English German

Was sind Cookies? Und wie sollte man mit ihnen umgehen?

12. März 2020 von , IT-Sicherheitsexperte
Cookies
Cookies
Ein eher umstrittenes Thema im Internet sind Cookies. Viele Webseiten benutzen sie aber kaum einer weiß genau, wofür sie gut sind. Muss ich Cookies akzeptieren, und richten sie eigentlich einen Schaden an? Zwei Fragen, mit denen wir uns hier beschäftigen wollen.

Der Begriff Cookie (zu Deutsch „Plätzchen“, „Keks“) hat nichts mit leckeren Keksen zu tun. Wir reden von einem kleinen Datenpaket, der seinen Ursprung im UNIX Programm "fortune cookie" hat. Cookies sind kleine Datensammler. Lässt man den Einsatz von Cookies ungehindert zu, besteht die Gefahr, dass das eigene Surfverhalten im Netz ausspioniert wird. Unterbindet man sie hingegen, bleibt man z.B. in Online-Shops außen vor. Auch der goldene Mittelweg, bei jedem Cookie individuell zu entscheiden, ist nervig, da man beim Surfen ständig von Hinweisen und Rückfragen des Browsers gestört wird.

Was sind Cookies?

Webserver können mit Cookies Informationen im Webbrowser ablegen. Bei jedem folgenden Webseitenabruf erhält der Webserver diese dann wieder zurück. Wozu ist diese Funktion notwendig? Falls Sie je in Ihrem Browser alle Cookies gelöscht haben und danach die Option „Alle Cookies blockieren“ gewählt haben, dann kennen Sie vielleicht diese Situationen:
  • Sie wollen sich bei Ihrem bevorzugten sozialen Netzwerk anmelden. Sie geben Namen und Kennwort ein, aber immer wenn Sie auf „Login“ klicken, werden Sie wiederum aufgefordert, sich einzuloggen. Ihr Browser scheint sich Ihre Anmeldedaten „nicht merken“ zu können.
  • Sie möchten in einem Online-Shop einkaufen. Sie legen Artikel in den virtuellen Warenkorb, aber sobald Sie eine nächste Webseite anklicken, sind alle Waren im Warenkorb verschwunden. Ihr Browser scheint sich die Waren im Einkaufskorb „nicht merken“ zu können.
Die Ursache hinter dem „sich nicht merken können“ sind die blockierten Cookies. Ohne Cookies scheint Ihr Browser also ziemlich vergesslich zu sein. Cookies wurden erfunden, um eine Unzulänglichkeit des HTTP-Protokolls zu überwinden. HTTP ist sozusagen die Sprache, mit der sich Webbrowser und Webserver austauschen, um Webseiten anzufordern und zu erhalten. Die Unzulänglichkeit: Für den Webserver ist jeder Webseiten-Abruf unabhängig von den vorhergehenden Abrufen. Wenn der Nutzer mit seinem Browser zwei Seiten nacheinander ansieht, kann der Webserver nicht erkennen, ob diese beiden Abrufe von demselben Browser kommen. HTTP übermittelt hierzu nicht genug Informationen.

Das ist alles kein Problem, solange der Nutzer nur einzelne Webseiten vom Webserver abruft. Es gibt aber Fälle, bei denen der Webserver Informationen des Nutzers über mehrere Webseiten-Abrufe hinweg speichern muss. Ein klassisches Beispiel dafür ist der Warenkorb in einem Online-Shop. Im Online-Shop wählt der Nutzer auf einer Webseite einen Artikel aus und legt ihn per Klick in den Warenkorb. Eventuell geht er auf eine andere Seite und legt einen weiteren Artikel in den Warenkorb. Wenn es ans Bezahlen geht, muss der Nutzer über mehrere Webseiten hinweg die Zahlungs-Informationen eingeben, wie zum Beispiel die Rechnungsadresse. Schließlich bestätigt er den Kauf und schließt ihn damit ab.

Der Webserver muss für diesen Vorgang über mehrere Webseiten-Abrufe hinweg den Nutzer eindeutig identifizieren können, um die ausgewählten Waren dem entsprechenden Nutzer zuordnen zu können. Sonst wäre ein Online-Geschäft nicht möglich. Da HTTP dazu keine Möglichkeit bietet, wurden Cookies eingeführt.

Bei einem Online-Shop läuft der Einsatz von Cookies etwa so ab: Beim Aufruf der ersten Webseite schickt der Webserver zusammen mit der aufgerufenen Webseite ein Cookie mit einer eindeutigen Identifikationskennung an den Browser zurück. Dieses Cookie wird bei der Artikelauswahl an den Webserver zurückgeschickt, der damit die Auswahl eindeutig dem Nutzer zuordnen kann. Bei jeder weiteren Handlung – Artikel auswählen, andere Webseite abrufen, zur Kasse gehen – wird jedes mal das Cookie an den Server mitgeschickt. So wird sichergestellt, dass alle Abrufe von demselben Browser kommen. Wenn jetzt der Nutzer seine Zahlungsinformationen eingibt, kann er genau identifiziert werden und die richtigen Waren erreichen die richtige Person.

Auf dem deutschen YouTube-Kanal „SemperVideo“ gibt es ein informatives Video zum Thema „Cookies“:
Cookies

YouTube Video
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und das Sie die Datenschutzerklärung gelesen haben.

Wofür werden Cookies eingesetzt?

Cookies werden heutzutage hauptsächlich in drei verschiedenen Bereichen eingesetzt:

Sitzungen

Wenn ein Nutzer mehrere Seiten einer Website besucht, und er für den Webserver über einen gewissen Zeitraum hinweg eindeutig identifiziert ist, wird von einer Sitzung (englisch „session“) gesprochen. Damit der Webserver den Nutzer identifizieren und so eine Sitzung für den Nutzer verwalten kann, werden bestimmte Cookies eingesetzt: die Session Cookies.

Session Cookies werden zum Beispiel beim Einkaufen in Online-Shops eingesetzt, aber auch bei der Anmeldung bei einem sozialen Netzwerk oder einer Webmail-Anwendung. Bei der Anmeldung erhält der Browser ein eindeutiges Session Cookie zurück, dass dann bei den folgenden Webseitenabrufen wie ein Ausweis funktioniert: Mit den Cookie-Informationen erkennt der Webserver bei jedem Seitenaufruf den angemeldeten Nutzer. Solche Session Cookies, die zur Identifikation oder als Ausweis für eine Website verwendet werden, sind häufig gut wiederzuerkennen. Der Name enthält häufig die Zeichenfolge „id“ oder „ID“, und der Wert besteht aus einer langen, aus Zahlen und Buchstaben bestehenden Zeichenkette, zum Beispiel:

> sID=edb0e8665db4e9042fe0176a89aade16

Session Cookies werden nur so lange benötigt, bis der Online-Einkauf erledigt ist, oder die Abmeldung von der Website erfolgt. Danach könnten sie gelöscht werden. Der Webserver kann aber nicht von sich aus die Löschung von Cookies veranlassen. Daher wird dem Cookie in der Regel kein explizites Verfallsdatum mitgegeben. Dadurch werden diese Cookies gelöscht, sobald der Nutzer den Browser beendet. Mit dem Begriff „Session Cookies“ werden aus diesem Grunde auch generell Cookies bezeichnet, die beim Beenden des Webbrowsers automatisch gelöscht werden.

Individuelle Einstellungen

Ein zweites Anwendungsgebiet für Cookies ist die Speicherung von verschiedenen Einstellungen im Zusammenhang mit einer Website. Dies kann das Aussehen der Website betreffen, wie die Schriftgröße, oder die Farbgestaltung, oder auch die angebotenen Inhalte. Wenn beispielsweise Websites Inhalte in mehreren Sprachen anbieten und der Nutzer einstellen kann, welche Sprache ihm bei jedem Besuch angezeigt werden soll, wird diese Einstellung meist durch ein Cookie ermöglicht. Dieses speichert die Sprachwahl, etwa „de“ für Deutsch, oder „fr“ für Französisch. Ein solches Cookie könnte folgendermaßen aussehen:

> sprache=de

Diese Art von Cookies werden über einen längeren Zeitraum gespeichert, damit die Einstellung bestehen bleibt. Sie enthalten keine persönlichen Daten, sondern nur die Werte, mit der die jeweilige Einstellung bezeichnet wird.

Surfverhalten verfolgen

Cookies werden auch dazu verwendet, das Surfverhalten von Nutzern im Internet zu verfolgen: Es wird aufgezeichnet, welche einzelnen Webseiten Sie besuchen. Diese Funktion wird vor allem von der Werbeindustrie genutzt, die mit den Daten so genannte Benutzerprofile erstellt. Die Cookies, die zur Erstellung von Benutzerprofilen eingesetzt werden, speichert Ihr Browser über einen längeren Zeitraum. In der Regel werden für diese Funktion so genannte „Drittanbieter-Cookies“ verwendet. Inzwischen haben alle populären Browser eine Einstellung, mit der diese Drittanbieter-Cookies blockiert werden können. Einige der Browser empfehlen explizit, diese Blockierung zu aktivieren, oder haben sie sogar standardmäßig aktiviert.

So erkennen Sie den Einsatz von Cookies

Auch ohne bestimmte Software und Einstellungen lässt sich leicht erkennen, wenn ein Webangebot Cookies einsetzt. Wann immer Sie auf einer Seite persönlich mit Namen begrüßt werden oder personalisierte Informationen in jeglicher Form verwendet werden, ohne dass Sie sich mit einem Benutzernamen und Passwort angemeldet haben, sind Cookies im Spiel.

Haben Sie sich schon mal gewundert woher eine Internetseite Ihren Namen kennt und Sie persönlich begrüßt? Ein auf der Festplatte abgelegtes Cookie sorgt dafür, dass Informationen über Sie gesammelt, und bei einem zweiten Besuch vom Server ausgelesen werden. Sie besitzen mit dem Cookie sozusagen eine "virtuelle" Kundennummer, über die Sie beim Besuch identifiziert werden. Das bringt aber auch Vorteile! Dadurch können - z.B. in einem Formular - bestimmte Voreinstellungen automatisch übernommen werden, ohne dass Sie diese jedes Mal mühevoll von Vorne eingeben müssen. Ferner wird dadurch teure Onlinezeit gespart. Ein Cookie ist im Grunde nichts anderes als ein kleiner Zwischenspeicher in den Informationen gesammelt werden.

Wie funktionieren Cookies?

Funktionsweise von Cookies
Cookies werden zusammen mit dem Inhalt der vom Nutzer abgerufenen Webseite an den Browser geschickt. Wenn der Nutzer im Browser eine Webadresse eingibt oder einem Link folgt, dann sendet technisch gesehen der Browser eine Anfrage an den Webserver, auf dem die Webseite liegt. Der Webserver beantwortet diese Anfrage, schickt den Inhalt der Webseite zurück, und kann zugleich einen oder mehrere Cookies mitsenden. Der Browser speichert die Cookies ab und stellt die Webseite im Browser dar.

Wenn Sie später eine Webseite vom gleichen Webserver anfordern, so schickt der Browser mit der Anfrage gleich die gespeicherten Cookies des Webservers mit. Auf diese Weise erhält der Webserver bei jedem Webseitenabruf alle Cookies, die er im Browser abgespeichert hat.

Cookies können nur vom eigenen Server ausgelesen werden. Ein fremder Server "B", kommt an Cookie "A" nicht heran!

Problematische Nutzungen von Cookies

Cookies sind im Grunde relativ ungefährlich, denn sie obliegen einer festen Vorgabe. Cookies dürfen nur Text enthalten, und keine binären Informationen, wie beispielsweise ausführbare Programme. Die Größe ist zudem auf 4 KByte begrenzt. Eine Gefahr im Sinne von Viren und Trojanern, stellen Cookies also nicht dar.

Anlegen von Nutzerprofilen

Kommerzielle Anbieter nutzen die Möglichkeiten von Cookies, um von Ihnen ein bestimmtes Profil anzulegen. Welche Informationen das im Einzelnen sind, wird nicht verraten. In der Regel sind es Infos zu Ihren Surfgewohnheiten und Interessen. So lässt sich über einen bestimmten Zeitraum ein genaues Protokoll erstellen. Aber nicht nur Online Shops zeigen Interesse an Ihnen. Auch Ihr Arbeitgeber kann sich mit Hilfe von Cookies die Webseiten anzeigen lassen, die Sie während der Arbeitszeit aufgerufen haben.

Beispiel eines zeitlich beschränkten Cookies von Google.com:

Cookie von Google
Cookie-Inhalt: Google-Spracheinstellung (de = Deutsch).

Die Information die ein einzelner Cookie speichert, ist aufgrund seiner Kapazität, sehr begrenzt. Insofern brauchen Sie sich vor dem einen oder anderen Cookie nicht fürchten. Aber je mehr dieser kleinen "Detektive" eingesetzt werden, desto eher sind Sie das Bild des anonymen Surfers los. Mit Tracking Cookies wird richtig Geld gemacht. Tracking Cookies laufen in Datenbanken von Anzeige-Agenturen zusammen und sorgen für ein rundes Bild des Surfers. Wenn genügende Informationen gesammelt wurden, werden die Daten gewinnbringend veräußert!

Selbst kann man leider nur in den seltensten Fällen Informationen aus den Cookies auslesen. Die Inhalte werden meist verschlüsselt gespeichert!

Übernehmen von Sitzungen

Wenn sich ein Nutzer bei einer Website anmeldet, so setzt der Webserver ein Session Cookie, um damit den angemeldeten Nutzer bei den weiteren Webseitenabrufen – der Sitzung oder „Session“ wiederzuerkennen. Das Session Cookie ist so lange gültig, bis der Nutzer sich wieder abmeldet.

Wenn der Nutzer sich nicht abmeldet, dann bleibt das Session Cookie weiterhin gültig. Jemand anders könnte dieses Cookie stehlen und damit die Sitzung übernehmen und im Namen des Nutzers weiter benutzen.

Ähnliches passiert, wenn ein Angreifer die Datenverbindung belauscht oder eine Schadsoftware das Session Cookie ausspäht. Mit dem gültigen Session Cookie kann er damit die Sitzung im Namen des Nutzers verwenden, ohne das Passwort erraten zu müssen.

Was kann man dagegen tun? Es ist wichtig, sich am Ende immer von der angemeldeten Website abzumelden. Das können Sie in der Regel über einen Link oder eine Schaltfläche tun, die sich auf der jeweiligen Webseite befindet. Gegen das Stehlen des Session Cookies, durch Belauschen oder Schadsoftware, helfen Maßnahmen wie ein aktueller Virenschutz, verschlüsselte WLAN-Verbindungen und eine sichere Browser-Verbindung über https (SSL/TLS-Verbindungen).

Sollte ich Cookies zulassen?

Sie kennen nun die Funktion von Cookies. Jeder der von Spionage am PC hört, möchte alle "Agenten" sofort von der Festplatte verbannen oder sie erst gar nicht zulassen. Einfachen drauflos löschen bringt aber auch nichts, denn ohne das Zulassen von Cookies bekommen Sie viele Webseiten erst gar nicht geöffnet! Daher macht es wenig Sinn alle Cookies zu blockieren.

Folgende Taktik ist empfehlenswert: Cookies nur auf vertrauenswürdige Webseiten zulassen. Als gute Hilfe empfiehlt sich die Firefox-, Chrome-Erweiterung Cookie Monster.

Cookies verwalten / löschen

Mozilla Firefox

Cookies im Mozilla Firefox einstellen

YouTube Video
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und das Sie die Datenschutzerklärung gelesen haben.

Google Chrome

Cookies in Google Chrome einstellen

YouTube Video
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und das Sie die Datenschutzerklärung gelesen haben.

Microsoft Edge

Cookies im Microsoft-Browser Edge einstellen

YouTube Video
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und das Sie die Datenschutzerklärung gelesen haben.

Opera

Cookies in Opera einstellen

YouTube Video
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und das Sie die Datenschutzerklärung gelesen haben.

Vorsicht bei Freeware

Nicht alles was einem vermeintlich kostenlos angeboten wird, ist "echte Freeware". Oftmals beherbergen Freeware-Programme Spionagetools, die wesentlich aggressiver sind als Cookies. Was auf den ersten Blick kostenlos ist, entpuppt sich beim genauen Hinsehen als "Trojanisches Pferd". Sie bekommen eine Software geschenkt und müssen dafür "lediglich ein Banner in Kauf nehmen". Hier heißt es Aufpassen: Im Tausch spionieren diese Werbeeinblendungen z.B. aus, zu welcher Uhrzeit Sie Ihre E-Mails lesen uvm. Nach und nach wird Ihre Anonymität aufgelöst.

Webbugs - intelligente Nachfolger von Cookies

Nachdem die Geschwätzigkeit von Cookies mittlerweile bekannt ist, verzichten viele Datenspione auf Cookies und setzen stattdessen Webbugs (Zählpixel) ein. Hierbei handelt es sich um eine Weiterentwicklung von Cookies. Der Trick liegt darin, winzige Bilder, die praktisch unsichtbar sind, in Webseiten zu integrieren. Jedes der Bilder muss vom Webserver geladen werden. Die Server sind für Webbugs jedoch so eingestellt, dass sie Bilder nicht einfach nur liefern, sondern auch genau aufzeichnen, wann die Bilder von wem angefordert wurden. Damit kann zum Beispiel festgehalten werden, wie lange Sie eine Seite besucht haben.

Für den Browser sind Webbugs gewöhnliche Bilder. Darum gibt es auch keine Option gegen diese Art der Spionage.

Webbugs lassen sich sehr viel schwerer erkennen als Cookies. Technisch gesehen würden Sie, sofern Sie mit der Holzhammer-Methode arbeiten, und auf alle Grafiken verzichten, ein trostlos graues Internet vorfinden. Wer möchte das schon? Viele Internetseiten wären auch gar nicht mehr lesbar.

Flash Cookies

Wichtig: Adobe stellt den Flash-Player 2020 ein. Die Flash-Technologie ist unsicher und gehört deinstalliert.

Mit dem Flash Player kann sich jeder Computer im Webbrowser so genannte „Flash“-Filme oder „Flash“-Animationen, wie zum Beispiel Videos oder Werbebanner anzeigen lassen. Der Flash Player ermöglicht neben dem Abspielen der Flash-Objekte auch das Abspeichern und Abrufen von kleinen Dateien ähnlich den Web-Cookies. Diese Dateien, so genannten „Local Shared Objects“ (kurz LSO), werden umgangssprachlich auch als „Flash Cookies“ bezeichnet.

Im Gegensatz zu den Web-Cookies im Browser werden Flash-Cookies vom Flash Player selbst verwaltet. Wenn Sie also mehrere Browser auf einem Computer gleichzeitig benutzen, werden durch den gemeinsam genutzten Flash Player die gleichen Flash-Cookies ausgelesen. Außerdem kann man Flash-Cookies nicht im Browser direkt verwalten. Web-Cookies können direkt im Browser gelöscht oder blockiert werden.

Unterschiede zu Web-Cookies
  • Flash Cookies unterscheiden sich in wichtigen Punkten von herkömmlichen Web-Cookies.
  • Flash Cookies sind Browser-unabhängig, da derselbe Flash Player von verschiedenen Browsern verwendet wird. Flash Cookies werden daher auch dafür verwendet, um Ihr Surfverhalten unabhängig von verwendeten Browser beobachten zu können.
  • Flash Cookies können für unbegrenzte Zeit gespeichert werden.
  • Die Größe normaler Cookies ist auf ca. 4000 Zeichen beschränkt. Die Größe von Flash Cookies ist dagegen unbegrenzt.
↑ Nach oben