Wer bereits einmal im Internet unterwegs war, dürfte dabei dem Begriff „Cookie“ schon begegnet sein. Auf fast jeder Webseite erscheint inzwischen ein Pop-up-Fenster mit dem Hinweis: „Diese Webseite verwendet Cookies“. Die meisten Besucher klicken dann einfach OK, ohne weiter darüber nachzudenken. HTTP-Cookies sind kurze Textdateien, in denen Informationen hinterlegt sind und die von der Webseite im Browser gespeichert und ausgelesen werden. Sie bestehen aus einem Namen und einem Textwert, den der Webserver der besuchten Webseite ihnen mitgibt. Darüber hinaus haben sie meist nur eine bestimmte Lebensdauer, nach der sie automatisch gelöscht werden. Sie gelangen zusammen mit den Inhalten der Webseite in den Browser und werden dort hinterlegt. Fordert man dann eine andere Seite auf dem gleichen Server an, erkennt dieser die bereits abgespeicherten Cookies und die darin enthaltenen Informationen. Wichtig ist, dass der Server nur von ihm selbst angelegte Cookies erkennt.
Eine Ausnahme von dieser Regel sind Drittanbieter-Cookies. Diese werden im Gegensatz zu normalen Cookies von externen Servern geladen, meist zusammen mit Multimediainhalten oder Banner-Werbung. Sie erlauben es den Werbetreibenden, nachzuvollziehen, welche Seiten ein Nutzer besucht, um so ein Profil zu erstellen. „Das Prinzip funktioniert eigentlich ganz einfach“, sagt Götz Schartner vom Verein Sicherheit im Internet e. V. „Beim Öffnen einer Webseite mit Anzeigen wird ein Cookie vom Server des Werbetreibenden hinterlegt. Besucht man nun eine andere Seite, auf der dasselbe Unternehmen Werbung geschaltet hat, erhält der Server die Info über den Besuch der ersten Seite.“ So können Surf- und Nutzerprofile erstellt werden, die der Werbende entweder selbst nutzt oder verkauft. Wer damit nicht einverstanden ist, kann Cookies in seinem Browser blockieren und die bereits gespeicherten Textschnipsel in den Einstellungen löschen.
Doch wer Cookies blockiert, kann ein Problem bekommen. Denn auch Webshops, soziale Netze oder News-Portale nutzen sie, um die Funktion ihrer Dienste zu gewährleisten. Schartner erklärt: „Ein schönes Beispiel ist der Warenkorb in einem Online-Shop. Jedes gewählte Produkt wird mit einem Cookie dem Nutzer zugeordnet. So weiß die Seite, Nutzer X hat Produkte A, B und C in seinen Warenkorb gelegt. Bei blockierten Cookies funktioniert das nicht. Gleiches gilt auch, wenn man beispielsweise seine Zahlungs- und Lieferdaten eingeben muss.“ Grund ist ein Problem des HTTP-Protokolls, denn für eine HTTP-Webseite ist jeder Seitenaufruf unabhängig von den vorhergehenden, also auch, wenn es sich um zwei verschiedene Produktseiten eines Anbieters handelt. Cookies ermöglichen es der Seite also, den Nutzer und die Produkte über mehrere Webseiten hinweg zu verfolgen und zu identifizieren. Dafür werden normalerweise sogenannte Session-Cookies eingesetzt, die sich nach dem Ende der „Sitzung“ automatisch löschen. Daneben gibt es aber auch Cookies, die über einen längeren Zeitraum aktiv sind und z. B. individuelle Einstellungen zur gewünschten Sprache oder der Darstellung enthalten. Darin sind jedoch im Normalfall keine persönlichen Daten hinterlegt.
Neben den HTTP-Cookies gibt es sogenannte „Local Shared Objects“, allgemein auch Flash Cookies genannt. Sie werden nicht vom Browser, sondern vom Flash Player verwaltet. Das hat zur Folge, dass Cookies über mehrere Browser hinweg ausgelesen werden können, da alle auf den Flash-Speicher zugreifen. „Wer sich im Netz nicht tracken lassen möchte, sollte also beim Flash-Player die entsprechenden Einstellungen ändern“, warnt Schartner. „Flash-Anwendungen haben jedoch in den vergangenen Jahren stark an Bedeutung verloren. Grund ist die Unsicherheit des Programms.“ Viele Nutzer hätten aus verschiedenen Sicherheitsvorfällen im Zusammenhang mit dem Flash Player ihre Konsequenzen gezogen und das Programm deaktiviert.
Cookies sind also für einen reibungslosen Ablauf im Internet durchaus wichtig. Doch es gibt eine Kehrseite. Neben den bereits angesprochenen Nutzerprofilen, für die Werbetreibende und Marktforscher bares Geld zahlen, existieren noch einige andere Möglichkeiten, wie Kriminelle sich Cookies zunutze machen können. In einigen Cookies sind sensible Nutzerdaten wie Benutzernamen hinterlegt, die der Identifizierung des Nutzers dienen. Durch Fehler in der Programmierung des Browsers, des Add-ons oder des Cookies selbst können diese in seltenen Fällen auch von anderen Servern ausgelesen werden, was Kriminelle und Spähprogramme gerne ausnutzen. „Glücklicherweise können diese Sicherheitslücken durch Updates schnell und einfach behoben werden. Wenn eine neue Lücke bekannt wird, versuchen die Hersteller sie schnellstmöglich zu schließen“, erklärt Schartner und fügt hinzu: „Nicht nur deswegen sollte man Updates immer so schnell wie möglich einspielen!“ Weniger empfehlenswert ist es hingegen, Skripte – also entsprechend spezialisierte Spähprogramme – generell zu verbieten. Denn dadurch kann es beim Surfen zu unerwünschten Problemen kommen. Besser ist es, auf Plug-ins wie NoScript zurückzugreifen, mit denen sich Skripte wie Java gezielt für einzelne Webseiten aus- oder anschalten lassen.
Ein weiteres Problem ist das sogenannte „Session-Hijacking“, bei dem eine Log-in-Sitzung gekapert wird. Meldet sich der Nutzer bei einer Webseite an, setzt diese ein Session-Cookie, um ihn zu identifizieren. Es bleibt solange aktiv, bis man sich wieder abmeldet. Und genau hier liegt das Problem: Meldet man sich nicht ab, bleibt es weiter gültig. „Fängt ein Krimineller einen solchen Cookie ab, beispielsweise über eine ungesicherte WLAN-Verbindung oder einen Trojaner, und der Nutzer beendet seine Sitzung nicht ordnungsgemäß durch Log-out, kann der Hacker die Session übernehmen und munter weiter einkaufen, Daten verändern und ausspähen oder ähnliches“, sagt Schartner. Schutz bieten aktuelle Virenprogramme, die verhindern, dass ein Trojaner sich einnistet und Cookies ausspähen kann. Darüber hinaus sollte man auf eine verschlüsselte WLAN- sowie Browser-Verbindung achten. Letztere ist gut an dem Kürzel „https“ vor der URL zu erkennen. „Steht beides nicht zur Verfügung, weil Sie im Urlaub gerade im Internetcafé Ihren Facebook-Account nutzen oder Ihre E-Mails abrufen, nutzen Sie bitte unbedingt den Log-out-Button! Dadurch wird das Cookie deaktiviert und kann nicht mehr missbraucht werden“, erklärt Schartner.
Über SpardaSurfSafe:
Veranstalter und Träger von SpardaSurfSafe ist die Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg, die gemeinsam mit dem Kultusministerium Baden-Württemberg, dem Verein Sicherheit im Internet e. V. und dem Landesmedienzentrum Baden-Württemberg das Großprojekt im sechsten Jahr durchführt. In Kooperation mit den IT-Sicherheitsexperten der 8com GmbH & Co. KG wurde ein Konzept entwickelt, das die Schüler im Rahmen des Unterrichts im Umgang mit den Neuen Medien aufklärt. „Wir haben das Konzept in den vergangenen Jahren erfolgreich in 19 verschiedenen Städten in Baden-Württemberg mit mittlerweile rund 300.000 Teilnehmern durchgeführt. Dafür bekommen wir durchweg positives Feedback von den Teilnehmern, ob Schüler, Eltern oder Lehrer“, erklärt Patrick Löffler vom Verein Sicherheit im Internet e. V.