8. März 2010 - Online-Datenschutz

Neue Gefahren durch Cookies

Cookies sind vielen Internetnutzern ein Begriff. Die Gefahr durch Cookies wird aber unterschätzt. Der Cookie-Manager im Browser reicht nicht, um alle Arten von Cookies abzuwehren. Cookies können sogar zum Sicherheitsleck werden, wenn eine Website angegriffen wird. Damit nicht genug, können Cookies auch zur Verwechslung von Online-Profilen führen und dabei Unbefugten personenbezogene Daten preisgeben.

neue-gefahren-durch-cookies.jpeg
Cookies können zum Sicherheitsrisiko werden (Bild: Thinkstock)

Wenn Sie in Ihrer Datenschutz-Schulung auf das Thema Cookies zu sprechen kommen, wird sich so mancher Zuhörer denken: „Das kenne ich doch schon längst!“.

Tatsächlich ist das Verfahren, kleine Textdateien als Identifikationsmerkmal vom Webserver aus auf die lokale Festplatte des Internetnutzers abzulegen, weit verbreitet und gut bekannt.

Cookie ist nicht gleich Cookie

Weniger bekannt sind da schon die verschiedenen Arten von Cookies. Neben den Text-Cookies oder http-Cookies gibt es auch Flash-Cookies und andere Super-Cookies, die sich nicht ohne Weiteres den Einstellungen im Cookie-Manager des Browsers unterwerfen. Wer also sämtliche Cookies über den Cookie-Manager blockiert, bekommt trotzdem welche.

Aber das ist nicht alles, was Cookies an Risiken mit sich bringen. Das wird schnell deutlich, wenn man sich klar macht, wofür Cookies genutzt werden, insbesondere:

  • zur Umsetzung von virtuellen Warenkörben beim Online-Shopping,
  • zur Speicherung von Präferenzen und Einstellungen des Online-Nutzers, aber auch
  • nach dem Login mit Benutzernamen und Passwort, um eingeloggte Nutzer von Nutzern ohne Login zu unterscheiden.

Cookies sind Teil der Online-Identität

So werden Cookies auch von sozialen Netzwerken eingesetzt und werden dabei Teil der digitalen Identität. Wenn Cookies nun vertauscht oder verwechselt werden, kann es auch zu einer Vertauschung der Online-Profile kommen. Dann aber sieht ein Unbefugter die personenbezogenen Daten eines anderen.

So ist es einer US-Amerikanerin ergangen, die sich über den Provider AT & T auf ihrem Smartphone bei Facebook einloggen wollte. Statt nach Benutzernamen und Passwort gefragt zu werden, bekam sie gleich das Profil eines anderen Facebook-Nutzers angezeigt.

Passieren konnte dies nach ersten Untersuchungen unter anderem wegen einer fehlenden Zugangsverschlüsselung und der Verwechslung von Cookies.

Cookies sind auch mobil

Generell kann die mobile Internetnutzung über Smartphones zu Problemen mit Cookies führen. Nicht jeder mobile Webbrowser hat einen Cookie-Manager, trotzdem werden auf Mobiltelefonen genauso Cookies abgelegt wie auf PCs und Notebooks.

Und selbst wenn ein Cookie-Manager auf dem Smartphone vorhanden ist, bietet er oftmals nur das manuelle Löschen der Cookies, nicht aber einen automatischen Prozess, um Cookies direkt zu vermeiden.

Cookies werden angegriffen und gestohlen

Cookies sind aber auch ein beliebtes Angriffsziel. Sie werden gestohlen, um die in ihnen enthaltenen Daten zu erlangen (Cookie-Diebstahl) oder sie werden verändert, um z.B. Warenkörbe in Webshops zu manipulieren (Cookie-Poisoning). Doch es gibt noch mehr Angriffsformen mit Cookies.

Cookies als Hintertür in die Website

Besonders heimtückisch ist die Angriffsgefahr, die sich durch Cookies in Verbindung mit Subdomains auftut, also mit Unterseiten eines Webauftritts. Wenn eine Website solche Subdomains verwendet, um zum Beispiel den Shop von der Hauptinternetseite des Unternehmens zu trennen, können Schwachstellen des Shops genutzt werden, um auch die Haupt-Website anzugreifen.

So können Subdomains auch Cookies für die Haupt-Domain setzen, also shop.beispiel.com für beispiel.com. Dadurch kann ein manipuliertes Cookie der attackierten Subdomain das echte Cookie der Hauptdomain überschreiben.

Logins lassen sich verändern oder User aussperren

Je nach Verwendungszweck des Cookies könnte zum Beispiel das gespeicherte Login verändert werden oder der Anwender wird aus der echten Website ausgesperrt (Login wird gelöscht) und dann zu einer Phishing-Site geführt, um dort die erneut eingegebenen Zugangsdaten zu stehlen. Die Spielarten, wie sich Cookies missbrauchen lassen, sind leider mannigfaltig.

Gehen Sie also in Ihrer Datenschutz-Schulung auch auf Cookies ein. Warnen Sie die Kolleginnen und Kollegen vor ihnen bisher unbekannten Gefahren. Nutzen Sie dazu die Checkliste zu den Cookie-Gefahren.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln