Sind Cookies gefährlich?
Die dunkle Seite der Zauberkekse
Sind Cookies gefährlich? – Cookies sind Textdateien. Während des Surfens kann so der Browser Informationen speichern und zurückschicken. Nicht erst in der NSA-Affäre sind die Daten-Kekse in die Kritik geraten. Laut einem Berichte der „Washington Post“ wurde damals klar, dass auch der US-Geheimdienst über Cookies an vertrauliche Informationen kommt. Vor allem aber Online-Handel und Werbe-Wirtschaft bedienen sich in großem Maße Cookies, um Verbraucher-Daten zu sammeln und zu speichern. – Doch warum gibt es Cookies überhaupt? Sind sie tatsächlich gefährlich? Wie kann man sich davor schützen? Und ist ein Internet ohne Cookies überhaupt denkbar?
Was sind Cookies?
Das Internet funktioniert nach dem Frage-Antwort-Prinzip. Du sendest mit dem Browser eine Anfrage. Zum Beispiel über einen Link oder die direkte Eingabe einer www-Adresse. Der Server schickt die angeforderte Seite zurück. So läuft das World Wide Web.
Wird anschließend eine neue Seite angefragt, beginnt das Spiel von vorn. Gespeichert wird dabei zunächst nichts. Man spricht in der Informatik von einem „zustandslosen“ Protokoll. Mit jedem neuen Seiten-Download hat der Browser alles wieder vergessen, was bisher geschah. – Als das Internet 1989 seine heutige Gestalt annahm, ging es schließlich um nicht mehr als genau das: Dokumente für die Forschung weltweit lesbar zu machen.
Erst mit der Kommerzialisierung des Word Wide Webs wurde dieses Request-Response-Modell zu einem Problem. Denn es gibt eine Menge Anwendungen, bei denen es wünschenswert ist, Informationen über einen Seitenaufruf hinweg zu speichern.
Andernfalls wäre es unmöglich, in einem Online-Shop im Laufe einer Sitzung mehr als einen einzigen Einkauf zu tätigen. Sobald die erste Seite verlassen ist, hätte der Browser den Warenkorb wieder gelöscht.
Hier beginnt die Arbeit der Cookies. Dies sind kleine frei beschreibbare Text-Dateien. Sie bieten dem Browser Platz, um gezielt Informationen zu speichern. Den Inhalt eines Warenkorbs, Nutzer-Einstellungen oder Login-Daten. Je nach Maßgabe der besuchten Internet-Seite. – Cookies sind das Gedächtnis Deines Browsers.
So werden beim durchschnittlichen Seitenaufruf einer kommerziellen Startseite laut einer aktuellen Statista-Studie immerhin 55 Cookies auf Dein Gerät geschickt. Auf Produktseiten, zum Beispiel bei Amazon, sind es im Mittel sogar 78.
Das Verfahren, innerhalb eines Datenstroms einzelne Informationen getrennt auszulagern und zu übergeben, machte bereits bei Ihrer Erfindung 1979 einen solchen Eindruck, dass man die kleinen Daten-Pakete als „Magic Cookie“ bezeichnete.
Auf die Idee, die Zauberkekse auch in die Internetwelt aufzunehmen war der Netscape-Programmieren Lou Montulli, der auch die animierten Gifs einführte. Zur ersten Internetseiten mit Live Bildern überhaupt gehört sein Internet-Aquarium. Seine Fishcam ist die älteste Web-Kamera, die heute noch online ist
Was macht Cookies gefährlich?
Jeder aus dem Internet eingeschleuste Programm-Code ist eine Gefahr. Er kann sich Zugriff zu Deiner Hardware oder Deinen Dateien verschaffen, sie manipulieren oder gar löschen.
Als man Cookies 1994 für den Browser Netscape-Navigator einführte, war man sich dieses Risikos bewusst. Deshalb können Cookies genau dies nicht. Denn ihre Programm-Sprache Javascript ist nur für den Browser verständlich. Für den Rest des Computers ist sie unwirksames Kauderwelsch.
Dein Browser behält zu jedem Zeitpunkt die volle Kontrolle über die Cookies-Päckchen. Verwalten und Löschen ist jederzeit möglich. Auch Anzahl und Größe von Cookies sind begrenzt. Viele Browser löschen Cookies heute sogar regelmäßig automatisch, ohne dass Du es mitbekommst. Anders als Viren sind Cookies also für Handy und Rechner aus technischer Sicht absolut harmlos.
Eine Risiko sei hier allerdings erwähnt: Cookies auf öffentlich zugänglichen PCs, zum Beispiel im Internet-Café, können tatsächlich eine Gefahr darstellen. Denn hier lassen sich unter Umständen Browser-Daten, wie zum Beispiel Login-Infos im Nachhinein wieder herstellen. Auch manche soziale Netzwerke nutzen Cookies, damit Du angemeldet bleibst, selbst wenn der Browser geschlossen ist. Daher sollten Cookies nach einem Login auf einem fremden Gerät immer gelöscht werden. Sonst droht Daten-Klau.
Tracking: Die dunkle Seite des Cookies
Wenngleich Cookies für Daten und Hardware nicht gefährlich sind, haben sie dennoch eine Schattenseite. Cookies ermöglichen es, über alles, was innerhalb Deines Browser-Fensters geschieht, Informationen zu sammeln und dem Website-Anbieter zurückzusenden. Das ist zwar nicht schädlich, aber aus Sicht des Datenschutzes oft bedenklich.
Es gibt zwei Arten von Cookies. Session-Cookies speichern Daten während des Aufenthaltes auf einer Website, zum Beispiel beim Shoppen. Sie werden automatisch gelöscht, sobald der Browser geschlossen wird. Dauerhafte Cookies hingegen können Informationen über einen beliebig langen Zeitraum sammeln und senden.
So können über Cookies eine Menge Daten gespeichert und weitergereicht werden. Zum Beispiel, wie oft ein Du eine Seite besuchst, was Du klickst oder wie lang Du welches Video anschaust.
Auch der Browser stellt Daten über Dich bereit, die abgefragt und in Cookie-Form weitergereicht werden können: Welches Gerät und welches Betriebssystem und welche Sprach-Einstellung nutzt Du? – Bist Du mit einem Account eingeloggt, können solche Informationen weiter zu detailreichen Profilen verknüpft werden.
Dem beliebten Tracking-Dienst Google Analytics gelingt es sogar, allein über Dein Surf-Verhalten zu identifizieren, welche Interessen Du hast, ob Du vor einem Wohnungs- oder Jobwechsel stehst, Deine Hochzeit planst oder gerade schwanger bist. Informationen, die besonders interessant für Werbeanbieter sind.
Dies alles ist an sich nicht unbedingt verwerflich. Es macht Online-Anbietern im besten Fall möglich, Informationen zu gewinnen, um das Online-Angebot zu verbessern. – Solang das Tracking freiwillig und transparent geschieht. Verbraucherschützer bezweifeln aber genau dies. Lange war daher die sachgemäße Verwendung von Cookies eine juristische Grauzone und Gegenstand großer Prozesse.
So wurde Google in diesem Zusammenhang mehrfach zu hohen Strafen verurteilt. Der IT-Riese hatte bis 2012 eine Lücke im Safari-Browser ausgenutzt, um sich über die Datenschutz-Einstellungen hinwegzusetzen und gegen den Willen der Nutzerinnen und Nutzer Cookies zu sammeln. Die Strafe: 22,5 Millionen Dollar. – Das Bundeskartellamt untersagte erst im Juni 2020 Facebook, Datenmengen unterschiedlicher Quellen wie WhatsApp oder Instagram zusammenzuführen, und so Profile zusammenzustellen.
Third-Party-Cookies
Besonders die Weitergaben der gesammelten Daten an Dritte – sogenannte „Third Party Cookies“ – geraten immer wieder in die Kritik. Sie werden vor allem genutzt, um personalisierte Werbung zu schalten. Dabei werden Cookies über Werbenetzwerke, mit denen ein Seiten-Betreiber kooperiert, in Deinen Browser geschleust. – Bedenklich sind solche Drittanbieter-Cookies auch, da 93 Prozent von ihnen aus Ländern stammen, die sich gar nicht auf das europäisches Recht berufen und somit auch nicht an deutsche Datenschutz-Bestimmungen halten.
Die Kritik an solchen Third-Party-Cookies und die juristische Auseinandersetzungen darum sind nicht ohne Folgen geblieben. Der Spielraum, was cookie-mäßig im Rahmen des Datenschutzes überhaupt noch möglich ist, wird zunehmend kleiner. – Vor wenigen Wochen kündigten die Entwickler des Chrome-Browsers sogar an, ab 2022 gar keine Third-Party-Cookies mehr zuzulassen.
Seit dem letzten Urteil des Europäischen Gerichtshofs Ende Mai 2020 ist inzwischen auch geregelt: Nur bei ausdrücklicher Zustimmung, darf ein Anbieter überhaupt noch Cookies setzen. Durch diese neue „Opt-in“-Regelung wird wohl die Akzeptanz von Tracking-Cookies weiterhin abnehmen.
Durch Browser-Blockaden, automatisiertes Löschen oder das Sperren von Cookies beim Opt-in, ist die Daten-Ausbeute bereits heute so gering, dass der Online-Handel längst nach Alternativen sucht.
Cookies-Alternative: Fingerprint-Tracking
Wer am meisten über seine Kundschaft weiß, kann am besten verkaufen. Beim Cookie-Tracking geht es nicht um Spionage, sondern um Marktwirtschaft und Monopol.
Personalisierte Werbung macht heute den gigantischen Anteil von 76 Prozent im Werbemarkt aus. Anders als bei TV- oder Print-Medien können beim „Programatic Marketing“ sehr gezielt – und damit möglichst ohne Streu-Verluste – Produkte beworben werden. Eine von Google durchgeführte Studie nahm vorweg, dass sich die Einnahmen der weltweiten Top-500-Werbe-Anbieter um 52 Prozent verringern werde, sollte die Datenauswertung über Cookies vollständig zusammenbrechen.
Cookies sind Werkzeug eines milliardenschweren, wenn auch bereits zusammenbrechenden Marktes. Es ist also verständlich, dass längst fieberhaft nach Alternativen gesucht wird.
Eine Alternative zu den Third-Party-Cookie ist das Fingerprint-Tracking. Bei diesem Verfahren werden User anhand ihres einzigartigen Profils von Browser-Daten ausgemacht. Die individuelle Kombination von Gerät, Standort, installierten Schriftarten oder Plugins können Dich dabei in der Regel eindeutig identifizieren.
Der Vorteil für die Daten-Sammler: Anders als beim Cookie-Tracking funktioniert diese Methode auch im privaten Surf-Modus. Sie kann nicht durch Anzeigen-Blocker oder Löschen von Daten verhindert werden.
Allerdings hat auch hier der Krieg zwischen Browser-Herstellern und Tracking-Diensten längst begonnen, so dass einige Browser bereits sehr sparsam mit Daten sind, welche sie zurücksenden.
Legal ist diese Cookie-Alternative nicht. Das Speichern von personenbezogenen Daten unterliegt genauso wie Cookie-Tracking der Einwilligungspflicht. Es bleibt also abzuwarten, was die Werbe-Wirtschaft sich einfallen lassen wird, um die Verluste, die durch die geschwächten Cookie-Verkehr entstehen, wieder auszugleichen.
Technisch möglich ist vieles. Daher heißt es, weiterhin wachsam bleiben, um zu verhindern, dass Datenkraken und Monopole uns in Zukunft allzu sehr auf den Keks gehen werden.
Hier zum nächsten Artikel: Wie gefährlich ist 5G?
