Cookies – Komfort und Datenkrake zugleich

Cookies – Wofür braucht man die eigentlich?

Man hört so oft von verschiedenen Fachbegriffen wenn es ums Internet geht. Ob es nun JavaScript, Flash oder Cookies sind. Mal wird gesagt es ist nützlich, mal wird gesagt es ist ganz böse.. Dieser Artikel beschäftigt sich mit Cookies, die genau genommen beides sein können – Gut und Böse.

Aber was sind denn Cookies eigentlich überhaupt?

Cookies sind im Prinzip nichts anderes als kleine Textdateien in denen Informationen über den Besucher einer Website gesammelt werden. Beim Besuch einer Website werden auf dem eigenen Computer – sofern die Nutzung von Cookies erlaubt ist – ein oder mehrere Cookies einer Website gespeichert.

Solch ein Cookie-Datensatz besteht aus diversen Parametern. Unter anderen mindestens aus seinem Namen, seinem Wert und dem Ablaufdatum – jedes Cookie verliert also irgendwann auch seine Gültigkeit. Auch darf ein Cookie nicht grösser als 4 kB sein.

Der Besucher, oder auch User kann durch einen entsprechenden Cookie eindeutig identifiziert werden – auch wenn sich die IP-Adresse ändert. Dazu ist lediglich ein eindeutiger Wert, ähnlich einem Fingerabdruck in einem Cookie nötig, welcher nur einem Benutzer zugewiesen wird.

Eine eindeutige Identifizierung durch Cookies ist auch nicht unbedingt schlimm – denn für den Inhalt eines Warenkorbes in einem Online-Shops ist diese Information sehr wichtig! Sollte aus Versehen der Browser geschlossen werden, so kann durch das Auslesen des Cookies der Warenkorb wieder hergestellt werden. Betrachten wir daher erstmal die verbesserte User-Experience beim surfen durch..

Cookies als unsere Dienstleister

Cookies sollen uns eigentlich als Dienstleister dienen und unsere User-Experience erhöhen. Um dies besser verstehen zu können betrachten wir einfach mal folgenden Cookie in seinem Inneren:

Unser Beispiel eines Cookie-Datensatzes mit dem Namen CookieTheme enthält als Inhalt: theme:2 Was soviel bedeutet wie: Ich besitze eine Variable namens theme, welche den Wert 2 besitzt. Ausgelesen darf dieser Cookie nur von www.beispiel-website.com und wurde unter dem Pfad /cookie-beispiel-website abgespeichert. Dieses Cookie verliert im Laufe des 3. Okt. 2017 seine Gültigkeit und wird dann automatisch wertlos und gelöscht.

Cookies - ein kleiner übersichtlicher Happen, ob nun als Datensatz oder als Keks.
Cookies – nicht mehr als ein kleiner übersichtlicher Happen, ob nun als Datensatz oder als Keks.

Nun stellen wir uns einen fiktiven User vor, welcher den oben erwähnten Cookie bereits besitzt. Dieser User hatte vor einiger Zeit die Website www.beispiel-website.com besucht und konnte zwischen verschiedenen Darstellungsmöglichkeiten wählen. Das Theme 1 ist eher schlicht und einfach mit blauen und grauen Farbakzenten. Das Theme 2 ist farbenfreudiger mit kräftigen Grüntönen.

Wie man an dem Cookie erkennen kann, hat der User sich für das Theme 2 entschieden. Diese Einstellung musste nur einmal vorgenommen werden und kann beim nächsten Besuch vom Cookie ausgelesen werden. Resultat: Das Theme 2 wird automatisch geladen und muss nicht erneut eigenständig angewählt werden.

Damit das Cookie aber nicht am 3. Oktober einfach abläuft und der User dann erneut seine Einstellungen vornehmen muss, werden Cookies in der Regel bei jedem Seitenaufruf aktualisiert. Denkbar wäre z.B. das dieses Cookie immer ein Ablaufdatum von einem Monat in der Zukunft hat. Wenn der User also innerhalb eines Monats die Seite besucht, dann bleiben seine Einstellungen erhalten – ansonsten verfallen diese.

Dieses einfache Szenario kann auf viele Anwendungsfälle übertragen werden. So können z.B. wie bereits weiter oben im Text bereits angedeutet Ihre zuletzt getätigten Einkäufe in einem Online-Shop vermerkt und Ihnen beim nächsten Besuch unter: Sie haben zuletzt gekauft angezeigt werden.

Ihr erneuter Einkauf wird hierdurch ungemein erleichtert – da Sie nicht alle für Sie relevanten Artikel mühsam neu suchen müssen.

Cookies haben also durchaus Ihre Daseinsberechtigung. Ein dauerhaftes blockieren von allen Cookies ist also nicht unbedingt ratsam, da dies bei vielen Websites die Funktionalitäten stark einschränken würde.

Trotz allem darf aber auch nicht vergessen werden, dass Cookies einen recht schlechten Ruf haben – nicht ganz unberechtigterweise.

Denn ebenso wie hilfreiche Cookies, gibt es auch Cookies die dem User keinen Mehrwert bieten und eher schaden können. Kommen wir daher nun einmal zu den…

Bad Cookies

Tja.. so sehr Cookies uns einen Mehrwert bieten können und einmal getätigte Einstellungen speichern können – so können diese auch Funktionen übernehmen die so gar nicht in unserem Interesse liegen.

Dieser Abschnitt behandelt die Cookies die uns unter Umständen eher schaden als nützen.

Tracking-Cookies

Einige Unternehmen haben sich darauf spezialisiert detaillierte Profile über uns anzulegen – um diese zum Anzeigen von personalisierter Werbung zu nutzen, oder um Ihnen Artikel zu einem deutlichen teureren Preis zu verkaufen – da Ihre Interessen und Vorlieben ihres *erschnüffelten* Profils darauf schließen lassen, dass Sie bereit sind für ein bestimmtes Produkt einen teureren Preis zu zahlen.

Diese eher bösen Datenkraken nutzen sogenannte Tracking-Cookies um Ihre Ziele zu erreichen.

Tracking-Cookies sind eine spezielle Art von Cookies welche das Surfverhalten eines Users detailliert aufzeichnen und so dessen Vorlieben und Kaufverhalten analysieren. Diese ganzen Informationen können einem User wiederum eindeutig zugeordnet werden – fertig ist der wertvolle Datensatz.

Ein Tracking-Cookie wird durch Drittanbieter meist in Form von Werbebanner erstellt – Das tückische daran: Dieses Cookie wird auch dann erstellt, wenn der User das Werbebanner nicht einmal anklickt. Eine Website kann also auch über Sie Informationen sammeln, wenn sie die entsprechende Website nie besucht haben. Das Laden des Werbebanners auf einer anderen Website reicht völlig aus!

Jetzt stellen Sie sich einfach mal vor, dass beim Laden eines Werbebanners der Firma X eben diese auf Ihren Rechner prüft, ob Sie bereits über ein Cookie verfügen. Falls nein, dann wird ein Cookie mit einer einmaligen Nummer auf Ihrem Rechner abgelegt. Diese Nummer ist Ihr Fingerabdruck und kann Sie eindeutig identifizieren. Nun surfen Sie gerade auf einer Seite welche Ihnen einen Überblick über die grössten aktuellsten Fernseher gibt – das Cookie vermerkt diese Information gleich mit.

Dann surfen Sie nebenbei nach den aktuellsten Fußballergebnissen. Auf einer Seite wo Sie sich informieren wird von der Firma X ein weiteres Werbebanner eingeblendet, dass über seinen Tracking-Cookie gleich brav mit vermerkt, dass Sie womöglich ein großer Fußballfan sind. Da Sie ja nun bereits ein Cookie von Firma X auf Ihrem Rechner haben wird dieses ergänzt. Firma X weiß nun über Sie, dass Sie große Fernseher mögen und womöglich ein begeisterter Fußballfan sind.

Die Ergebnisse des Fußballspiels haben Sie nun kontrolliert und surfen weiter. Sie landen auf einer weiteren Shop-Seite und suchen gezielt nach Spielekonsolen. Auf dieser Seite ist wieder ein Werbebanner der Firma X.
Ihr Profil bekommt langsam Form.

Das böse Tracking-Cookie weiß nun:
Sie sind ein User, welcher große Fernseher mag, wahrscheinlich ein begeisterter Fußballfan sind und Spielekonsolen mögen.

Jetzt ist bereits der Schritt erreicht wo schon die erste personalisierte Werbung angezeigt werden könnte – womöglich bestehend aus einem teuren Kombi-Paket, in dem Ihnen ein großer Fernseher mit der neuesten Spielekonsole und dem angesagtesten Fußballspiel für die Spielekonsole angeboten werden. Da Sie denken, dass dies ein Super-Angebot für Sie ist schlagen Sie zu – und merken dabei vielleicht gar nicht, dass Sie alles für 300 € weniger hätten haben können.

Wie Sie sehen haben Tracking-Cookies Ihren Nutzen – der aber nicht unbedingt zu Ihrem Vorteil sein muss..

Cookies und Sicherheit

Ein weiteres Risiko bilden Cookies, welche Passwörter in Klartext, also unverschlüsselt in einem Cookie ablegen. Nun könnte man ja meinen, dass so etwas stümperhaftes nur Websites betrifft die von Hobby-Webdesignern erstellt werden welche von Sicherheit sowieso keine Ahnung haben.

Irrtum, das Gegenteil kann der Fall sein! Vor ca. 5  Jahren waren die Passwörter der britischen Santander-Bank im Klartext in einem Cookie gespeichert. Und es ist noch gar nicht solange her wo dieselbe Problematik auch bei McDonalds anzutreffen war. Hier ist es dem Sicherheitsforscher Tijme Gommers gelungen sämtliche Passwörter durch eine weitere Sicherheitslücke (Cross-Site-Scripting-Lücke / XSS) auszulesen.

Sich dagegen zu schützen ist mitunter schwierig, da dies voraussetzt, dass Sie genau wissen was in solch einem Cookie über Sie genau gespeichert wurde. Das kann man wiederum von niemanden erwarten. Daher empfiehlt es sich immer die Cookies der letzten Sitzung zu löschen, wenn Sie sensible Daten eingegeben haben.

Wie sollte man mit Cookies umgehen?

Das kommt im Endeffekt immer auf den einzelnen an. Daher kann man das nicht verallgemeinern. Dem einen ist die totale Sicherheit seiner Daten wichtig, dem anderen ist das völlig schnuppe – Hauptsache das Surferlebnis ist optimal und er muss nicht bei jedem Seitenbesuch alle Daten erneut eingeben.

Sollte ich Tracking-Cookies blockieren?

Ob man nun Tracking-Cookies abschalten sollte oder nicht kommt auf die Sichtweise an. Über Tracking-Cookies werden nun mal Informationen websiteübergreifend über Sie gespeichert. Was genau damit passiert wissen Sie nicht!

Ein Teil Ihrer Daten wird wahrscheinlich genutzt um Ihnen maßgeschneiderte Angebote anzuzeigen, welche gerne auch mal etwas teurer sein können. Auch ist der Verkauf Ihrer Daten an Dritte bei Nutzung von Tracking-Cookies nicht auszuschliessen. Durch die Blockierung von Tracking-Cookies werden aber auch Komfort-Funktionen wie personalisierte Werbung wegfallen, da diese zum größten Teil ebenfalls Tracking-Cookies nutzt.

Wenn Ihnen Ihre Daten wichtig sind und Sie damit leben können auf verschiedene Komfortfunktionen zu verzichten, dann sollten Sie darüber nachdenken Tracking-Cookies abzuschalten. Dazu müssen die Drittanbieter-Cookies blockiert werden.

Eine Anleitung für die gängigsten Browser finden Sie hier:
Firefox: Cookies von Drittanbieter blockieren
Chrome: Cookie-Einstellungen ändern
Safari: Verwalten von Cookies

Passwörter und Sicherheit

Ich persönlich lasse meine Browser keine Passwörter speichern. Browser wie Chrome, Firefox und Co. sind nun mal nicht unbekannt und daher wie alle populären Programme Angriffsziele von Crackern (bösen Hackern).

Niemand kann sagen ob eine zukünftige Sicherheitslücke einen Datenklau von Passwörter möglich macht. Wenn dann zusätzlich noch die Verschlüsselung von den Passwörtern gehackt werden kann stehen dem Angreifer Tür und Tor offen.

Zu guter Letzt..

..denke ich dass es nicht grundlos Bedenken bezüglich Cookies gibt. Die Möglichkeit des Ausspähen persönlicher Daten und die Erstellung von Profilen ist nun mal Realität. Was darüber hinaus mit Ihren Daten passiert kommt prinzipiell auf die Website-Betreiber selbst an. Der Großteil wird diese Daten nutzen um Ihr Surferlebnis zu verbessern, der Rest verkauft Ihr Profil an andere Unternehmen weiter..

Heutzutage kann man sich gegen solche Sachen schwer schützen. Einen großen Riegel davor schieben kann man durch das Blockieren von Tracking-Cookies. Ob man das nun nutzen möchte muss jeder für sich entscheiden, da dadurch auch ein Teil des Komforts wieder verloren geht.

Passwörter sollten einen besonderen Schutz genießen. Ich persönlich denke, dass man seine Passwörter am besten nicht in Browsern speichert, sondern Passwort-Manager nutzen sollte welche nicht in Browser eingebunden sind.

Aber auch hier werden die Sichtweisen auseinander gehen. Was sind eure Erfahrungen? Wie geht Ihr mit dem Thema Cookies, Datenschutz und Sicherheit um? Ich freue mich auf Eure Antworten.