DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Cookie-Management

Cookies - so harmlos, wie der Name vermuten lässt, oder aus datenschutzrechtlicher Sicht zuviel des Guten?

Der Dienst WWW im Internet ist darauf aus­gelegt, Web-Seiten auf­zu­rufen und dar­zu­stellen und  nicht darauf, Ein­gaben auf einer Seite zu spei­chern! Diese Funktion über­nehmen Cookies. Doch ist dies so harmlos, wie der Name ver­muten lässt?

Funktion eines Cookies:
Das Internet ist ein gewach­senes Medium. Ohne eine Erwei­terung der Grund­funktion ist es nicht möglich, durch einen Nutzer Ein­stel­lungen über Design und Layout einer Seite dau­erhaft fest­zu­legen oder die Anmel­de­daten eines Nutzers zu spei­chern.

Die Anfor­de­rungen gerade der letzten Jahre, das Internet geschäfts­tauglich zu machen, also nicht nur zum Lesen zu ver­wenden, haben ver­schiedene Mecha­nismen her­vor­ge­bracht. Die Ver­wendung von Cookies ist einer davon. Cookies sind kleine Text­da­teien, die später wieder von dem Web­server (Web-Seite) gelesen werden können, der das Cookie auf Ihrem Rechner gespei­chert hat. Sie dienen dazu, Vor­lieben und Ein­stel­lungen zu spei­chern, beim Login zu unter­stützen bzw. dieses zu ersetzen.

Cookies ergänzen die Web-Seite also um eine Funktion, die eben das Manko eines feh­lenden „Gedächt­nisses“ beseitigt und ein Spei­chern von Ein­gaben, Ver­laufs­in­for­mation, Account-/An­­mel­­de­in­­for­­mation etc. ermög­licht.

Aus Nutzer- bzw. Kun­den­sicht dienen Cookies zur Festlegung/Speicherung von Lese­zeichen, Ein­stel­lungen, Seiten oder Daten, so dass erneute Ein­gaben über­flüssig werden und bei­spiels­weise das Sammeln von „Waren“ ermög­licht werden.

Aus tech­ni­scher Sicht ent­spricht dies einer Zuordnung dieser Attribute zum Nutzer. Ent­weder nur mit Hilfe seines PCs als Iden­ti­fi­ka­ti­ons­merkmal, also Pseu­do­anonym, oder, je nach Bedarf bei der Nutzung, mit oder ohne eine kon­krete Iden­ti­fi­kation des Nutzers.

Gute Cookies – schlechte Cookies?
Die meisten Web­seiten ent­halten Cookies. Was beim bewussten Ein­kaufen im Internet not­wendig und erwünscht kommt an anderer Stelle fast einer Ver­letzung des Daten­schutzes gleich.

Beim Ein­kaufen ist es not­wendig, dass der Ver­käufer die Iden­tität des Käufers kennt ein Warenkorb gefüllt wird, eine Ver­sand­adresse ange­geben und die Form des Bezahlens ver­einbart werden.

Werden jedoch bei­spiels­weise nach Anmeldung an ein „Soziales Netzwerk“ oder ein E‑Mail-Konto mit der Funktion „Ange­meldet bleiben“ künftig Daten besuchter Web­seiten, Online-Shops und Such­an­fragen etc. gesammelt ist dies mehr als grenz­wertig!

Wei­terhin gesellen sich zu den „nor­malen“ Cookies einer Web-Seite weitere, so genannte „Drit­t­an­­bieter-Cookies“. Auch diese sind grenz­wertig in Ihrem Einsatz, da in erster Linie Anbieter und Wer­be­trei­bende davon pro­fi­tieren. Es sei denn ein Nutzer möchte passend zu seinem bisher gesam­melten Profil / Nut­zungs­ver­halten gezielte Infos und Daten bekommen.

Während die ers­teren zur Kom­mu­ni­kation mit der auf­ge­ru­fenen Web-Seite dienen und deren Funk­tionen erweitern sollen, dienen Drit­t­an­­bieter-Cookies, bei­spiels­weise von Wer­be­firmen oder sog. Tracking-Cookies, gezielt der Pro­to­kol­lierung des Surf­ver­haltens: Welche Seiten werden besonders häufig besucht? Welche Inter­essen hat der Surfer? Hierzu wird bei­spiels­weise von einem Anbieter auf ver­schie­denen Web-Seiten der gleiche Banner / die gleiche Werbung ange­zeigt – und diese setzt ein Cookie. Dies gilt auch für die Buttons der Sozialen Medien wie Facebook, Google und Twitter etc. Damit erhält der jeweilige Anbieter Feedback, wer wie oft auf welchen Seiten war etc.

Cookies dienen also auch dazu, umfas­sende Profile zu erstellen. Eine mög­liche und recht populäre Ver­wendung besteht darin, per­so­na­li­sierte Werbung passend zum Verlauf bzw. Such­an­fragen etc. zu bieten. Wer also z.B. mehrfach Seiten mit Berichten um neue Auto-Modelle oder aktuelle Mode­trends aufruft, erhält während er gerade auf ganz anderen Seiten surft Werbung, die eben diese Themen auf­greifen bzw. ent­spre­chende Dienst­leis­tungen anbieten: Schnelle Autos, Auto­re­pa­ratur, Ersatz­teile oder Schuhe, Taschen, Online-Shopping. Mit Cookies ist es damit trotz wech­selnder IP-Adressen möglich, einen spe­zi­ellen Nutzer ein­deutig zu iden­ti­fi­zieren – und per­so­na­li­sierte Web-Sites bzw. Content (also auch Werbung) anzu­zeigen, der spe­ziell auf die inhalt­lichen Vor­lieben des Nutzers abge­stellt ist; bei Ver­wendung von Sozialen Medien oder ange­mel­deten E‑Mail-Accounts können auch dessen Name und per­sön­liche Daten ver­wendet werden. Ein Schelm, wer Böses dabei denkt!

Ein ganz beson­derer Mecha­nismus zur Erstellung von Nut­zer­pro­filen sind Flash-Cookies. Sie sind eigentlich keine Cookies im klas­si­schen Sinne. Da sie spe­ziell kon­zi­piert wurden, nicht nur Web-Seiten-über­­­greifend sondern sogar Browser-über­­­greifend zu arbeiten, sollte man ihnen beson­deres Augenmerk zukommen lassen: Die Ein­stel­lungen des Browsers greifen bei diesen nicht! Sie dienen dazu, ein mög­lichst voll­stän­diges Bild des Nutzers zu erhalten, der unter Umständen für ver­schiedene Vor­gänge unter­schied­liche Browser ein­setzt – zur Sicherheit.

Der Unter­nehmer als Jäger und als Gejagter:
Wer selbst eine Web-Seite anbietet möchte natürlich wissen, ob diese Seite ange­nommen wird. Und wer Geschäfts­partnern ein Login auf geschützte Seiten mit Infor­ma­tionen oder  Ange­boten ermög­lichen möchte, muss dies in irgend­einer Weise rea­li­sieren.
Und was bietet sich hierfür an? Genau, Cookies…

Umgang mit Cookies:
Im Browser kann fest­gelegt werden, ob dieser Cookies annehmen darf/soll oder nicht.
Die ein­fachste Lösung ist es, im Browser die Ver­wendung von Cookies zu deak­ti­vieren. Aller­dings funk­tio­nieren dann alle Web-Seiten nicht mehr, die in irgend­einer Weise Ver­laufs­in­for­ma­tionen oder feste Ein­stel­lungen etc. benö­tigen. Konkret: Ein­kaufen oder Teil­nahme an Sozialen Netzen ist dann nicht mehr möglich!

Wer gerne mit festen Ein­stel­lungen im Browser arbeitet, Ein­kaufen möchte oder an Sozialen Netzen teil­nehmen möchte bzw. grund­sätzlich kein Problem mit den Cookies besuchter Seiten hat, kann Erst­an­­bieter-Cookies dau­erhaft zulassen. Dieses Konzept sieht vor, dass von jeder Web-Seite nur Cookies dieser Web-Seite (genauer, der Domain, die die Web-Seite zur Ver­fügung stellt;-) aus­ge­lesen werden können, damit also nur der Urheber des Cookies selbst Zugriff hat.

Etwas aus­ge­feilter, aber auch auf­wän­diger ist es, sei­ten­spe­zi­fisch fest­zu­legen, wo welche Art von Cookies zuge­lassen ist.

Und zu guter Letzt – ein paar Tipps:
 

  • Aus­loggen aus dem E‑Mail-Account nicht ver­gessen! – sonst surft man immer unter Zuordnung der eigenen E‑Mail-Adresse! Zur Freude der Ana­lysten und des E‑Business…
  • Und nach der Rückkehr aus dem Paradies für Surfer: Cookies bzw. Ver­laufs­spuren löschen. Dies kann im Browser selbst erfolgen – jedoch mit Aus­nahme der sog. Flash-Cookies.
  • Zum Löschen von Flash-Cookies ist der Gang in die Sys­tem­steuerung not­wendig: In der Kate­gorie „System und Sicherheit“ befindet sich mit „Flash-Player“ die Konsole zur Ein­stellung der Eigen­schaften. Im Register „Speicher“ können die Ver­laufs­spuren, dar­unter die Flash-Cookies, gelöscht werden.
  • Alter­nativ kann der Browser-Modus „Private Browsing“ ver­wendet werden, hierbei sollten eigentlich alle Ver­laufs­spuren beim Beenden der Sitzung gelöscht werden. Eigentlich…
  • Wer nicht nur die Ver­laufs­spuren im Browser löschen möchte: Es gibt kleine Tools, die dies erle­digen.


P.S.:
Wer sich für die Kom­mu­ni­kation zwi­schen Server (Web-Seite) und Client (Browser) inter­es­siert, hier eine grobe Skizze der Unter­haltung, die im Cookie selbst, als Ergebnis der Kom­mu­ni­kation, nur als Zah­len­ko­lonne zu sehen ist:

  • PC sendet beim Aufruf einer Web-Site eine Iden­­ti­­fi­­ka­­tions-Kennung als „Login“ an den Server:
  • Server sendet an PC ein Cookie, welches die genannte Kennung des PCs beinhaltet, um den Nutzer später wieder zu erkennen:
  • Benutzer wählt ein Produkt im Shop aus: Der PC sendet das erhaltene Cookie zur Iden­ti­fi­kation zurück und zusätzlich die Info über das aus­ge­wählte Produkt:
  • Server sendet an den PC ein wei­teres Cookie / ergänzt ein Vor­han­denes, welches das aus­ge­wählte Produkt bezeichnet – und zeigt dieses im Warenkorb an:
  • <Auswahl des Bezahl­systems>

Bild:  © Corinna Dumat / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.