Was sind Cookies? Und wie sollte man mit ihnen umgehen?

1. November 2023 | Von: ,
Ein eher umstrittenes Thema im Internet sind Cookies. Viele Webseiten verwenden sie, aber kaum jemand weiß genau, wozu sie gut sind. Muss ich Cookies akzeptieren und richten sie eigentlich Schaden an? Zwei Fragen, denen wir hier unter anderem nachgehen wollen.

Das Wichtigste in Kürze

Hier eine Zusammenfassung der wichtigsten Punkte:
  • Cookies sind kleine Dateien, die von Webseiten auf dem Computer gespeichert werden.
  • Cookies haben einen Namen und einen Wert und enthalten kleine Datenmengen wie eine Nutzerkennung.
  • Cookies werden für Session-, Personalisierungs- und Tracking-Cookies verwendet. Session-Cookies identifizieren den Nutzer über mehrere Seitenaufrufe hinweg, z.B. für einen Warenkorb. Personalisierungs-Cookies speichern persönliche Einstellungen wie Sprache oder Schriftgröße. Tracking-Cookies zeichnen das Surfverhalten auf und erstellen Nutzerprofile.
  • Cookies können über die Browsereinstellungen verwaltet und gelöscht werden.
  • Cookies bergen Datenschutzrisiken durch Tracking und Profilbildung.
  • Flash-Cookies sind Cookie-ähnliche Dateien des Flash-Players, die unabhängig vom Browser funktionieren.

Was sind Cookies?

Cookies
Cookies
Der Begriff Cookie (zu Deutsch „Plätzchen“, „Keks“) hat nichts mit leckeren Keksen zu tun. Webserver können mit Cookies Informationen im Webbrowser ablegen. Bei jedem folgenden Webseitenabruf erhält der Webserver diese dann wieder zurück. Wozu ist diese Funktion notwendig? Falls Sie je in Ihrem Browser alle Cookies gelöscht haben und danach die Option „Alle Cookies blockieren“ gewählt haben, dann kennen Sie vielleicht diese Situationen:
  • Sie wollen sich bei Ihrem bevorzugten sozialen Netzwerk anmelden. Sie geben Namen und Kennwort ein, aber immer wenn Sie auf „Login“ klicken, werden Sie wiederum aufgefordert, sich einzuloggen. Ihr Browser scheint sich Ihre Anmeldedaten „nicht merken“ zu können.
  • Sie möchten in einem Online-Shop einkaufen. Sie legen Artikel in den virtuellen Warenkorb, aber sobald Sie eine nächste Webseite anklicken, sind alle Waren im Warenkorb verschwunden. Ihr Browser scheint sich die Waren im Einkaufskorb „nicht merken“ zu können.
Die Ursache, hinter dem „sich nicht merken können“, sind die blockierten Cookies. Ohne Cookies scheint Ihr Browser also ziemlich vergesslich zu sein. Cookies wurden erfunden, um eine Unzulänglichkeit des HTTP-Protokolls zu überwinden. HTTP ist sozusagen die Sprache, mit der sich Webbrowser und Webserver austauschen, um Webseiten anzufordern und zu erhalten. Die Unzulänglichkeit: Für den Webserver ist jeder Webseiten-Abruf unabhängig von den vorhergehenden Abrufen. Wenn der Nutzer mit seinem Browser zwei Seiten nacheinander ansieht, kann der Webserver nicht erkennen, ob diese beiden Abrufe von demselben Browser kommen. HTTP übermittelt hierzu nicht genug Informationen.

Das ist alles kein Problem, solange der Nutzer nur einzelne Webseiten vom Webserver abruft. Es gibt aber Fälle, bei denen der Webserver Informationen des Nutzers über mehrere Webseiten-Abrufe hinweg speichern muss. Ein klassisches Beispiel dafür ist der Warenkorb in einem Online-Shop. Im Online-Shop wählt der Nutzer auf einer Webseite einen Artikel aus und legt ihn per Klick in den Warenkorb. Eventuell geht er auf eine andere Seite und legt einen weiteren Artikel in den Warenkorb. Wenn es ans Bezahlen geht, muss der Nutzer über mehrere Webseiten hinweg die Zahlungsinformationen eingeben, wie zum Beispiel die Rechnungsadresse. Schließlich bestätigt er den Kauf und schließt ihn damit ab.

Der Webserver muss für diesen Vorgang über mehrere Webseiten-Abrufe hinweg den Nutzer eindeutig identifizieren können, um die ausgewählten Waren dem entsprechenden Nutzer zuordnen zu können. Sonst wäre ein Online-Geschäft nicht möglich. Da HTTP dazu keine Möglichkeit bietet, wurden Cookies eingeführt.

Bei einem Online-Shop läuft der Einsatz von Cookies etwa so ab: Beim Aufruf der ersten Webseite schickt der Webserver zusammen mit der aufgerufenen Webseite ein Cookie mit einer eindeutigen Identifikationskennung an den Browser zurück. Dieses Cookie wird bei der Artikelauswahl an den Webserver zurückgeschickt, der damit die Auswahl eindeutig dem Nutzer zuordnen kann. Bei jeder weiteren Handlung – Artikel auswählen, andere Webseite abrufen, zur Kasse gehen – wird jedes Mal das Cookie an den Server mitgeschickt. So wird sichergestellt, dass alle Abrufe von demselben Browser kommen. Wenn jetzt der Nutzer seine Zahlungsinformationen eingibt, kann er genau identifiziert werden und die richtigen Waren erreichen die richtige Person.

Auf dem deutschen YouTube-Kanal „SemperVideo“ gibt es ein informatives Video zum Thema „Cookies“:
Cookies

YouTube Video
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und das Sie die Datenschutzerklärung gelesen haben.

Wofür werden Cookies eingesetzt?

Cookies werden heutzutage hauptsächlich in drei verschiedenen Bereichen eingesetzt:

Sitzungen

Wenn ein Nutzer mehrere Seiten einer Website besucht, und er für den Webserver über einen gewissen Zeitraum hinweg eindeutig identifiziert ist, wird von einer Sitzung (englisch „session“) gesprochen. Damit der Webserver den Nutzer identifizieren und so eine Sitzung für den Nutzer verwalten kann, werden bestimmte Cookies eingesetzt: die Session-Cookies.

Session Cookies werden zum Beispiel beim Einkaufen in Online-Shops eingesetzt, aber auch bei der Anmeldung bei einem sozialen Netzwerk oder einer Webmail-Anwendung. Bei der Anmeldung erhält der Browser ein eindeutiges Session-Cookie zurück, das dann bei den folgenden Webseitenabrufen wie ein Ausweis funktioniert: Mit den Cookie-Informationen erkennt der Webserver bei jedem Seitenaufruf den angemeldeten Nutzer. Solche Session-Cookies, die zur Identifikation oder als Ausweis für eine Website verwendet werden, sind häufig gut wiederzuerkennen. Der Name enthält häufig die Zeichenfolge „id“ oder „ID“, und der Wert besteht aus einer langen, aus Zahlen und Buchstaben bestehenden Zeichenkette, zum Beispiel:

> sID=edb0e8665db4e9042fe0176a89aade16

Session Cookies werden nur so lange benötigt, bis der Online-Einkauf erledigt ist oder die Abmeldung von der Website erfolgt. Danach könnten sie gelöscht werden. Der Webserver kann aber nicht von sich aus die Löschung von Cookies veranlassen. Daher wird dem Cookie in der Regel kein explizites Verfallsdatum mitgegeben. Dadurch werden diese Cookies gelöscht, sobald der Nutzer den Browser beendet. Mit dem Begriff „Session Cookies“ werden aus diesem Grunde auch generell Cookies bezeichnet, die beim Beenden des Webbrowsers automatisch gelöscht werden.

Individuelle Einstellungen

Ein zweites Anwendungsgebiet für Cookies ist die Speicherung von verschiedenen Einstellungen im Zusammenhang mit einer Website. Dies kann das Aussehen der Website betreffen, die Schriftgröße, die Farbgestaltung oder auch die angebotenen Inhalte. Wenn beispielsweise Websites Inhalte in mehreren Sprachen anbieten und der Nutzer einstellen kann, welche Sprache ihm bei jedem Besuch angezeigt werden soll, wird diese Einstellung meist durch ein Cookie ermöglicht. Dieses speichert die Sprachwahl, etwa „de“ für Deutsch, oder „fr“ für Französisch. Ein solches Cookie könnte folgendermaßen aussehen:

> sprache=de

Diese Art von Cookies werden über einen längeren Zeitraum gespeichert, damit die Einstellung bestehen bleibt. Sie enthalten keine persönlichen Daten, sondern nur die Werte, mit der die jeweilige Einstellung bezeichnet wird.

Surfverhalten verfolgen

Cookies werden auch dazu verwendet, das Surfverhalten von Nutzern im Internet zu verfolgen: Es wird aufgezeichnet, welche einzelnen Webseiten Sie besuchen. Diese Funktion wird vor allem von der Werbeindustrie genutzt, die mit den Daten sogenannte Benutzerprofile erstellt. Die Cookies, die zur Erstellung von Benutzerprofilen eingesetzt werden, speichert Ihr Browser über einen längeren Zeitraum. In der Regel werden für diese Funktion sogenannte „Drittanbieter-Cookies“ verwendet. Inzwischen haben alle populären Browser eine Einstellung, mit der diese Drittanbieter-Cookies blockiert werden können. Einige der Browser empfehlen explizit, diese Blockierung zu aktivieren, oder haben sie sogar standardmäßig aktiviert.

So erkennen Sie den Einsatz von Cookies

Auch ohne bestimmte Software und Einstellungen lässt sich leicht erkennen, wenn ein Webangebot Cookies einsetzt. Wann immer Sie auf einer Seite persönlich mit Namen begrüßt werden oder personalisierte Informationen in jeglicher Form verwendet werden, ohne dass Sie sich mit einem Benutzernamen und Passwort angemeldet haben, sind Cookies im Spiel.

Haben Sie sich schon mal gewundert, woher eine Internetseite Ihren Namen kennt und Sie persönlich begrüßt? Ein auf der Festplatte abgelegtes Cookie sorgt dafür, dass Informationen über Sie gesammelt und bei einem zweiten Besuch vom Server ausgelesen werden. Sie besitzen mit dem Cookie sozusagen eine "virtuelle" Kundennummer, über die Sie beim Besuch identifiziert werden. Das bringt aber auch Vorteile! Dadurch können - z. B. in einem Formular - bestimmte Voreinstellungen automatisch übernommen werden, ohne dass Sie diese jedes Mal mühevoll von vorne eingeben müssen. Ferner wird dadurch teure Onlinezeit gespart. Ein Cookie ist im Grunde nichts anderes als ein kleiner Zwischenspeicher, in den Informationen gesammelt werden.

Wie funktionieren Cookies?

Funktionsweise von Cookies
Cookies werden zusammen mit dem Inhalt der vom Nutzer abgerufenen Webseite an den Browser geschickt. Wenn der Nutzer im Browser eine Webadresse eingibt oder einem Link folgt, dann sendet technisch gesehen der Browser eine Anfrage an den Webserver, auf dem die Webseite liegt. Der Webserver beantwortet diese Anfrage, schickt den Inhalt der Webseite zurück und kann zugleich einen oder mehrere Cookies mitsenden. Der Browser speichert die Cookies ab und stellt die Webseite im Browser dar.

Wenn Sie später eine Webseite vom gleichen Webserver anfordern, so schickt der Browser mit der Anfrage gleich die gespeicherten Cookies des Webservers mit. Auf diese Weise erhält der Webserver bei jedem Webseitenabruf alle Cookies, die er im Browser abgespeichert hat.

Cookies können nur vom eigenen Server ausgelesen werden. Ein fremder Server "B", kommt an Cookie "A" nicht heran!

Problematische Nutzungen von Cookies

Cookies sind im Grunde relativ ungefährlich, denn sie obliegen einer festen Vorgabe. Cookies dürfen nur Text enthalten und keine binären Informationen wie beispielsweise ausführbare Programme. Die Größe ist bei den meisten Browsern auf 4 KByte begrenzt[1]. Eine Gefahr im Sinne von Viren und Trojanern stellen Cookies nicht dar, kein Antivirus-Programm blockiert Cookies.

Anlegen von Nutzerprofilen

Kommerzielle Anbieter nutzen die Möglichkeiten von Cookies, um von Ihnen ein bestimmtes Profil anzulegen. Welche Informationen das im Einzelnen sind, wird nicht verraten. In der Regel sind es Infos zu Ihren Surfgewohnheiten und Interessen. So lässt sich über einen bestimmten Zeitraum ein genaues Protokoll erstellen. Aber nicht nur Online Shops zeigen Interesse an Ihnen. Auch Ihr Arbeitgeber kann sich mithilfe von Cookies die Webseiten anzeigen lassen, die Sie während der Arbeitszeit aufgerufen haben.

Beispiel eines zeitlich beschränkten Cookies von Google.com:

Cookie von Google
Cookie-Inhalt: Google-Spracheinstellung (de = Deutsch).

Die Information die ein Cookie speichert, ist aufgrund seiner Kapazität, sehr begrenzt. Insofern brauchen Sie sich vor dem einen oder anderen Cookie nicht fürchten. Aber je mehr dieser kleinen "Detektive" eingesetzt werden, desto eher sind Sie das Bild des anonymen Surfers los. Mit Tracking Cookies wird richtig Geld gemacht. Tracking Cookies laufen in Datenbanken von Anzeige-Agenturen zusammen und sorgen für ein rundes Bild des Surfers. Wenn genügende Informationen gesammelt wurden, werden die Daten gewinnbringend veräußert!

Selbst kann man leider nur in den seltensten Fällen Informationen aus den Cookies auslesen. Die Inhalte werden meist verschlüsselt gespeichert!

Übernehmen von Sitzungen

Wenn sich ein Nutzer bei einer Website anmeldet, so setzt der Webserver ein Session-Cookie, um damit den angemeldeten Nutzer bei den weiteren Webseitenabrufen – der Sitzung oder „Session“ wiederzuerkennen. Das Session-Cookie ist so lange gültig, bis der Nutzer sich wieder abmeldet.

Wenn der Nutzer sich nicht abmeldet, dann bleibt das Session-Cookie weiterhin gültig. Jemand anders könnte dieses Cookie stehlen und damit die Sitzung übernehmen und im Namen des Nutzers weiter benutzen.

Ähnliches passiert, wenn ein Angreifer die Datenverbindung belauscht oder eine Schadsoftware das Session-Cookie ausspäht. Mit dem gültigen Session-Cookie kann er damit die Sitzung im Namen des Nutzers verwenden, ohne das Passwort erraten zu müssen.

Was kann man dagegen tun? Es ist wichtig, sich am Ende immer von der angemeldeten Website abzumelden. Das können Sie in der Regel über einen Link oder eine Schaltfläche tun, die sich auf der jeweiligen Webseite befindet. Gegen das Stehlen des Session-Cookies, durch Belauschen oder Schadsoftware, helfen Maßnahmen wie ein aktueller Virenschutz, verschlüsselte WLAN-Verbindungen und eine sichere Browser-Verbindung über https (SSL/TLS-Verbindungen).

Sollte ich Cookies zulassen?

Sie kennen nun die Funktion von Cookies. Jeder der von Spionage am PC hört, möchte alle "Agenten" sofort von der Festplatte verbannen oder sie erst gar nicht zulassen. Einfachen drauflos löschen bringt aber auch nichts, denn ohne das Zulassen von Cookies bekommen Sie viele Webseiten erst gar nicht geöffnet! Daher macht es wenig Sinn alle Cookies zu blockieren.

Folgende Taktik ist empfehlenswert: Cookies nur auf vertrauenswürdige Webseiten zulassen. Als gute Hilfe empfiehlt sich die Firefox-, Chrome-Erweiterung Cookie Monster.

Cookies verwalten / löschen

Mozilla Firefox

Cookies im Mozilla Firefox einstellen

YouTube Video
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und das Sie die Datenschutzerklärung gelesen haben.

Google Chrome

Cookies in Google Chrome einstellen

YouTube Video
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und das Sie die Datenschutzerklärung gelesen haben.

Microsoft Edge

Cookies im Microsoft-Browser Edge einstellen

YouTube Video
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und das Sie die Datenschutzerklärung gelesen haben.

Opera

Cookies in Opera einstellen

YouTube Video
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und das Sie die Datenschutzerklärung gelesen haben.

Vorsicht bei Freeware

Nicht alles was einem vermeintlich kostenlos angeboten wird, ist "echte Freeware". Oftmals beherbergen Freeware-Programme Spionagetools, die wesentlich aggressiver sind als Cookies. Was auf den ersten Blick kostenlos ist, entpuppt sich beim genauen Hinsehen als "Trojanisches Pferd". Sie bekommen eine Software geschenkt und müssen dafür "lediglich ein Banner in Kauf nehmen". Hier heißt es Aufpassen: Im Tausch spionieren diese Werbeeinblendungen z. B. aus, zu welcher Uhrzeit Sie Ihre E-Mails lesen uvm. Nach und nach wird Ihre Anonymität aufgelöst.

Webbugs - intelligente Nachfolger von Cookies

Nachdem die Geschwätzigkeit von Cookies mittlerweile bekannt ist, verzichten viele Datenspione auf Cookies und setzen stattdessen Webbugs (Zählpixel) ein. Hierbei handelt es sich um eine Weiterentwicklung von Cookies. Der Trick liegt darin, winzige Bilder, die praktisch unsichtbar sind, in Webseiten zu integrieren. Jedes der Bilder muss vom Webserver geladen werden. Die Server sind für Webbugs jedoch so eingestellt, dass sie Bilder nicht einfach nur liefern, sondern auch genau aufzeichnen, wann die Bilder von wem angefordert wurden. Damit kann zum Beispiel festgehalten werden, wie lange Sie eine Seite besucht haben.

Für den Browser sind Webbugs gewöhnliche Bilder. Darum gibt es auch keine Option gegen diese Art der Spionage.

Webbugs lassen sich sehr viel schwerer erkennen als Cookies. Technisch gesehen würden Sie, sofern Sie mit der Holzhammer-Methode arbeiten, und auf alle Grafiken verzichten, ein trostlos graues Internet vorfinden. Wer möchte das schon? Viele Internetseiten wären auch gar nicht mehr lesbar.

Flash Cookies

Wichtig: Adobe hat den Flash-Player 2020 eingestellt[2]. Die Flash-Technologie ist unsicher und gehört deinstalliert.

Mit dem Flash Player kann sich jeder Computer im Webbrowser sogenannte „Flash“-Filme oder „Flash“-Animationen, wie zum Beispiel Videos oder Werbebanner anzeigen lassen. Der Flash Player ermöglicht neben dem Abspielen der Flash-Objekte auch das Abspeichern und Abrufen von kleinen Dateien ähnlich den Web-Cookies. Diese Dateien, sogenannten „Local Shared Objects“ (kurz LSO), werden umgangssprachlich auch als „Flash Cookies“ bezeichnet.

Im Gegensatz zu den Web-Cookies im Browser werden Flash-Cookies vom Flash Player selbst verwaltet. Wenn Sie also mehrere Browser auf einem Computer gleichzeitig benutzen, werden durch den gemeinsam genutzten Flash Player die gleichen Flash-Cookies ausgelesen. Außerdem kann man Flash-Cookies nicht im Browser direkt verwalten. Web-Cookies können direkt im Browser gelöscht oder blockiert werden.

Unterschiede zu Web-Cookies
  • Flash Cookies unterscheiden sich in wichtigen Punkten von herkömmlichen Web-Cookies.
  • Flash Cookies sind Browser-unabhängig, da derselbe Flash Player von verschiedenen Browsern verwendet wird. Flash Cookies werden daher auch dafür verwendet, um Ihr Surfverhalten unabhängig vom verwendeten Browser beobachten zu können.
  • Flash Cookies können für unbegrenzte Zeit gespeichert werden.
  • Die Größe normaler Cookies ist auf ca. 4000 Zeichen beschränkt. Die Größe von Flash Cookies ist dagegen unbegrenzt.

FAQ: Häufig gestellte Fragen über Cookies

Wer setzt Cookies?

Die Cookies werden von den Betreibern der jeweiligen Webseite gesetzt. Aber auch Dritten ist es möglich, Cookies über die Webseite eines Betreibers zu setzen - über eingebundene Werbung.

Cookies geblockt – Nichts geht mehr?

Blockiert man mithilfe der gängigen Webbrowser sämtliche Cookies, hat das auch eine Kehrseite: Einige Webseiten funktionieren dann einfach nicht mehr. Für diese Seiten muss man, wenn der Browser die Möglichkeit hierzu bietet, Ausnahmen von der Blockierung im Browser einstellen.

Gibt es neben Cookies weitere Techniken, mit denen Informationen gewonnen werden?

Ja, zahlreiche! Beim Pixel-Tracking beispielsweise werden auf den Webseiten Bilder in Pixelgröße eingebettet, über die das Surfverhalten des Nutzers analysiert werden kann. Mit dem Maus-Trackingverfahren lässt sich erkennen, welche Bereiche der Webseite der Nutzer mit seiner Maus angesteuert hat, das heißt, welche Bereiche die Aufmerksamkeit des Nutzers stärker als andere auf sich gezogen haben.

Kann ich mich dagegen wehren, dass meine Daten ausgelesen werden?

Das ist von Technik zu Technik verschieden. Cookies zum Beispiel können mithilfe des Browsers blockiert werden, manchmal allerdings zulasten der Nutzbarkeit der Webseite. Problematisch ist aber, dass der Nutzer sich trotz technischer Möglichkeiten gegen viele Techniken nicht wehren kann. Oft kann er gar nicht erkennen, dass im Hintergrund Daten gesammelt werden. Der Datengewinnung und –verarbeitung kann er deshalb auch nicht widersprechen.

Wozu werden all diese Informationen gesammelt?

Anhand dieser Informationen können umfassende Profile erstellt werden. Welche Seiten besucht der Nutzer besonders häufig? Wofür interessiert er sich? Cookies merken sich Ihre Vorlieben und stimmen die auf Webseiten eingeblendete Werbung darauf ab.

Welche Vorteile hat der Nutzer von der digitalen Profilbildung?

Der Nutzer erfährt über die für ihn geschaltete Werbung von Produkten oder Dienstleistungen, die ihn wirklich interessieren. Jemand, der im Internet nach Fernreisen sucht, bekommt dann vielleicht Werbung von Touristikunternehmen. Das kann die Suche erleichtern.

Welche Nachteile hat die digitale Profilbildung?

Wenn der Nutzer nicht weiß, dass seine Daten gesammelt und zur Profilbildung genutzt werden, kann er die verschiedenen Trackingtechniken auch nicht unterbinden. Der Nutzer hat keine Möglichkeit, sein Recht auf Auskunft und Löschung der Daten wahrzunehmen. Zudem kann sich der Nutzer durch personalisierte Werbeformen beobachtet oder gar verfolgt fühlen.

Wie sieht die Zukunft der Cookies aus?

Die Zukunft von Cookies hängt davon ab, wie sie von Nutzern, Unternehmen und Regulierungsbehörden angenommen und verwendet werden. In den letzten Jahren haben sich viele Nutzer und Unternehmen gegen die Verwendung von Cookies ausgesprochen, insbesondere wegen Bedenken hinsichtlich Privatsphäre und Sicherheit. Im Gegenzug haben Regulierungsbehörden wie die Europäische Union die Verwendung von Cookies durch Unternehmen eingeschränkt, indem sie strengere Datenschutzgesetze eingeführt haben.

Einzelnachweise

  1. microsoft.com: „Most browsers support cookies of up to 4096 bytes.“
  2. microsoft.com: Adobe Flash beendet den Support am 31. Dezember 2020

Letzte Änderung am 01.11.2023: Kleinere Änderungen.
↑ Nach oben