Inwiefern sind Cookies problematisch?

Vertiefung im Thema Cookies
Diese Seite drucken
Creative Commons Namensnennung-Keine kommerzielle Nutzung-Keine Bearbeitung 3.0 Deutschland
Cookies (120px)
Online-Werbung und unbefugte Zugänge
Cookies sind an sich ungefährlich. Allerdings können sie für Zwecke verwendet werden, die für den Nutzer unangenehme Folgen haben können. Beispielsweise lassen sich mit Hilfe von Cookies Informationen über das Surfverhalten eines Internetnutzers sammeln. Ein ernstes Sicherheitsrisiko besteht, wenn die Verwendung von Cookies Unbefugten den Zugang zu passwortgeschützten Diensten ermöglicht.

Zu den Problemen und Risiken, die mit der Nutzung von Cookies verbunden sind, zählen:

Anlegen von Nutzerprofilen

Durch die Verwendung von Cookies können detaillierte Nutzerprofile erstellt werden.

Insbesondere Werbetreibende greifen zu diesem Mittel. Dazu setzen Sie Cookies auf Websites ein, auf denen sie Anzeigen geschaltet haben. Diese Cookies werden meist über einen langen Zeitraum hinweg auf dem Computer des Nutzers gespeichert. So können Sie den Weg eines Internetnutzers über sämtliche Websites hinweg verfolgen, auf denen sie Werbung geschaltet haben.

Das Werbegeschäft im Internet wird von wenigen, großen Unternehmen dominiert. Dadurch finden sich deren Anzeigen auf vielen Websites wieder. So ist die Verfolgung des Surfverhaltens von Nutzern auf diese Weise recht effektiv.

Meist handelt es sich bei den Datensammlungen allerdings um anonyme Nutzerprofile und der Nutzer kann nicht weiter verfolgt werden, wenn er die entsprechenden Cookies löscht. Daher sollten Sie gespeicherte Cookies in Ihrem Browser regelmäßig löschen, wenn Sie eine Verfolgung Ihres Surfverhaltens verhindern wollen. Denn oftmals ist die Gültigkeitsdauer der Cookies von Online-Diensten sehr lang (oder gar unbegrenzt), sodass diese für einige Zeit gespeichert bleiben und auch immer wieder ausgelesen werden können.

Übernahme nicht beendeter Sitzungen

Ein ernsthaftes Sicherheitsrisiko im Zusammenhang mit Cookies kann dort entstehen, wo ein Computer (und dasselbe Nutzerkonto) von mehreren Personen benutzt wird – beispielsweise im Internet-Cafe oder an manchen Arbeitsplätzen. Werden die Cookies zur Sitzungsverwaltung durch den Browser oder den Nutzer nicht gelöscht, dann kann es vorkommen, dass der Nächste, der den Computer verwendet, die entsprechenden Nutzerkonten seines Vorgängers bei Online-Diensten einsehen und verwenden kann. Das gilt insbesondere für Online-Dienste wie soziale Netzwerke (z.B. Facebook), E-Mail-Konten oder Online-Banking.

Verschärft wird dieses Problem dadurch, dass die Gültigkeitsdauer der Sitzungscookies von Online-Diensten oftmals sehr lang gewählt wird. Deshalb sollten Sie sich bei solchen Diensten immer abmelden und damit das entsprechende Sitzungscookie ungültig machen.

Wichtig zu wissen ist, dass Cookies immer nur eine Kombination aus Computer, Nutzerkonto und Browser identifizieren. Wird zum Surfen ein anderer Browser verwendet oder ein anderes Nutzerkonto, dann werden jeweils neue, unabhängige Cookies angelegt. Verwenden also zwei Personen denselben Computer, haben aber verschiedene Nutzerkonten, dann werden auch die Cookies getrennt gespeichert. Wird ein anderer Computer verwendet, dann werden selbstverständlich wiederum neue, unabhängige Cookies gesetzt. Eine Nutzerverfolgung über Computer-, Nutzerkonto- oder Browser-Grenzen hinweg ist somit nicht möglich. Eine Ausnahme bilden allerdings die immer häufiger eingesetzten Flash Cookies.

Session Hijacking

Ein weiteres Sicherheitsproblem entsteht, wenn die Kommunikation mit einem Passwort-geschützten Online-Dienst unverschlüsselt erfolgt. Wird hier nach der Anmeldung ein Sitzungscookie gesetzt, das den Nutzer als authentisiert ausweist, dann kann ein Angreifer, der den Datenverkehr abhört, dieses Cookie abfangen und den entsprechenden Online-Dienst unautorisiert verwenden. Diese Methode nennt sich Session Hijacking, was mit „Entführung einer Kommunikationssitzung“ (Wikipedia) übersetzt werden kann.

Das Abfangen eines Cookies kann beispielsweise geschehen, wenn Daten über ein unzureichend gesichertes WLAN gesendet werden. Deshalb sollte die Kommunikation mit Online-Diensten, die eine Anmeldung mit Benutzernamen und Passwort erfordern, stets verschlüsselt erfolgen. Dazu wird normalerweise das Protokoll HTTPS verwendet. Wird der Datenverkehr verschlüsselt, dann kann das zur Authentifizierung dienende Sitzungscookie nicht abgefangen werden.

Hierbei sollten Sie darauf achten, dass die Verschlüsselung über die gesamte Dauer der Verbindung aufrecht erhalten wird. Einige Websites verschlüsseln lediglich die Anmeldung der Nutzer und senden danach sämtliche Daten wieder unverschlüsselt. So kann der entscheidende Cookie nach der Anmeldung abgefangen werden, denn er/es wird ja bei jedem Aufruf einer Webseite erneut vom Browser an dern Server übermittelt. Achten Sie also darauf, dass in der Adressleiste ein „https://“ der Webseitenadresse vorangeht.

Cookie-Daten-Diebstahl

Mit Hilfe kleiner Programme die Angreifer in Webseiten verstecken, können unter Umständen vom Browser gespeicherte Cookies ausgelesen werden. Dadurch können sensible Informationen in die falschen Hände geraten. Beispielsweise ist auf diese Weise ebenfalls eine Sitzungskaperung möglich. Online-Dienste, die in einem anderen Fenster/Tab des Browsers geöffnet sind oder bei denen Sie sich nicht abgemeldet haben, können auf diese Weise von einem Angreifer übernommen werden.

Zwar bieten Cookies die Möglichkeit den Zugriff durch solche Programme zu verbieten, dies wird aber oft nicht getan oder kann durch Sicherheitslücken umgangen werden. Schützen können Sie sich nur, indem Sie die Ausführung solcher Programme verbieten. Dazu müssen Sie entweder die Ausführung aktiver Inhalte, so genannter „Skripte“, jeglicher Art in den Browser-Einstellungen generell verbieten oder, da das zu erheblichen Problemen beim Surfen führen kann, Plug-ins wie beispielsweise „NoScript“ für den Firefox-Browser verwenden.

Das Problem mit dem Zurück-Knopf des Browsers

Der Inhalt des virtuellen Einkaufswagens in einem Webshop wird oft über ein Cookie verwaltet. Wenn Sie also einen Artikel Ihrem Einkaufswagen hinzufügen, dann wird dies mit Hilfe eines Cookies festgehalten. Wenn Sie nun mit dem Zurück-Knopf des Browsers auf die vorherige Seite zurückgehen, zeigt Ihnen der Browser unter Umständen Ihren Einkaufswagen ohne den zuletzt hinzugefügten Artikel an. Dennoch befindet sich der Artikel weiterhin im Einkaufswagen, denn die Information wurde im Cookie festgehalten.

Um solche Inkonsistenzen zu vermeiden, müssen Sie zum Entfernen eines Artikels aus Ihrem Einkaufswagen den dafür vorgesehenen Link im Webshop verwenden. Sie müssen also nicht alles kaufen, was Sie einmal angeklickt haben.