Passwörter und 2FA reichen nicht, wenn an einem alten Tablet im Wohnzimmer noch eine gültige Mail-Session läuft oder ein vergessenes OAuth-App-Recht aus dem Jahr 2018 munter deine Daten zieht. Aktive Sessions, verbundene Geräte und Drittanbieter-Apps sind die stille Angriffsfläche vieler Konten. Dieser Artikel zeigt, wo du diese Liste pro Anbieter findest, wie du sie regelmäßig durchgehst — und wie ein realistisches Vorgehen bei Geräte-Verlust aussieht.
Wovor du dich schützt
Drei Szenarien, gegen die saubere Session- und Geräte-Verwaltung wirkt:
- Vergessene Anmeldungen. Ein altes Smartphone, das du verschenkt oder verkauft hast. Ein Tablet, das im Café liegen blieb. Ein Browser auf einem Gast-PC, in dem du dich aus Versehen mit „Eingeloggt bleiben" angemeldet hast.
- Kompromittierte Drittanbieter. Vor Jahren hast du einer App OAuth-Rechte gegeben — z. B. „Zugriff auf meine Mails", „Zugriff auf mein Google Drive". Die App wurde später verkauft oder gehackt. Das Recht läuft weiter, solange du es nicht widerrufst.
- Session-Hijacking nach Vorfall. Wenn ein Angreifer dein Passwort hatte, kann es sein, dass eine aktive Session weiterläuft, auch wenn du das Passwort schon geändert hast. Die meisten Dienste invalidieren bei Passwort-Wechsel die Sessions — aber nicht alle, und nicht bei allen Token-Varianten.
Sauberes Aufräumen schließt all diese Türen — ein zehn-minütiger Vorgang pro Konto, der dir später viel Ärger erspart.
Wo du die Listen findest
Die wichtigsten Provider haben eine ähnliche Logik, aber unterschiedliche Bezeichnungen. Drei Listen, die jedes Konto hat:
- Aktive Sessions / Geräte — wo bist du gerade eingeloggt? Browser, Apps, Smartphones, Tablets, Smart-TVs.
- Verbundene Apps / OAuth-Berechtigungen — welche Drittanbieter dürfen dein Konto lesen oder benutzen?
- Sicherheits-Aktivität — Login-Versuche, Standorte, ungewöhnliche Ereignisse.
| Provider | Pfad zur Geräte-/Session-Liste |
|---|---|
| myaccount.google.com → Sicherheit → „Geräte" und „Apps mit Kontozugriff" | |
| Apple | appleid.apple.com → Geräte; Einstellungen → [Name] → Geräte auf iPhone |
| Microsoft | account.microsoft.com → Sicherheit → „Anmeldeaktivität" und „Apps und Dienste" |
| Meta / Facebook | facebook.com/settings → Sicherheit → „Wo du angemeldet bist" |
| accountscenter.instagram.com → Passwort und Sicherheit → Anmeldeaktivität | |
| X / Twitter | twitter.com/settings/sessions; twitter.com/settings/connected_apps |
| GitHub | github.com/settings/sessions; github.com/settings/applications |
| Discord | App → Benutzereinstellungen → Geräte; → „Autorisierte Apps" |
| Signal | App-Einstellungen → Verknüpfte Geräte |
| App → Einstellungen → Verknüpfte Geräte | |
| PayPal | paypal.com → Einstellungen → Sicherheit → „Apps, die mit PayPal verbunden sind" |
| Spotify | spotify.com/account/apps; → „Überall abmelden" auf der Account-Seite |
| Netflix | netflix.com/manageprofiles → „Streaming-Aktivität" und „Bei allen Geräten abmelden" |
| Steam | store.steampowered.com → Konto → „Steam Guard verwalten" → Autorisierte Geräte |
Das ist nicht erschöpfend — die meisten Plattformen folgen demselben Schema. Faustregel zum Finden: in den Einstellungen unter Sicherheit / Account / Datenschutz nach Begriffen wie aktive Sitzungen, Geräte, autorisierte Apps, Drittanbieter, Anmeldeaktivität suchen.
OAuth-Apps: das stille Risiko
Wenn du dich irgendwo per „Mit Google anmelden" / „Mit Apple anmelden" registrierst — oder einer Drittanbieter-App erlaubst, deinen Kalender / deine Mails / dein Drive zu nutzen — schließt du im Hintergrund eine OAuth-Verbindung. Diese gibt der App ein Token mit definierten Rechten (Scopes) und einer in der Regel langen Lebensdauer (oft jahre-, manchmal endlos-gültig, bis manuell widerrufen).
Typische OAuth-Rechte, die du dir genauer ansehen solltest:
- „Mails lesen und schreiben" — gefährlich, weil eine kompromittierte App Phishing-Mails von deinem Konto schicken kann.
- „Volle Drive-Zugriffsrechte" — kann alles lesen und löschen, was du dort liegen hast.
- „Kontakte lesen" — Adressbuch geht raus.
- „Auf dein Profil zugreifen" — meist harmlos, aber auch hier prüfen, ob die App noch existiert.
Faustregel: Apps, die du seit mehr als 12 Monaten nicht aktiv benutzt hast, raus. Apps von Anbietern, die du nicht mehr erkennst oder die nicht mehr existieren, raus. Apps mit „Vollzugriff", obwohl sie nur deinen Namen brauchen, raus.
Ein typischer Bereinigungs-Lauf bei einem Google-Konto fördert oft zehn bis zwanzig „verbundene Apps" zutage, von denen die Mehrheit nicht mehr benutzt wird. Das Risiko ist real: kompromittierte OAuth-Apps haben in den letzten Jahren mehrfach zu Massen-Mailing aus echten Konten geführt (z. B. der „Google Docs"-Worm 2017).
Was tun bei verlorenem oder gestohlenem Gerät
Ein Smartphone weg — oder im Verdacht, in falsche Hände geraten. Die Reihenfolge zählt:
Innerhalb der ersten Stunde:
- Mobilfunk-Provider anrufen und SIM-Karte sperren lassen — verhindert SMS-2FA-Missbrauch.
- Geräte-Standort prüfen und Remote-Lock über die Plattform-Funktion:
- iCloud.com / „Wo ist?" — Sperren mit eigener Nachricht und Telefonnummer.
- Android: google.com/android/find oder Samsung „Find My Mobile".
- Windows-Laptop: account.microsoft.com → Geräte → „Mein Gerät suchen".
- Wenn nicht zurückzuerwarten — Remote-Wipe auslösen. Beides bei iCloud und Android sofort möglich.
Innerhalb desselben Tags:
- Auf einem zweiten Gerät in alle wichtigen Konten einloggen und „Alle Sessions abmelden" ausführen:
- Mail-Hauptkonto.
- Passwort-Manager.
- Apple ID / Google / Microsoft.
- Online-Bank.
- Soziale Hauptaccounts.
- Passwörter ändern für die kritischen Konten — auch wenn das Gerät selbst per PIN gesperrt war, kann Forensik bei genug Aufwand Daten extrahieren.
- 2FA-Backup-Codes nutzen oder TOTP-App auf neuem Gerät wiederherstellen. Backup-Schlüssel der Authenticator-App (Aegis-Export, iCloud-Backup) verwenden — siehe zwei-faktor-und-mfa.
- Anzeige bei der Polizei — wichtig für Versicherungs- oder spätere Identitäts-Diebstahl-Fälle.
Innerhalb der ersten Woche:
- Browser-Sessions auch auf Desktop-Geräten prüfen — möglicherweise teilten sich Tablet und Desktop dieselbe Cloud-Browser-Identität.
- Bank- und Zahlungs-Aktivität beobachten über ungewöhnliche Buchungen.
- Provider über Geräte-IMEI sperren lassen, wenn Diebstahl bestätigt — verhindert Weiterverkauf auf legalen Wegen.
Remote-Wipe: was passiert da eigentlich?
Wenn du Remote-Wipe auslöst, sendet die Plattform einen kryptografischen Befehl an dein Gerät. Bei Eintreffen (Gerät muss online sein) werden die Verschlüsselungs-Schlüssel zerstört — alle Daten auf dem Gerät sind ab dann nicht mehr lesbar, auch nicht mit forensischen Werkzeugen.
Drei Eigenschaften, die wichtig sind:
- Funktioniert nur, wenn das Gerät online ist. Ist das Gerät ausgeschaltet oder ohne Netz, wird der Wipe ausgeführt, sobald das Gerät wieder verbindet. Apple und Google halten den Wipe-Auftrag in einer Warteschlange.
- Funktioniert nicht gegen einen erfahrenen Dieb, der das Gerät sofort in einen Faraday-Beutel legt. In solchen Fällen schützt die Geräte-Verschlüsselung (FileVault, BitLocker, ein guter PIN) plus Activation Lock — siehe nächster Punkt.
- iOS Activation Lock und Android Factory Reset Protection binden das Gerät an deine Apple-ID bzw. dein Google-Konto. Auch nach einem kompletten Wipe ist das Gerät ohne deine Anmeldedaten nicht nutzbar — der Wiederverkaufs-Wert sinkt drastisch, und Diebstahl wird unattraktiver.
Für Familien und Teams: Apple Family Sharing und Google Family Link ermöglichen, Geräte anderer Familien-Mitglieder zu orten und zu sperren — sinnvoll für Kinder-Geräte und ältere Angehörige.
Eingeloggt-Bleiben-Falle: Cookies, Tokens und „Persistent Login"
Beim Login fragen viele Dienste: „Eingeloggt bleiben?". Wenn du das aktivierst, bekommt der Browser ein langlebiges Token (oft Wochen bis Monate gültig), das die Anmeldung über Browser-Neustarts hinweg trägt. Bequem — aber zwei Risiken:
- Auf fremden Geräten ist „Eingeloggt bleiben" ein Selbstverletzungs-Knopf. An Bibliotheks-PCs, Hotel-Lobby-Rechnern, Internetcafés grundsätzlich abklicken.
- Selbst auf eigenen Geräten sollten die Tokens nicht ewig leben. Manche Dienste lassen dich konfigurieren, nach welcher Zeit ein erneuter Login pflicht ist — bei besonders sensiblen Diensten (Banking, Mail-Hauptkonto) auf kurze Werte stellen.
Wenn du irgendwann den Verdacht hast, dass ein Token kompromittiert wurde, hilft „Alle Sessions abmelden" auf der Account-Seite des Anbieters. Das invalidiert alle ausgegebenen Tokens; beim nächsten Zugriff verlangt jeder Browser eine neue Anmeldung. Im Hintergrund werden außerdem (bei sauberen Anbietern) die Refresh-Tokens zurückgesetzt — die unsichtbaren Schlüssel, mit denen Apps neue Access-Tokens holen.
Konsequenzen, die du erwarten kannst nach einer „Alle abmelden"-Aktion:
- Smart-TVs, Streaming-Stick-Apps müssen neu eingeloggt werden — Netflix, Spotify, YouTube.
- IMAP/SMTP-konfigurierte Mail-Programme (Thunderbird, Apple Mail) müssen das App-Passwort oder den OAuth-Flow neu durchlaufen.
- Mobile Apps verlangen neuen Login mit Passkey / Passwort / 2FA.
Nicht angenehm — aber ein guter Indikator dafür, wie viele Sessions im Hintergrund eigentlich laufen.
Familien- und Erbschafts-Zugang
Ein Thema, das im Alltag selten besprochen wird: was passiert mit deinen Konten, wenn du ausfällst — vorübergehend (Krankenhaus) oder dauerhaft?
Drei moderne Werkzeuge, die diese Frage adressieren:
- Apple — Nachlasskontakte und Wiederherstellungskontakte. Einstellungen → [Name] → Anmeldung & Sicherheit → Nachlasskontakt. Du benennst eine Person, die nach deinem Tod (mit Sterbeurkunde gegenüber Apple) Zugang zu iCloud-Daten erhält.
- Google — Inaktivitäts-Manager. Einstellungen → Daten und Datenschutz → „Plan für ein inaktives Konto erstellen". Definiert, was nach X Monaten Inaktivität passieren soll (Mitteilung an Vertrauensperson, Daten-Download, Account-Löschung).
- Passwort-Manager mit Notfall-Zugriff. 1Password Family und Bitwarden bieten Emergency-Access — du benennst Vertrauenspersonen, die mit Wartezeit Zugang anfordern können. Du kannst während der Wartezeit ablehnen; wenn du nicht antwortest, wird der Zugang gewährt.
Pragmatischer Rat: einmal im Jahr fünf Minuten in diese Einstellungen investieren. Wer sich nicht damit beschäftigt, hinterlässt seine digitale Identität im Notfall einer Person mit Sterbeurkunde, vielen Telefonaten und Geduld — was vermeidbar wäre.
Vertieft in account-wiederherstellung.
Interessantes
OAuth-Tokens haben unterschiedliche Lebensdauer
Manche Provider geben Tokens mit nur einer Stunde Lebensdauer aus (plus Refresh-Token mit Wochen-Laufzeit). Andere geben Tokens, die ohne explizites Widerrufen nie ablaufen. Bei kritischen Apps lohnt der Blick in die Doku — oder schlicht die quartärliche Aufräum-Runde durch die OAuth-Liste.
App-Passwörter sind nicht 2FA-geschützt
Mail-Programme, die IMAP per Passwort + App-spezifisches Passwort nutzen, umgehen oft 2FA — der App-spezifische Schlüssel reicht. Bei Google und Apple kannst du diese App-Passwörter widerrufen, sobald du sie nicht mehr brauchst. Modern lösen das OAuth-basierte Mail-Clients (Thunderbird mit OAuth, Apple Mail mit System-Account).
Smart-TVs sind die schlimmsten Session-Lecker
Hotelzimmer-Fernseher, Mietwohnung-Geräte, alte Smart-TVs bei Freunden — überall könntest du Netflix-, YouTube-, Spotify-Sessions hinterlassen haben. "Auf allen Geräten abmelden" auf der jeweiligen Account-Seite ist die einzige zuverlässige Methode.
Anti-Theft beim Verkauf nicht vergessen
Wer ein altes iPhone, iPad, MacBook verkauft: erst Account abmelden, dann zurücksetzen. Sonst bleibt das Gerät durch Activation Lock für den Käufer unbrauchbar. Bei Android: Google-Konto vor Werkseinstellungen entfernen.
Apple und Google sehen, wenn ein neues Gerät einsteigt
Beide Provider schicken Benachrichtigungen an alle bereits angemeldeten Geräte, wenn sich ein neues Gerät einloggt — inkl. ungefährem Standort. Diese Benachrichtigungen nicht wegklicken: sie sind oft der erste Hinweis auf eine ungewollte Anmeldung.
Browser-Cookies-Diebstahl als Hauptangriff der Stealer-Malware
Moderne Info-Stealer (Lumma, Vidar, RedLine) zielen nicht primär auf Passwörter, sondern auf bereits eingeloggte Session-Cookies. Mit einem Cookie kommt der Angreifer ohne 2FA in den Account. Verteidigung: Browser-Speicher mit Master-Passwort verschlüsseln, regelmäßiges "alle abmelden", Geräte-Hygiene.
Push-Notifications als "Login von neuem Gerät"-Alarm aktivieren
Apple, Google und Microsoft schicken bei neuem Geräte-Login Push-Benachrichtigungen mit ungefährem Standort. Wer diese Notifications eingeschaltet hat, bekommt einen sofortigen Hinweis bei einem unautorisierten Zugriff — und Zeit zum Reagieren.
Weiterführende Ressourcen
Externe Quellen
- Google – Geräte und Apps mit Kontozugriff verwalten
- Apple – Geräte für die Apple-ID verwalten
- Microsoft – Anmeldeaktivität und Sicherheit
- Apple – „Wo ist?" und Remote-Wipe
- Google – Android-Gerät orten und sperren
- Apple – Nachlasskontakt einrichten
- Google – Inaktivitäts-Manager
- BSI – Smartphone-Diebstahl: was tun
- Have I Been Pwned – Domain- und Mail-Monitoring