REOSA Docs LogoREOSADocs
Anmelden
REOSA Docs
§ 02 · Session-Lifetime — Zugangsdaten-Tresor

Session-Lifetime — Zugangsdaten-Tresor

Wie lange ein einmal entsperrter Tresor offen bleibt, wie der Inaktivitäts-Lockout funktioniert und welche Einstellung wir für Maklerbüros empfehlen.

Wenn ein:e User das Master-Password eingibt, ist der Tresor für die folgende Session-Lifetime entsperrt. Innerhalb dieses Zeitfensters kann der:die User Einträge lesen, ohne jeden einzelnen Aufruf neu mit Master-Password zu bestätigen. Nach Ablauf der Session-Lifetime wird der Tresor wieder gesperrt — alle entschlüsselten Werte werden aus dem Browser-Speicher entfernt.

Die Lifetime ist eine Balance zwischen Komfort und Sicherheit: Zu kurz und der Tagesablauf wird zermürbend, zu lang und ein vergessenes geöffnetes Laptop wird zur Sicherheitslücke.


Was eine Tresor-Session ist

Eine Tresor-Session beginnt mit erfolgreicher Master-Password-Eingabe (plus 2FA-Code, falls 2FA-Pflicht aktiv ist) und endet mit einem der folgenden Ereignisse:

  • Ablauf der konfigurierten Lifetime — z.B. nach 30 Minuten seit Unlock
  • Inaktivitäts-Lockout — keine Tresor-Interaktion innerhalb der konfigurierten Inaktivitäts-Frist
  • Manueller Lock — User klickt den Lock-Button in der Tresor-UI
  • Browser-Tab-Schließen — beim Schließen des letzten Tresor-Tabs
  • Plattform-Logout — beim ausdrücklichen Logout aus der Plattform

Solange die Session offen ist, sind Einträge ohne erneutes Master-Password lesbar. Nach Session-Ende muss erneut entsperrt werden.


Konfigurierbare Lifetime

Tenant-weit einstellbar durch den Admin, pro User noch enger eingrenzbar (User dürfen nicht über das Tenant-Maximum hinaus). Verfügbare Optionen:

WertWann sinnvoll
15 MinutenHochsensible Umgebungen, Shared-Workstations, Maklerbüros mit Publikumsverkehr
30 MinutenDefault-Empfehlung. Guter Kompromiss für typische Bürosituationen.
1 StundeLängere Bearbeitungs-Sessions wie Massen-Eintrags-Migration
4 StundenAußendienst-Geräte mit selten unbeobachtetem Zugriff
Bis Browser-SchließenPersönliche Geräte mit Geräte-Sperre auf OS-Ebene

Wer 4 Stunden oder Bis Browser-Schließen nutzt, sollte zwingend einen kurzen Inaktivitäts-Lockout setzen (siehe unten).


Inaktivitäts-Lockout

Zusätzlich zur Lifetime kann ein Inaktivitäts-Lockout konfiguriert werden. Wenn der:die User die Tresor-UI X Minuten nicht bedient, lockt sich der Tresor — unabhängig davon, ob die Gesamt-Lifetime noch nicht abgelaufen ist.

Was zählt als Aktivität?

  • Klick auf einen Eintrag
  • Suche oder Filter im Tresor
  • Lesen, Kopieren, Bearbeiten eines Eintrags
  • Wechsel zwischen Tresor-Tabs innerhalb desselben Browsers

Was zählt nicht als Aktivität?

  • Maus-Bewegung außerhalb der Tresor-UI
  • Aktivität in anderen Plattform-Bereichen (Tools, Settings, Marketplace)
  • Externe Browser-Tabs

Konfigurierbar 1-30 Minuten, oder Aus. Default: 10 Minuten.


Background-Tab-Verhalten

Eine häufige Frage: zählt der Lockout auch, wenn der Tresor-Tab im Hintergrund läuft?

Ja. Der Lockout-Timer läuft unabhängig davon weiter, ob der Tresor-Tab im Vordergrund oder Hintergrund ist. Wenn du den Tresor-Tab um 14:00 entsperrst, dann zu deinem CRM wechselst und um 14:11 zurückkommst, ist der Tresor bereits gesperrt (bei 10-Minuten-Lockout).

Das ist absichtlich so. Browser-Tabs sind im Tagesablauf häufig stundenlang offen — wenn das Tab-im-Hintergrund-Schicksal anders behandelt würde, wäre der Lockout faktisch wirkungslos.


Maximaler Wert pro User vs. Tenant-Vorgabe

Der Admin setzt einen Tenant-Maximum-Wert. Einzelne User dürfen für sich kürzer, aber nicht länger wählen.

Beispiel: Tenant-Maximum ist 30 Minuten Session + 10 Minuten Inaktivität. Ein:e Makler:in im Außendienst stellt für sich 15 Minuten Session + 5 Minuten Inaktivität ein. Das ist erlaubt. Eine andere Person versucht sich auf 1 Stunde zu setzen — das wird abgelehnt, weil über dem Tenant-Maximum.

Die Pro-User-Einstellung lebt in Mein Profil → Sicherheit → Tresor-Session.


Empfehlung für Maklerbüros

Wir empfehlen die folgenden Standards:

ParameterEmpfohlener WertBegründung
Session-Lifetime30 MinutenLang genug für sinnvolles Arbeiten, kurz genug für vergessene Geräte
Inaktivitäts-Lockout10 MinutenDeckt typische Kaffee-Pausen und Telefonate ab
Pro-User-OverrideErlaubtUser mit Shared-Geräten können sich strenger einstellen

Für Büros mit häufigem Publikums-Verkehr (Empfang, Beratungsräume) oder Shared-Workstations empfehlen wir restriktiver: 15 Minuten Session + 5 Minuten Inaktivität.

Für Außendienst-Geräte mit Geräte-Sperre auf OS-Ebene und ausschließlich personenbezogener Nutzung ist Bis Browser-Schließen + 30 Minuten Inaktivität akzeptabel — aber nur wenn das Gerät beim Verlassen des Sichtbereichs zwangsweise gesperrt wird (FaceID, Touch-Login, Apple-Watch-Unlock o.ä.).

Eine Policy-Änderung wirkt sofort. Bereits offene Sessions, die unter der alten Policy entsperrt wurden, laufen zu Ende — die neue Policy greift erst beim nächsten Unlock-Vorgang. Wer eine sofortige Wirkung will, kann zusätzlich Alle Tresor-Sessions invalidieren aus dem Admin-Menü auslösen.