Cookies - Krümel möchte Keks haben! (Teil 2)

Einführung im Thema Cookies
Diese Seite drucken
Creative Commons Namensnennung-Keine kommerzielle Nutzung-Keine Bearbeitung 3.0 Deutschland
Cookies (120px)
Was nützen, wie schaden Cookies?
Webanbieter speichern kleine Textinformationen – Cookies genannt – in Ihrem Browser ab. In diesem zweiten Teil der Einführung zeigen wir Ihnen, wie Cookies heutzutage am häufigsten verwendet werden und welche möglichen Gefahren von ihnen ausgehen.

Wozu gibt es Cookies überhaupt?

Webserver können mit Cookies Informationen im Webbrowser ablegen. Bei jedem folgenden Webseitenabruf erhält der Webserver diese dann wieder zurück. Wozu ist diese Funktion notwendig?

Falls Sie je in Ihrem Browser alle Cookies gelöscht haben und danach die Option „Alle Cookies blockieren“ gewählt haben, dann kennen Sie vielleicht diese Situationen:

  • Sie wollen sich bei Ihrem bevorzugten sozialen Netzwerk anmelden. Sie geben Namen und Kennwort ein, aber immer wenn Sie auf „Login“ klicken, werden Sie wiederum aufgefordert, sich einzuloggen. Ihr Browser scheint sich Ihre Anmeldedaten „nicht merken“ zu können.

  • Sie möchten in einem Online-Shop einkaufen. Sie legen Artikel in den virtuellen Warenkorb, aber sobald Sie eine nächste Webseite anklicken, sind alle Waren im Warenkorb verschwunden. Ihr Browser scheint sich die Waren im Einkaufskorb „nicht merken“ zu können.

Die Ursache hinter dem „sich nicht merken können“ sind die blockierten Cookies. Ohne Cookies scheint Ihr Browser also ziemlich vergesslich zu sein.

Cookies wurden erfunden, um eine Unzulänglichkeit des HTTP-Protokolls zu überwinden. HTTP ist sozusagen die Sprache, mit der sich Webbrowser und Webserver austauschen, um Webseiten anzufordern und zu erhalten.

Die Unzulänglichkeit: Für den Webserver ist jeder Webseiten-Abruf unabhängig von den vorhergehenden Abrufen. Wenn der Nutzer mit seinem Browser zwei Seiten nacheinander ansieht, kann der Webserver nicht erkennen, ob diese beiden Abrufe von demselben Browser kommen. HTTP übermittelt hierzu nicht genug Informationen.

Das ist alles kein Problem, solange der Nutzer nur einzelne Webseiten vom Webserver abruft. Es gibt aber Fälle, bei denen der Webserver Informationen des Nutzers über mehrere Webseiten-Abrufe hinweg speichern muss. Ein klassisches Beispiel dafür ist der Warenkorb in einem Online-Shop.

Im Online-Shop wählt der Nutzer auf einer Webseite einen Artikel aus und legt ihn per Klick in den Warenkorb. Eventuell geht er auf eine andere Seite und legt einen weiteren Artikel in den Warenkorb. Wenn es ans Bezahlen geht, muss der Nutzer über mehrere Webseiten hinweg die Zahlungs-Informationen eingeben, wie zum Beispiel die Rechnungsadresse. Schließlich bestätigt er den Kauf und schließt ihn damit ab.

Der Webserver muss für diesen Vorgang über mehrere Webseiten-Abrufe hinweg den Nutzer eindeutig identifizieren können, um die ausgewählten Waren dem entsprechenden Nutzer zuordnen zu können. Sonst wäre ein Online-Geschäft nicht möglich. Da HTTP dazu keine Möglichkeit bietet, wurden Cookies eingeführt.

Bei einem Online-Shop läuft der Einsatz von Cookies etwa so ab: Beim Aufruf der ersten Webseite schickt der Webserver zusammen mit der aufgerufenen Webseite ein Cookie mit einer eindeutigen Identifikationskennung an den Browser zurück. Dieses Cookie wird bei der Artikelauswahl an den Webserver zurückgeschickt, der damit die Auswahl eindeutig dem Nutzer zuordnen kann. Bei jeder weiteren Handlung – Artikel auswählen, andere Webseite abrufen, zur Kasse gehen – wird jedes mal das Cookie an den Server mitgeschickt. So wird sichergestellt, dass alle Abrufe von demselben Browser kommen. Wenn jetzt der Nutzer seine Zahlungsinformationen eingibt, kann er genau identifiziert werden und die richtigen Waren erreichen die richtige Person.

Wofür werden Cookies eingesetzt?

Cookies werden heutzutage hauptsächlich in drei verschiedenen Bereichen eingesetzt:

  • Für so genannte "Sitzungen" wie beispielsweise einem Einkaufsbummel in einem Online-Shop;

  • zur Speicherung individueller Einstellungen; und

  • zur Aufzeichnung des Surfverhaltens, um dadurch Rückschlüsse auf die Interessen der Nutzer ziehen zu können.

Sitzungen

Wenn ein Nutzer mehrere Seiten einer Website besucht, und er für den Webserver über einen gewissen Zeitraum hinweg eindeutig identifiziert ist, wird von einer Sitzung (englisch „session“) gesprochen. Damit der Webserver den Nutzer identifizieren und so eine Sitzung für den Nutzer verwalten kann, werden bestimmte Cookies eingesetzt: die Session Cookies.

Session Cookies werden zum Beispiel beim Einkaufen in Online-Shops eingesetzt, aber auch bei der Anmeldung bei einem sozialen Netzwerk oder einer Webmail-Anwendung. Bei der Anmeldung erhält der Browser ein eindeutiges Session Cookie zurück, dass dann bei den folgenden Webseitenabrufen wie ein Ausweis funktioniert: Mit den Cookie-Informationen erkennt der Webserver bei jedem Seitenaufruf den angemeldeten Nutzer.

Solche Session Cookies, die zur Identifikation oder als Ausweis für eine Website verwendet werden, sind häufig gut wiederzuerkennen. Der Name enthält häufig die Zeichenfolge „id“ oder „ID“, und der Wert besteht aus einer langen, aus Zahlen und Buchstaben bestehenden Zeichenkette, zum Beispiel:

> sID=edb0e8665db4e9042fe0176a89aade16

Session Cookies werden nur so lange benötigt, bis der Online-Einkauf erledigt ist, oder die Abmeldung von der Website erfolgt. Danach könnten sie gelöscht werden. Der Webserver kann aber nicht von sich aus die Löschung von Cookies veranlassen. Daher wird dem Cookie in der Regel kein explizites Verfallsdatum mitgegeben. Dadurch werden diese Cookies gelöscht, sobald der Nutzer den Browser beendet. Mit dem Begriff „Session Cookies“ werden aus diesem Grunde auch generell Cookies bezeichnet, die beim Beenden des Webbrowsers automatisch gelöscht werden.

Individuelle Einstellungen

Ein zweites Anwendungsgebiet für Cookies ist die Speicherung von verschiedenen Einstellungen im Zusammenhang mit einer Website. Dies kann das Aussehen der Website betreffen, wie die Schriftgröße, oder die Farbgestaltung, oder auch die angebotenen Inhalte. Wenn beispielsweise Websites Inhalte in mehreren Sprachen anbieten und der Nutzer einstellen kann, welche Sprache ihm bei jedem Besuch angezeigt werden soll, wird diese Einstellung meist durch ein Cookie ermöglicht. Dieses speichert die Sprachwahl, etwa „de“ für Deutsch, oder „fr“ für Französisch. Ein solches Cookie könnte folgendermaßen aussehen:

> sprache=de

Diese Art von Cookies werden über einen längeren Zeitraum gespeichert, damit die Einstellung bestehen bleibt. Sie enthalten keine persönlichen Daten, sondern nur die Werte, mit der die jeweilige Einstellung bezeichnet wird.

Surfverhalten verfolgen

Cookies werden auch dazu verwendet, das Surfverhalten von Nutzern im Internet zu verfolgen: Es wird aufgezeichnet, welche einzelnen Webseiten Sie besuchen. Diese Funktion wird vor allem von der Werbeindustrie genutzt, die mit den Daten so genannte Benutzerprofile erstellt.

Die Cookies, die zur Erstellung von Benutzerprofilen eingesetzt werden, speichert Ihr Browser über einen längeren Zeitraum. In der Regel werden für diese Funktion so genannte „Drittanbieter-Cookies“ ([#2517,override="siehe Cookies-Einführung Teil 1") verwendet.

Inzwischen haben alle populären Browser eine Einstellung, mit der diese Drittanbieter-Cookies blockiert werden können. Einige der Browser empfehlen explizit, diese Blockierung zu aktivieren, oder haben sie sogar standardmäßig aktiviert.

Problematische Nutzungen von Cookies

Cookies können für Zwecke verwendet werden, denen manch ein Nutzer – würde er gefragt werden – nicht zustimmen würde. Das Anlegen von detaillierten Nutzerprofilen durch das Aufzeichnen und Analysieren des eigenen Surfverlaufs ist sicher ein Beispiel dafür. Cookies können aber auch Sicherheitsrisiken darstellen. So können Cookies missbraucht werden, um Unbefugten den Zugang zu passwortgeschützten Diensten zu ermöglichen.

Anlegen von Nutzerprofilen

Cookies, und vor allem Drittanbieter-Cookies ermöglichen das Verfolgen des Surfverhaltens. Ein Unternehmen schaltet etwa auf mehreren Websites Werbebanner zusammen mit einem Cookie. Über dieses Cookie erfährt es dann, welche dieser Websites und welche Seiten besucht wurden. Zusammen mit anderen Nutzungsdaten kann daraus ein detailliertes Nutzerprofil erzeugt werden.

Werbetreibende nutzen solche Profile, um Werbung zielgerichtet schalten zu können. Aus dem Nutzerprofil wird ein „Interesse“ herausgelesen, und beim nächsten Webseiten-Besuch eine entsprechende Werbung gezeigt. Wenn beispielsweise im Nutzerprofil 'häufiges Surfen in Mode-Websites' steht, dann wird möglicherweise häufiger Werbung für Kleidung auf Webseiten zu sehen sein.

Nutzer haben nur beschränkte Möglichkeiten zu kontrollieren, welche Informationen über sie gesammelt werden. Das Blockieren von Drittanbieter-Cookies im Browser ist ein Schritt, um solche Datensammlungen zumindest schwieriger zu machen.

Auslesen von Cookies

Manchmal befinden sich in Cookies sensible Daten wie Benutzernamen oder andere Informationen zum Authentisieren eines Nutzers, die nicht in die Hände Dritter gelangen sollten. Durch Fehler in der Programmierung des Browsers, Fehler in einem installierten Browser-Erweiterungen (Add-ons, Extensions, Plug-ins) oder in der Gestaltung des Cookies kann es für Unberechtigte möglich sein, solche Daten in den Cookies anderer Websites auszulesen.

Die wirksamste Maßnahme dagegen ist, den Browser und die Erweiterungen immer aktuell zu halten. Denn häufig werden Sicherheitslücken ausgenutzt, wogegen die aktuelle Version von Browser oder Erweiterung bereits gefeit ist, ältere Versionen aber noch anfällig sind.

Übernehmen von Sitzungen

Wenn sich ein Nutzer bei einer Website anmeldet, so setzt der Webserver ein Session Cookie, um damit den angemeldeten Nutzer bei den weiteren Webseitenabrufen – der Sitzung oder „Session“ wiederzuerkennen. Das Session Cookie ist so lange gültig, bis der Nutzer sich wieder abmeldet.

Wenn der Nutzer sich nicht abmeldet, dann bleibt das Session Cookie weiterhin gültig. Jemand anders könnte dieses Cookie stehlen und damit die Sitzung übernehmen und im Namen des Nutzers weiter benutzen.

Ähnliches passiert, wenn ein Angreifer die Datenverbindung belauscht oder eine Schadsoftware das Session Cookie ausspäht. Mit dem gültigen Session Cookie kann er damit die Sitzung im Namen des Nutzers verwenden, ohne das Passwort erraten zu müssen.

Was kann man dagegen tun? Es ist wichtig, sich am Ende immer von der angemeldeten Website abzumelden. Das können Sie in der Regel über einen Link oder eine Schaltfläche tun, die sich auf der jeweiligen Webseite befindet. Gegen das Stehlen des Session Cookies durch Belauschen oder Schadsoftware helfen Maßnahmen wie ein aktueller Virenschutz, verschlüsselte WLAN-Verbindungen und eine sichere Browser-Verbindung über https (SSL/TLS-Verbindungen).