Es ist wichtig wenigstens ein kleines bisschen zu verstehen wie http-Cookies funktionieren und noch wichtiger warum man behutsam damit umgehen sollte. Viel Spass bei lesen, wenn Fragen auftauchen, dann zögert nicht euch zu melden.

„Ein Cookie ist eine Textinformation, die im Browser auf dem Computer des Betrachters jeweils zu einer besuchten Website (Webserver, Server) gespeichert werden kann. 

Der Begriff Cookie wird im Datenschutz auch als Synonym für Datenentnahme, Datenspeicherung, Datennutzung, Datenverwertung, Datenweitergabe wie auch Datenmissbrauch verwendet, unabhängig davon, ob dazu tatsächlich ein physisches Cookie verwendet wird oder andere Techniken eingesetzt werden.

Aufbau

Ein Cookie besteht aus einem Namen und einem Wert. Bei der Definition eines Cookies können bzw. müssen zusätzlich ein oder mehrere Attribute angegeben werden.

Funktionsweise

Es gibt zwei Möglichkeiten für die Übertragung, Zuweisung und Auswertung von Cookies durch eine Website:

  1. Übertragung in den Kopfzeilen (dem Header) von Anfragen und Antworten via HTTP. Cookies im Client entstehen, wenn bei dessen Zugriff auf einen Webserver neben anderen HTTP-Kopfzeilen in der Antwort des Servers zusätzlich eine Cookie-Zeile übertragen wird (siehe Aufbau).
  2. Außerdem kann ein Cookie lokal durch JavaScript oder weitere Skriptsprachen erzeugt werden. Das Skript befindet sich in der vom Server übermittelten Webseite.

Sicherheit und Gefahren

Tracking

Die Möglichkeit der eindeutigen Erkennung kann missbraucht werden. Cookies werden unter anderem dafür verwendet, Benutzerprofile über das Surfverhalten eines Benutzers zu erstellen. Zum Beispiel kann ein Online-Shop diese Daten mit dem Namen des Kunden verknüpfen und zielgruppenorientierte Werbemails schicken.

Es ist nicht ungewöhnlich, dass populäre Webseiten mehrere Datensammler einbinden. Eine Studie der Universität Berkeley hat 2011 beim Surfen auf den TOP100 Webseiten 5675 Cookies gefunden (ohne Logins oder Bestellungen). Davon wurden 4914 Cookies von Dritten gesetzt, also nicht von der aufgerufenen Webseite. Die Daten wurden an mehr als 600 Server übermittelt.

Spitzenreiter unter den Datensammlern ist Google. 97 % der populären Webseiten setzen Google-Cookies.

Tracking-Cookies werden auch von der NSA und GCHQ im Rahmen der globalen Überwachung genutzt. Die Geheimdienste beobachten den Datenstrom im Internet und identifizieren Surfer anhand langlebiger Tracking-Cookies. Zielpersonen werden anhand dieser Cookies verfolgt und bei Bedarf mit Foxit Acid gezielt angegriffen, wenn die Identifikation über zwei Wochen stabil möglich ist. 

Sicherheitseinstellungen im Browser

Gängige Browser erlauben dem Nutzer, den Umgang mit Cookies mehr oder weniger festzulegen, z. B.:

  • Keine Cookies annehmen, mit der Möglichkeit eine Whitelist für Ausnahmen anzulegen.

  • Cookies des Servers der aufgerufenen Seite annehmen, mit der Möglichkeit eine Blacklist für Ausnahmen anzulegen.

  • Cookies von Drittservern wie z. B. bei Werbebannern:
    • Hier kann zwischen Immer erlaubenNur von besuchten Drittanbietern oder Nie erlauben gewählt werden.

  • Benutzer bei jedem Cookie fragen:
    • Hier kann dann meist zwischen erlauben (bleibt), für diese Sitzung erlauben (wird immer angenommen, aber nach dem Schließen des Browsers gelöscht) und ablehnen (nicht akzeptieren) gewählt werden, wobei die gewählte Option gespeichert wird.

  • Cookies behalten:
    • Hier kann gewählt werden zwischen bis sie nicht mehr gültig sind oder bis die Browser geschlossen wird („Sitzungs-Cookie“).

Angesichts der Vor- und Nachteile von Cookies empfiehlt es sich, seinen Browser so zu konfigurieren, dass persistente Cookies nicht (oder nur gegen Rückfrage) zugelassen werden (was etwa die Erstellung von Benutzerprofilen erschwert) und nur Sitzungs-Cookies automatisch zugelassen werden (beispielsweise für Web-Einkäufe oder Passwörter).

Datenschutz

Bei manchen Browsern, wie Apple Safari, sind Cookies standardmäßig deaktiviert und müssen einzeln zugelassen werden, wenn der Besuch einer gewünschten Webseite es verlangt. Die gesetzten Cookies können später vom Nutzer über den Browser oder das Betriebssystem gefunden und wieder gelöscht werden.

Sicherheitsexperten raten zu einem bewussten Umgang mit Cookies. Dazu gehört, dass man sich beim Surfen bewusst ist, welche Cookies eine besuchte Seite setzen möchte. Nur die wenigsten Webseiten schreiben Cookies zwingend vor (wie etwa die Seite zum Einloggen in die Wikipedia)

Meistens werden Cookies willkürlich gesetzt, um das Surfverhalten zu protokollieren. Dies zu unterbinden, ist lästig, sorgt aber für Informationelle Selbstbestimmung und Datenschutz. Nicht selten versucht eine einzige kommerzielle Webseite, ein Dutzend und mehr Cookies zu setzen. Um das zu verhindern, muss man in den Browser-Einstellungen das automatische Akzeptieren von Cookies deaktivieren.

Google-Cookies und ihre „PREFID“ können den Browser eindeutig identifizieren. Im Zuge der Enthüllungen von Edward Snowden wurde bekannt, dass diese von der NSA missbraucht werden, um zielgerichtet Spionagesoftware auf einzelnen Rechnern zu platzieren und diese automatisiert zu überwachen und „per Fernsteuerung auszubeuten“. 

2012 folgten auch detaillierte Empfehlungen der sog. Artikel-29-Gruppe 2014 herrschte weiterhin „Unsicherheit in Deutschland“ zur Umsetzung während „in Spanien die Aufsichtsbehörden bereits Bußgeldbescheide verschicken“. Fachanwälte empfehlen trotz der unübersichtlichen Rechtslage 2014 bereits eine ausdrückliche Zustimmung (Opt-in) in Form eines Popups für jeden Benutzer einer Webseite. 

Am 1. Oktober 2019 entschied der Europäische Gerichtshof, dass das Setzen und Abrufen von Cookies durch Internetseiten eine aktive Einwilligung des Besuchers der Webseite benötigt.“ – Wikipedia

Ein kurzer Fallbeispiel genau beschrieben:

  • Du öffnest eine Webseite (nehmen wir meine so fühlt sich keiner verletzt) https://www.claudiagrimm.care, der Server (in dem Fall da wo meine Webseite draufläuft) gibt dem Browser ein „Cookie“ (also eine Mini-Textdatei), die der Browser bei sich abspeichert (also ein http-Cookie), mit.

    • Gemütlich surfst du auf der Webseite, loggst dich vielleicht in meinem Shop ein, bestellst etwas oder änderst sogar die Sprache auf der Webseite, dann hast du alles getätigt und verlässt die Webseite.

    • Am nächsten Tag gehst du wieder auf derselben Webseite drauf, der Server möchte ein „Cookie“ setzen, bekommt aber vom Browser die Info, dass du den „Cookie“ schon gesetzt hast, so dass deine Daten gespeichert sind und du diese nicht erneut durch den „Cookie“ bestätigen musst.

    • Damit weiß die Webseite, du schon mal da warst, vielleicht wer du bist usw. und kann dich somit vielleicht sogar mit dem hinterlegten Namen begrüßen, etc.

    • Ein cookie kann einfach bestimmte Dinge im Browser hinterlegen, die auch noch da sind, wenn der Browser geschlossen wird.

    • Ein besseres Beispiel ist Amazon: Wenn ich auf Amazon gehe, dann kann es sein, dass ich mich nicht einloggen muss, weil Amazon anhand des früher gesetzten Cookies weiß, wer ich bin!

    • Doch jetzt noch mal zum Datenschutz und den Cookies, nicht nur ein „Spannungsfeld“, sondern auch eher eine „Grauzone“, warum?

      • Nun der Datenmissbrauch passiert in meisten Fällen hinter den Kulissen. Wenn man sich in der digitalen Welt nicht auskennt (leider vor allem technisch) dann ist einem gar nicht bewusst was mit den eigenen Daten alles passiert ohne dass man nur einen Hauch davon mitbekommt.

      • Dass der Datenmissbrauch im Netz mittlerweile ein modernes juristisches Problem darstellt, welches nach wie vor eine Menge kriminelle Energie besitzt, ist ja kein Geheimnis mehr, dennoch heißt es an jeder Ecke „Leute lasst uns digitaler werden!“, doch um welchen Preis, na das wird leider nicht mehr mitgeteilt.

      • In den meisten Fällen geht es dabei um profitorientierten Verkauf von Datensätzen, sowie auch Identitätsmissbrauch und nicht zu vergessen natürlich auch Gelderpressungen.

      • Gegen solche Verbrechen wollen die Rechtsprechung und die Polizei, vorgehen, doch die Aufklärungsrate ist häufig gering und schlimmer die Täter können nicht ermittelt werden.

      • Der größte Kritikpunkt an den kleinen Dateien ist die Möglichkeit des Datenabgriffes über den Einsatz von Cookies. Das beste Beispiel dafür sind Werbebanner beim Surfen, in dem genau das Produkt gezeigt wird, was du kürzlich auf einer anderen Seite angeklickt hast. Sind Cookies anfällig für äußere Angriffe, sind persönliche Daten theoretisch einsehbar.

      • Große Seiten werden nicht selten Opfer von Hackerangriffen. Bei E-Mail-Providern, Messaging-Diensten und anderen Webseiten werden hunderte von Benutzerkonten angegriffen ohne, dass man etwas davon mitbekommt und das passiert nicht nur mit großen Seiten, sondern mittlerweile im Kleinen.

Fazit:

Es schadet nicht dir vorher genau anzuschauen welchen Seiten du vertraust und welchen nicht, denn auch große Portale wie z.B. Facebook haben Lücken in der Verwendung von personenbezogenen Daten. Deshalb schaut euch genau an, wo ihr euch im Internet rumtreibt und vor allem welche Cookies ihr zustimmt, denn auch wenn ihr „nur“ Privatpersonen seid, könnten eure Daten schneller im Internet Verwendung finden als ihr glaubt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.