man-in-the-Middle-Angriffe können unverschlüsselte Verbindungen abhören. Ein Secure-Cookie schützt dich davor.

Das Cookie ist SameSite. Das bedeutet:

Das Cookie wird nur bei Requests an dieselbe Domain gesendet
Cross-Site-Requests (z.B. von einer anderen Webseite) senden das Cookie nicht
CSRF-Angriffe (Cross-Site Request Forgery) werden verhindert

Warum ist das wichtig?

CSRF-Angriffe tricken dich dazu, ungewollte Aktionen auf einer Webseite auszuführen. Ein SameSite-Cookie schützt dich davor.

5. Session-Ablauf

Sessions haben eine Lebensdauer von 30 Tagen. Das bedeutet:

Nach 30 Tagen Inaktivität läuft die Session ab
Du musst dich neu einloggen
Das reduziert das Risiko von gestohlenen Sessions

Warum 30 Tage?

Zu kurz: Nutzer müssen sich ständig neu einloggen — frustrierend
Zu lang: Gestohlene Sessions bleiben lange gültig — riskant
30 Tage: Ein gutes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit

Was passiert, wenn du dich ausloggst?

Wenn du dich ausloggst:

Cookie wird gelöscht: Der Browser löscht das Session-Cookie
Session wird invalidiert: Die Session wird auf dem Server als ungültig markiert
Nächster Login: Du musst einen neuen Magic Link anfordern

Wichtig: Wenn du dich ausloggst, ist die Session sofort ungültig — auch wenn jemand das Cookie kopiert hat.

Was passiert bei Session-Hijacking?

Session-Hijacking ist ein Angriff, bei dem ein Angreifer dein Session-Cookie stiehlt und sich als dich ausgibt.

Wie kann das passieren?

XSS-Angriff: Ein Skript liest das Cookie (geschützt durch HttpOnly)
Netzwerk-Abhören: Unverschlüsselte Verbindung (geschützt durch Secure)
Cross-Site-Request: Eine andere Seite sendet das Cookie (geschützt durch SameSite)
Malware: Trojaner liest Browser-Cookies (nicht direkt schützbar)

Wie schützt CampusHub dagegen?

Angriff	Schutz	Effektivität
XSS	HttpOnly	Hervorragend
Netzwerk-Abhören	Secure + HTTPS	Hervorragend
Cross-Site-Request	SameSite	Hervorragend
Malware	Kein direkter Schutz	Limitiert

Was du tun kannst:

Halte deinen Browser und dein Betriebssystem aktuell
Verwende einen Antivirus
Vermeide öffentliche WLANs für sensible Aktionen
Logge dich aus, wenn du den Computer verlässt

Session-Management für Admins

Wie kann ich Sessions verwalten?

Als Admin kannst du:

Alle Sessions anzeigen: Wer ist gerade eingeloggt?
Sessions beenden: Einen Benutzer ausloggen
Session-Dauer ändern: Von 30 Tagen auf eine andere Dauer (mit Vorsicht)

Wie kann ich einen Benutzer ausloggen?

Gehe zu Admin > Mitglieder
Wähle den Benutzer aus
Klicke auf "Session beenden"
Der Benutzer wird ausgeloggt und muss sich neu anmelden

Wann sollte ich Sessions beenden?

Wenn ein Benutzer sein Gerät verloren hat
Wenn ein Verdacht auf kompromittierte Session besteht
Wenn ein Benutzer die Organisation verlässt
Wenn ein Benutzer eine ungewöhnliche Aktivität zeigt

Häufige Fragen (FAQ)

Warum bleibe ich eingeloggt, auch wenn ich den Browser schliesse?

Das Session-Cookie ist persistent. Es bleibt gespeichert, auch wenn du den Browser schliesst. Wenn du dich ausloggen möchtest, musst du explizit auf "Ausloggen" klicken.

Kann ich CampusHub auf mehreren Geräten gleichzeitig nutzen?

Ja. Jeder Login erstellt eine neue Session. Du kannst auf Laptop, Handy und Tablet gleichzeitig eingeloggt sein.

Was passiert, wenn ich mich auf einem Gerät auslogge?

Nur die Session auf diesem Gerät wird beendet. Die anderen Sessions bleiben aktiv.

Kann ich meine aktiven Sessions anzeigen?

Ja. Gehe zu Einstellungen > Sicherheit > Aktive Sessions. Dort siehst du alle Geräte, auf denen du eingeloggt bist, und kannst einzelne Sessions beenden.

Was ist sicherer: "Eingeloggt bleiben" oder jedes Mal neu einloggen?

Jedes Mal neu einloggen ist theoretisch sicherer. Aber die praktische Sicherheit ist bei CampusHub so hoch, dass "Eingeloggt bleiben" für die meisten Nutzer ausreichend sicher ist.

Wenn du besonders sensible Daten verwaltest (z.B. Finanzdaten), empfehlen wir, dich nach jeder Sitzung auszuloggen.

Fazit: Deine Session ist sicher

CampusHub nimmt Session-Sicherheit ernst. Wir nutzen:

HMAC-SHA256 Signierung: Manipulationssicher
HttpOnly: XSS-Schutz
Secure: HTTPS-Zwang
SameSite: CSRF-Schutz
30-Tage-Ablauf: Automatische Invalidierung

Was du tun solltest:

Halte deinen Browser aktuell
Verwende HTTPS (ist Standard bei CampusHub)
Logge dich aus, wenn du den Computer verlässt
Überprüfe regelmässig deine aktiven Sessions

Die nächsten Schritte:

Magic-Link-Anmeldung erklärt — Wie die Anmeldung funktioniert
Sicherheit ohne Passwörter — Warum Passwörter unsicher sind
Datenschutz und DSGVO — Wie deine Daten geschützt sind
Account wiederherstellen — Was tun bei Problemen

Hast du Fragen zur Session-Sicherheit? Schreibe uns an support@campushub.ch — wir beraten dich gerne.

Session-Sicherheit: Wie CampusHub deine Anmeldung schützt

In diesem Artikel erklären wir die technischen Details der Session-Sicherheit bei CampusHub. Keine Panik — wir bleiben verständlich, auch wenn du kein Sicherheitsexperte bist.

Was ist eine Session?

Eine Session ist eine Zeitspanne, in der du bei CampusHub eingeloggt bist. Sie beginnt mit dem Login und endet mit dem Logout oder dem Ablauf der Session.

Wie funktioniert das?

Du loggst dich ein (Magic Link)
CampusHub erstellt eine Session für dich
Die Session wird in einem Cookie gespeichert
Bei jedem Request sendet dein Browser das Cookie
CampusHub prüft das Cookie und erkennt dich

Das Problem: Wenn jemand dein Cookie stiehlt, kann er sich als dich ausgeben. Das nennt man Session Hijacking.

Wie schützt CampusHub deine Session?

1. HMAC-SHA256 Signierung

CampusHub signiert das Session-Cookie mit HMAC-SHA256. Das bedeutet:

Das Cookie enthält deine UserID und eine kryptographische Signatur
Die Signatur wird mit einem geheimen Schlüssel erstellt
Wenn jemand das Cookie ändert, ist die Signatur ungültig
CampusHub lehnt manipulierte Cookies ab

Technisch:

Cookie = base64url(UserID) + "." + HMAC-SHA256(UserID, SESSION_SECRET)

UserID: Deine eindeutige Benutzer-ID
SESSION_SECRET: Ein 256-bit geheimer Schlüssel, der nur dem Server bekannt ist
HMAC-SHA256: Ein kryptographischer Algorithmus, der Manipulation erkennt

Was das bedeutet:

Selbst wenn jemand dein Cookie liest, kann er es nicht manipulieren
Jede Änderung am Cookie wird erkannt
CampusHub verwendet Timing-Safe-Comparison, um Timing-Angriffe zu verhindern

Das Cookie ist HttpOnly. Das bedeutet:

JavaScript kann das Cookie nicht lesen
XSS-Angriffe (Cross-Site Scripting) können das Cookie nicht stehlen
Nur der Browser und der Server können das Cookie lesen

Warum ist das wichtig?

XSS-Angriffe sind die häufigste Web-Sicherheitslücke. Ein HttpOnly-Cookie schützt dich vor den meisten XSS-Angriffen.

Das Cookie ist Secure. Das bedeutet:

Das Cookie wird nur über HTTPS übertragen
Nie über unverschlüsselte HTTP-Verbindungen
Selbst wenn jemand den Netzwerkverkehr abfängt, kann er das Cookie nicht lesen

Warum ist das wichtig?

Man-in-the-Middle-Angriffe können unverschlüsselte Verbindungen abhören. Ein Secure-Cookie schützt dich davor.

Das Cookie ist SameSite. Das bedeutet:

Das Cookie wird nur bei Requests an dieselbe Domain gesendet
Cross-Site-Requests (z.B. von einer anderen Webseite) senden das Cookie nicht
CSRF-Angriffe (Cross-Site Request Forgery) werden verhindert

Warum ist das wichtig?

CSRF-Angriffe tricken dich dazu, ungewollte Aktionen auf einer Webseite auszuführen. Ein SameSite-Cookie schützt dich davor.

5. Session-Ablauf

Sessions haben eine Lebensdauer von 30 Tagen. Das bedeutet:

Nach 30 Tagen Inaktivität läuft die Session ab
Du musst dich neu einloggen
Das reduziert das Risiko von gestohlenen Sessions

Warum 30 Tage?

Zu kurz: Nutzer müssen sich ständig neu einloggen — frustrierend
Zu lang: Gestohlene Sessions bleiben lange gültig — riskant
30 Tage: Ein gutes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit

Was passiert, wenn du dich ausloggst?

Wenn du dich ausloggst:

Cookie wird gelöscht: Der Browser löscht das Session-Cookie
Session wird invalidiert: Die Session wird auf dem Server als ungültig markiert
Nächster Login: Du musst einen neuen Magic Link anfordern

Wichtig: Wenn du dich ausloggst, ist die Session sofort ungültig — auch wenn jemand das Cookie kopiert hat.

Was passiert bei Session-Hijacking?

Session-Hijacking ist ein Angriff, bei dem ein Angreifer dein Session-Cookie stiehlt und sich als dich ausgibt.

Wie kann das passieren?

XSS-Angriff: Ein Skript liest das Cookie (geschützt durch HttpOnly)
Netzwerk-Abhören: Unverschlüsselte Verbindung (geschützt durch Secure)
Cross-Site-Request: Eine andere Seite sendet das Cookie (geschützt durch SameSite)
Malware: Trojaner liest Browser-Cookies (nicht direkt schützbar)

Wie schützt CampusHub dagegen?

Angriff	Schutz	Effektivität
XSS	HttpOnly	Hervorragend
Netzwerk-Abhören	Secure + HTTPS	Hervorragend
Cross-Site-Request	SameSite	Hervorragend
Malware	Kein direkter Schutz	Limitiert

Was du tun kannst:

Halte deinen Browser und dein Betriebssystem aktuell
Verwende einen Antivirus
Vermeide öffentliche WLANs für sensible Aktionen
Logge dich aus, wenn du den Computer verlässt

Session-Management für Admins

Wie kann ich Sessions verwalten?

Als Admin kannst du:

Alle Sessions anzeigen: Wer ist gerade eingeloggt?
Sessions beenden: Einen Benutzer ausloggen
Session-Dauer ändern: Von 30 Tagen auf eine andere Dauer (mit Vorsicht)

Wie kann ich einen Benutzer ausloggen?

Gehe zu Admin > Mitglieder
Wähle den Benutzer aus
Klicke auf "Session beenden"
Der Benutzer wird ausgeloggt und muss sich neu anmelden

Wann sollte ich Sessions beenden?

Wenn ein Benutzer sein Gerät verloren hat
Wenn ein Verdacht auf kompromittierte Session besteht
Wenn ein Benutzer die Organisation verlässt
Wenn ein Benutzer eine ungewöhnliche Aktivität zeigt

Häufige Fragen (FAQ)

Warum bleibe ich eingeloggt, auch wenn ich den Browser schliesse?

Das Session-Cookie ist persistent. Es bleibt gespeichert, auch wenn du den Browser schliesst. Wenn du dich ausloggen möchtest, musst du explizit auf "Ausloggen" klicken.

Kann ich CampusHub auf mehreren Geräten gleichzeitig nutzen?

Ja. Jeder Login erstellt eine neue Session. Du kannst auf Laptop, Handy und Tablet gleichzeitig eingeloggt sein.

Was passiert, wenn ich mich auf einem Gerät auslogge?

Nur die Session auf diesem Gerät wird beendet. Die anderen Sessions bleiben aktiv.

Kann ich meine aktiven Sessions anzeigen?

Ja. Gehe zu Einstellungen > Sicherheit > Aktive Sessions. Dort siehst du alle Geräte, auf denen du eingeloggt bist, und kannst einzelne Sessions beenden.

Was ist sicherer: "Eingeloggt bleiben" oder jedes Mal neu einloggen?

Jedes Mal neu einloggen ist theoretisch sicherer. Aber die praktische Sicherheit ist bei CampusHub so hoch, dass "Eingeloggt bleiben" für die meisten Nutzer ausreichend sicher ist.

Wenn du besonders sensible Daten verwaltest (z.B. Finanzdaten), empfehlen wir, dich nach jeder Sitzung auszuloggen.

Fazit: Deine Session ist sicher

CampusHub nimmt Session-Sicherheit ernst. Wir nutzen:

HMAC-SHA256 Signierung: Manipulationssicher
HttpOnly: XSS-Schutz
Secure: HTTPS-Zwang
SameSite: CSRF-Schutz
30-Tage-Ablauf: Automatische Invalidierung

Was du tun solltest:

Halte deinen Browser aktuell
Verwende HTTPS (ist Standard bei CampusHub)
Logge dich aus, wenn du den Computer verlässt
Überprüfe regelmässig deine aktiven Sessions

Die nächsten Schritte:

Magic-Link-Anmeldung erklärt — Wie die Anmeldung funktioniert
Sicherheit ohne Passwörter — Warum Passwörter unsicher sind
Datenschutz und DSGVO — Wie deine Daten geschützt sind
Account wiederherstellen — Was tun bei Problemen

Hast du Fragen zur Session-Sicherheit? Schreibe uns an support@campushub.ch — wir beraten dich gerne.

Session-Sicherheit: Wie CampusHub deine Anmeldung schützt

Was ist eine Session?

Wie schützt CampusHub deine Session?

1. HMAC-SHA256 Signierung

2. HttpOnly Cookie

3. Secure Cookie

4. SameSite Cookie

5. Session-Ablauf

Was passiert, wenn du dich ausloggst?

Was passiert bei Session-Hijacking?

Session-Management für Admins

Wie kann ich Sessions verwalten?

Wie kann ich einen Benutzer ausloggen?

Wann sollte ich Sessions beenden?

Häufige Fragen (FAQ)

Warum bleibe ich eingeloggt, auch wenn ich den Browser schliesse?

Kann ich CampusHub auf mehreren Geräten gleichzeitig nutzen?

Was passiert, wenn ich mich auf einem Gerät auslogge?

Kann ich meine aktiven Sessions anzeigen?

Was ist sicherer: "Eingeloggt bleiben" oder jedes Mal neu einloggen?

Fazit: Deine Session ist sicher

War dieser Artikel hilfreich?

Verwandte Artikel

Magic-Link-Anmeldung: Warum passwortlos sicherer ist als jedes Passwort

Sicherheit ohne Passwörter: Warum passwortlose Authentifizierung die Zukunft ist

Datenschutz und DSGVO: Wie CampusHub deine Organisation schweizerisch-konform schützt

Session-Sicherheit: Wie CampusHub deine Anmeldung schützt

Was ist eine Session?

Wie schützt CampusHub deine Session?

1. HMAC-SHA256 Signierung

2. HttpOnly Cookie

3. Secure Cookie

4. SameSite Cookie

5. Session-Ablauf

Was passiert, wenn du dich ausloggst?

Was passiert bei Session-Hijacking?

Session-Management für Admins

Wie kann ich Sessions verwalten?

Wie kann ich einen Benutzer ausloggen?

Wann sollte ich Sessions beenden?

Häufige Fragen (FAQ)

Warum bleibe ich eingeloggt, auch wenn ich den Browser schliesse?

Kann ich CampusHub auf mehreren Geräten gleichzeitig nutzen?

Was passiert, wenn ich mich auf einem Gerät auslogge?

Kann ich meine aktiven Sessions anzeigen?

Was ist sicherer: "Eingeloggt bleiben" oder jedes Mal neu einloggen?

Fazit: Deine Session ist sicher

War dieser Artikel hilfreich?

Verwandte Artikel

Magic-Link-Anmeldung: Warum passwortlos sicherer ist als jedes Passwort

Sicherheit ohne Passwörter: Warum passwortlose Authentifizierung die Zukunft ist

Datenschutz und DSGVO: Wie CampusHub deine Organisation schweizerisch-konform schützt