Sessionvariablen werden am ende jeder Sesssion sicher gelöscht.

Global.asax

@@ -20,7 +20,10 @@
     void Application_End(object sender, EventArgs e) 
     {
         //  Code, der beim Herunterfahren der Anwendung ausgeführt wird
-
+        Session.Remove("TokenforEmail");
+        Session.Remove("SessID");
+        Session.Remove("urltochangepw");
+    }
     }
         
     void Application_Error(object sender, EventArgs e) 
@@ -41,7 +44,9 @@
         // Hinweis: Das Ereignis "Session_End" wird nur ausgelöst, wenn der Modus "sessionstate"
         // in der Datei "Web.config" auf "InProc" festgelegt ist. Wenn der Sitzungsmodus auf "StateServer" 
         // oder "SQLServer" festgelegt ist, wird das Ereignis nicht ausgelöst.
-        Session.Remove("TokenforEmail")
+        Session.Remove("TokenforEmail");
+        Session.Remove("SessID");
+        Session.Remove("urltochangepw");
     }