7. April 2014 - Online-Datenschutz

So vermeiden Sie Cookie- und Identitätsdiebstahl

Cookies werden nicht nur ohne Information der Internetnutzer auf den Computern gespeichert, sie werden von dort auch gestohlen. Bestimmte Verfahren können Cookies und damit auch digitale Identitäten sicherer machen. Doch sie werden oft nicht genutzt.

Thinkstock/Stefan Marin Cookies können wichtige Informationen über den Internetnutzer enthalten, wie z. B. Logindaten. (Bild: Thinkstock/Stefan Marin)

Cookies sind doppelt gefährlich

Wenn es um Cookies und Datenschutz geht, denkt man unwillkürlich an unvollständige Datenschutzerklärungen, an die heimliche Speicherung von Cookies auf den Festplatten ahnungsloser Nutzer und an Online-Tracking. Doch Cookies tragen weitere Gefahren in sich: Sie können auch gestohlen werden und mit ihnen vielfach die digitale Identität des Nutzers. Denn oftmals werden Cookies als Nachweis der erfolgten Benutzeranmeldung gespeichert. Gestohlene Cookies entsprechen dann gestohlenen Zugängen.

Cookiediebstahl auch auf Smartphones

Der Identitätsdiebstahl durch Diebstahl der Cookies greift weiter um sich, obwohl bereits seit längerem vor Cookiediebstahl gewarnt wird. Erst kürzlich haben Sicherheitsforscher gezeigt, wie sich auf Smartphones Nutzerprofile übernehmen lassen, indem zum Beispiel gespeicherte Cookies entwendet werden, unter anderem über Schwachstellen im mobilen Browser.

Cookie-Sicherheit verstehen und verbessern

Um zu verstehen, wie sich Cookies und damit digitale Identitäten besser schützen lassen, lohnt sich ein Blick darauf, wie Cookies gestohlen werden: Der wesentliche Trick bei einem Cookiediebstahl ist es, Cookies anders auszulesen, als dies der Webseiten-Anbieter eigentlich vorsieht:

Um zu vermeiden, dass sich ein Nutzer auf jeder einzelnen Seite einer zugangsgeschützten Website anmelden muss, wird die einmal erfolgte Anmeldung in Form eines Cookies gespeichert, und zwar bis zur Abmeldung des Nutzers. Wechselt man die Webseite nach der Anmeldung, prüft die Folgeseite anhand des Cookies, ob man bereits ein Login vorgenommen hat. Ein gestohlenes Cookie kann deshalb den Login-Prozess ersetzen und eine falsche Identität vortäuschen.

Dazu fragt der Angreifer speziell Sitzungs-Cookies ab und liest deren Inhalt aus, obwohl dies nur die Website selbst können sollte. Möglich wird dies, wenn die Website-Sicherheit nicht verhindert, dass externe Skripte Befehle über den Browser übertragen können (sogenannte XSS-Sicherheitslücke).

Cookies vor unerlaubtem Zugriff schützen: Das Secure Cookie

Ziel eines Identitätsschutzes im Internet und damit des Online-Datenschutzes muss es somit auch sein, unbefugte Zugriffe auf Cookies zu vermeiden, nicht nur um heimliches Online-Tracking zu verhindern. Eine wesentliche Methode für mehr Cookie-Sicherheit nennt sich Secure Cookie: Ein Secure Cookie trägt im Gegensatz zum normalen Cookie eine Markierung, dass es nur verschlüsselt übertragen werden darf.

Eine weitere Einstellung legt fest, dass Cookies nur über http / https ausgelesen werden dürfen (HttpOnly Flag). Fehlt diese Sicherheitseinstellung, könnte es auch einem Angreifer-Skript (meist JavaScript) möglich sein, vertrauliche Daten aus den Cookies auszulesen, um eine Identität zu stehlen. Möglich ist es auch, die Domain einzuschränken, von der aus ein Cookie ausgelesen werden darf.

Damit diese Sicherheitsmechanismen greifen, muss der Webseiten-Betreiber die Cookie-Einstellungen entsprechend vornehmen, aber auch die Nutzer müssen einen Browser verwenden, der zum Beispiel HttpOnly überhaupt unterstützt. Nutzen Sie deshalb die Checkliste, um die Cookie-Sicherheit gezielt zu hinterfragen.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Fachjournalist und IT-Analyst

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln