Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Cookie-Management
Der Dienst WWW im Internet ist darauf ausgelegt, Web-Seiten aufzurufen und darzustellen und nicht darauf, Eingaben auf einer Seite zu speichern! Diese Funktion übernehmen Cookies. Doch ist dies so harmlos, wie der Name vermuten lässt?
Funktion eines Cookies:
Das Internet ist ein gewachsenes Medium. Ohne eine Erweiterung der Grundfunktion ist es nicht möglich, durch einen Nutzer Einstellungen über Design und Layout einer Seite dauerhaft festzulegen oder die Anmeldedaten eines Nutzers zu speichern.
Die Anforderungen gerade der letzten Jahre, das Internet geschäftstauglich zu machen, also nicht nur zum Lesen zu verwenden, haben verschiedene Mechanismen hervorgebracht. Die Verwendung von Cookies ist einer davon. Cookies sind kleine Textdateien, die später wieder von dem Webserver (Web-Seite) gelesen werden können, der das Cookie auf Ihrem Rechner gespeichert hat. Sie dienen dazu, Vorlieben und Einstellungen zu speichern, beim Login zu unterstützen bzw. dieses zu ersetzen.
Cookies ergänzen die Web-Seite also um eine Funktion, die eben das Manko eines fehlenden „Gedächtnisses“ beseitigt und ein Speichern von Eingaben, Verlaufsinformation, Account-/Anmeldeinformation etc. ermöglicht.
Aus Nutzer- bzw. Kundensicht dienen Cookies zur Festlegung/Speicherung von Lesezeichen, Einstellungen, Seiten oder Daten, so dass erneute Eingaben überflüssig werden und beispielsweise das Sammeln von „Waren“ ermöglicht werden.
Aus technischer Sicht entspricht dies einer Zuordnung dieser Attribute zum Nutzer. Entweder nur mit Hilfe seines PCs als Identifikationsmerkmal, also Pseudoanonym, oder, je nach Bedarf bei der Nutzung, mit oder ohne eine konkrete Identifikation des Nutzers.
Gute Cookies – schlechte Cookies?
Die meisten Webseiten enthalten Cookies. Was beim bewussten Einkaufen im Internet notwendig und erwünscht kommt an anderer Stelle fast einer Verletzung des Datenschutzes gleich.
Beim Einkaufen ist es notwendig, dass der Verkäufer die Identität des Käufers kennt ein Warenkorb gefüllt wird, eine Versandadresse angegeben und die Form des Bezahlens vereinbart werden.
Werden jedoch beispielsweise nach Anmeldung an ein „Soziales Netzwerk“ oder ein E‑Mail-Konto mit der Funktion „Angemeldet bleiben“ künftig Daten besuchter Webseiten, Online-Shops und Suchanfragen etc. gesammelt ist dies mehr als grenzwertig!
Weiterhin gesellen sich zu den „normalen“ Cookies einer Web-Seite weitere, so genannte „Drittanbieter-Cookies“. Auch diese sind grenzwertig in Ihrem Einsatz, da in erster Linie Anbieter und Werbetreibende davon profitieren. Es sei denn ein Nutzer möchte passend zu seinem bisher gesammelten Profil / Nutzungsverhalten gezielte Infos und Daten bekommen.
Während die ersteren zur Kommunikation mit der aufgerufenen Web-Seite dienen und deren Funktionen erweitern sollen, dienen Drittanbieter-Cookies, beispielsweise von Werbefirmen oder sog. Tracking-Cookies, gezielt der Protokollierung des Surfverhaltens: Welche Seiten werden besonders häufig besucht? Welche Interessen hat der Surfer? Hierzu wird beispielsweise von einem Anbieter auf verschiedenen Web-Seiten der gleiche Banner / die gleiche Werbung angezeigt – und diese setzt ein Cookie. Dies gilt auch für die Buttons der Sozialen Medien wie Facebook, Google und Twitter etc. Damit erhält der jeweilige Anbieter Feedback, wer wie oft auf welchen Seiten war etc.
Cookies dienen also auch dazu, umfassende Profile zu erstellen. Eine mögliche und recht populäre Verwendung besteht darin, personalisierte Werbung passend zum Verlauf bzw. Suchanfragen etc. zu bieten. Wer also z.B. mehrfach Seiten mit Berichten um neue Auto-Modelle oder aktuelle Modetrends aufruft, erhält während er gerade auf ganz anderen Seiten surft Werbung, die eben diese Themen aufgreifen bzw. entsprechende Dienstleistungen anbieten: Schnelle Autos, Autoreparatur, Ersatzteile oder Schuhe, Taschen, Online-Shopping. Mit Cookies ist es damit trotz wechselnder IP-Adressen möglich, einen speziellen Nutzer eindeutig zu identifizieren – und personalisierte Web-Sites bzw. Content (also auch Werbung) anzuzeigen, der speziell auf die inhaltlichen Vorlieben des Nutzers abgestellt ist; bei Verwendung von Sozialen Medien oder angemeldeten E‑Mail-Accounts können auch dessen Name und persönliche Daten verwendet werden. Ein Schelm, wer Böses dabei denkt!
Ein ganz besonderer Mechanismus zur Erstellung von Nutzerprofilen sind Flash-Cookies. Sie sind eigentlich keine Cookies im klassischen Sinne. Da sie speziell konzipiert wurden, nicht nur Web-Seiten-übergreifend sondern sogar Browser-übergreifend zu arbeiten, sollte man ihnen besonderes Augenmerk zukommen lassen: Die Einstellungen des Browsers greifen bei diesen nicht! Sie dienen dazu, ein möglichst vollständiges Bild des Nutzers zu erhalten, der unter Umständen für verschiedene Vorgänge unterschiedliche Browser einsetzt – zur Sicherheit.
Der Unternehmer als Jäger und als Gejagter:
Wer selbst eine Web-Seite anbietet möchte natürlich wissen, ob diese Seite angenommen wird. Und wer Geschäftspartnern ein Login auf geschützte Seiten mit Informationen oder Angeboten ermöglichen möchte, muss dies in irgendeiner Weise realisieren.
Und was bietet sich hierfür an? Genau, Cookies…
Umgang mit Cookies:
Im Browser kann festgelegt werden, ob dieser Cookies annehmen darf/soll oder nicht.
Die einfachste Lösung ist es, im Browser die Verwendung von Cookies zu deaktivieren. Allerdings funktionieren dann alle Web-Seiten nicht mehr, die in irgendeiner Weise Verlaufsinformationen oder feste Einstellungen etc. benötigen. Konkret: Einkaufen oder Teilnahme an Sozialen Netzen ist dann nicht mehr möglich!
Wer gerne mit festen Einstellungen im Browser arbeitet, Einkaufen möchte oder an Sozialen Netzen teilnehmen möchte bzw. grundsätzlich kein Problem mit den Cookies besuchter Seiten hat, kann Erstanbieter-Cookies dauerhaft zulassen. Dieses Konzept sieht vor, dass von jeder Web-Seite nur Cookies dieser Web-Seite (genauer, der Domain, die die Web-Seite zur Verfügung stellt;-) ausgelesen werden können, damit also nur der Urheber des Cookies selbst Zugriff hat.
Etwas ausgefeilter, aber auch aufwändiger ist es, seitenspezifisch festzulegen, wo welche Art von Cookies zugelassen ist.
Und zu guter Letzt – ein paar Tipps:
- Ausloggen aus dem E‑Mail-Account nicht vergessen! – sonst surft man immer unter Zuordnung der eigenen E‑Mail-Adresse! Zur Freude der Analysten und des E‑Business…
- Und nach der Rückkehr aus dem Paradies für Surfer: Cookies bzw. Verlaufsspuren löschen. Dies kann im Browser selbst erfolgen – jedoch mit Ausnahme der sog. Flash-Cookies.
- Zum Löschen von Flash-Cookies ist der Gang in die Systemsteuerung notwendig: In der Kategorie „System und Sicherheit“ befindet sich mit „Flash-Player“ die Konsole zur Einstellung der Eigenschaften. Im Register „Speicher“ können die Verlaufsspuren, darunter die Flash-Cookies, gelöscht werden.
- Alternativ kann der Browser-Modus „Private Browsing“ verwendet werden, hierbei sollten eigentlich alle Verlaufsspuren beim Beenden der Sitzung gelöscht werden. Eigentlich…
- Wer nicht nur die Verlaufsspuren im Browser löschen möchte: Es gibt kleine Tools, die dies erledigen.
P.S.:
Wer sich für die Kommunikation zwischen Server (Web-Seite) und Client (Browser) interessiert, hier eine grobe Skizze der Unterhaltung, die im Cookie selbst, als Ergebnis der Kommunikation, nur als Zahlenkolonne zu sehen ist:
- PC sendet beim Aufruf einer Web-Site eine Identifikations-Kennung als „Login“ an den Server:
- Server sendet an PC ein Cookie, welches die genannte Kennung des PCs beinhaltet, um den Nutzer später wieder zu erkennen:
- Benutzer wählt ein Produkt im Shop aus: Der PC sendet das erhaltene Cookie zur Identifikation zurück und zusätzlich die Info über das ausgewählte Produkt:
- Server sendet an den PC ein weiteres Cookie / ergänzt ein Vorhandenes, welches das ausgewählte Produkt bezeichnet – und zeigt dieses im Warenkorb an:
- <Auswahl des Bezahlsystems>
- …
Bild: © Corinna Dumat / pixelio.de

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

Neueste Kommentare