Fast jeder hat schon mal von Cookies gehört. Aber nur wenige wissen, welche Bedeutung sie für Webseiten haben. Webseiten werden in HTML-Code beschrieben und über HTTP übertragen. HTTP ist ein zustandsloses Protokoll. D.h. jede Anfrage steht, ohne Hilfsmittel, für eine eigenständige Abfrage von Daten. Im Klartext, es wäre nicht möglich eine Sitzung oder andere Dinge auf einer Webseite bzw. auf dem Webserver zu erkennen. Also hat man sich zu Beginn des Webzeitalters für kleine Textdateien entschieden, die wir heute Cookies nennen. Cookies können alles mögliche enthalten. Allerdings dürfen diese Cookies bestimmte Grenzen nicht über- bzw. unterschreiten, wie z.B. die Dateigröße (ca. 4096B – 4MB) oder die Anzahl von Cookies pro Domain (min. 50 Stück). Diese Regeln sind in der RFC 6265 festgehalten und jeder Browserhersteller sollte sich an diese minimal Regeln halten.

Sind Cookies gefährlich?

Ein Cookie ist ein Konstrukt, welches es Webentwicklern ermöglicht, Content zu kreieren, der auf den jeweiligen Benutzer zugeschnitten ist. Das bedeutet, pauschal kann man nicht sagen, dass Cookies schlecht oder gut sind. Der Umgang mit diesem Werkzeug ist entscheidend, genauso wie bei einem Hammer. Jeder, der diese Informationen verarbeitet, ist auch dafür verantwortlich, wie mit diesen Informationen umgegangen wird. Ebenso entscheidend ist, wie die Browserhersteller mit diesen Informationen umgehen. Lässt mein Browser beispielsweise zu, dass Cookies von fremden Webseiten ausgelesen werden können, ist dies eine schwere Sicherheitslücke.

Anders sieht es beispielsweise aus, wenn ich einen großen Webservice benutze, um meine Besucher zu zählen. Um diese Zählung zu ermöglichen, muss ich als Dienstanbieter in der Lage sein, bekannte Benutzer zu erkennen. Schließlich will ich nicht wissen, wie oft meine Seite angeschaut wird. Ich möchte wissen, wie viele Personen mich besucht haben. In den Anfängen des Webs gab es nur stupide Zähler, die alles gezählt haben, nur nicht die Benutzer. Google hat dann erkannt, dass sie Dienste benötigen, um Benutzer zu klassifizieren. Also schuf Google ein Werbenetzwerk und Webseiten-Tools, um die Webseitenbetreiber an sich zu binden. Schließlich will doch “jeder” Geld verdienen, und wenn das mit Google so einfach ist, na dann baue ich mir halt den Code von denen in meine Webseite ein. Mittlerweile ist Google so mächtig, dass es eigentlich das ganze Internet in der Hand hat. Fragt man einen Webseitenbetreiber nach AdWords oder Analytics, wird dieser bestätigen, dass er diese Dienste kennt und auch schon mal benutzt hat.

Tracking ohne Cookies

Google ist sozusagen in der Lage, mit dem verteilten Code in Echtzeit zu erkennen, welche Interessen und Themen gerade bei den Nutzern gefragt sind. Google hat folglich die Basistechniken in der Hand, und die Techniken, welche fehlen, werden eingekauft.

Meine Seite war hier schon etwas sonderbar, denn ich habe das Google-Tracking nicht aktiv eingebunden. Anfangs war mir der Aufwand zu hoch, die entsprechenden und nervigen Popups auf meiner Seite zu implementieren. Dennoch könnte Google anhand der eingebundenen Schriften oder Skript-Bibliotheken erkennen, welche User sich bei mir befinden. Google versichert zwar, dass diese Daten nicht zu Identifizierungszwecken missbraucht werden. Jedoch würde ich einem Unternehmen, welches mit dem Handeln von Daten sein Geld verdient, nicht unbedingt trauen. Schließlich etablierten diese Firmen den Überwachungskapitalismus und präsentierten somit ihre Sicht auf unser Wertesystem. Auch ist es nicht mehr zwingend notwendig, Cookies zu benutzen. Es gibt mittlerweile andere Konstrukte wie den LocalStorage oder SessionStorage. Selbst die Auflösung des Bildschirms kann ein Identifikationsmerkmal sein, wenn man diese Informationen mit dem Rest der übertragenen Daten kombiniert.

Ein weiterer möglicher Ansatz könnte IPv6 sein! In diesem Protokoll ist es sozusagen möglich, Geräte über einen Interface Identifier zu tracken. Möglich wird dies, wenn man den Interface Identifier über die MAC-Adresse generiert und keine Privacy Extensions im Endgerät aktiviert hat. Da die MAC-Adresse eine weltweit eindeutige ID ist und demzufolge dann auch der Interface Identifier, könnte man feststellen, von welchen Netzen aus ein Endgerät kommuniziert. Apropos MAC-Adresse: Das ist unter anderem ein Grund, warum neuere Smartphones eine pseudo MAC-Adresse generieren. Als Betreiber eines größeren Kaffeehauses mit kostenlosem WLAN könnte man so ermitteln, wo und wann sich bestimmte Endgeräte in den Filialen aufgehalten haben.

Eingebettete Inhalte und Browser-Kommunikation

Zurück zu den eingebundenen Inhalten auf Webseiten und der Gesprächsbereitschaft des Webbrowsers und warum das Tracking für solche Datenriesen wie Google, Facebook, Twitter und Co. so einfach geworden ist.

Jeder Browser ruft beim Ausführen der HTML-Seite die eingebundenen Ressourcen ab. D.h. eingebundene Ressourcen wie beispielsweise Schriftarten, Bibliotheken und IFRAMES werden durch den Browser heruntergeladen. Bevor der Browser aber anfängt, sagt er dem Webserver der Ressource, von wo er kommt, welche Version der Browser hat und wie das Betriebssystem lautet. Natürlich sind auch noch weitere Informationen in der Anfrage enthalten. Aber die grundlegenden Informationen zum System sind immer im User-Agent verpackt.

Natürlich kann man diesen User-Agent-String auch manipulieren, aber welcher Standard-Benutzer macht das schon? Zum anderen werden auch andere Informationen übertragen, wie z.B. die IP-Adresse des Abfragenden. Hat man zuvor andere Seiten besucht, in denen Google auch vertreten ist, so kann man daraus eine Identifizierung vornehmen. Diese Informationen sind sozusagen der Fingerprint des Browsers. Benutzt man beispielsweise den Browser Tor, sollte man folglich niemals die Größe des Browserfensters anpassen. Somit geht man im Grundrauschen des Internets unter – vorausgesetzt, es wurden keine anderen kompromittierenden Versuche unternommen, das Tor-Netzwerk zu manipulieren.

Wie funktionieren Cookies

Wenn wir eine neue Webseite abrufen, dann verfügt unser Browser über keine Informationen vom Server. Er kennt keine Bilder, Texte und Cookies. Dies ist die erste Sitzung! Der Server empfängt die Anfrage und sendet je nach Konfiguration ein neues Cookie und andere Informationen über den Header der Webseite. Im Header könnten auch Cache-Einstellungen oder Sicherheitskonfigurationen festgeschrieben werden. Aber in diesem Beitrag behandeln wir nur die Cookies.

<a href="/register" onclick="document.cookie='newUser=false'">Fertig</a>

Dieses Cookie soll bekannte Benutzer von unbekannten Benutzern trennen. Der Browser empfängt nun diese Daten und legt das Cookie im Speicher des Browsers ab. Fragen wir nun wiederholt die Webseite ab, sendet der Browser das zuvor empfangene Cookie an den Webserver und der Code der Seite kann diese Information nun in den HTML-Code einbauen. Da wir den Inhalt des Cookies nicht verändert haben, wird die Webseite so ausgeliefert, wie der Webseitenbetreiber es bei diesem Cookie-Wert vorgesehen hat. An sich hat sich bei unserer erneuten Abfrage nur die Senderichtung des Cookies geändert. Der HTML-Code der Webseite bleibt derselbe wie beim ersten Aufruf.

Nun klicken wir uns durch die Webseite und führen die mögliche Registrierung der Webseite durch. Nachdem wir alles eingetragen und auf den Button “Fertig” geklickt haben, setzt der Browser ein JavaScript in Bewegung. Dieses Skript hat nur eine Funktion: ein Cookie mit dem Wert newUser=false zu setzen. Welches durch den ausgelösten Request an den Server übermittelt wird. Der Webserver liest das Cookie aus und reagiert mit einer neuen Webseite.

Zugegeben, wer so von registrierten Benutzern unterscheidet, wird vermutlich schneller Opfer eines Angriffs, als er schauen kann. Aber dieses Beispiel soll nur die Technik hinter den Cookies veranschaulichen. In so einem Cookie kann, wie oben beschrieben, alles Mögliche drin stehen. Wie und mit welchen Sicherheitsmechanismen die Cookies ausgewertet werden, hängt vom Webseitenbetreiber ab. Manchmal lohnt es sich jedoch, mal einen Blick in die Cookies zu werfen. 😉 Fast jeder Browserhersteller hat Entwicklertools, mit denen man etwas über die Webseite erfahren kann, die man gerade besucht.

Rechtliche Hinweise (Stand 2025)

Seit Einführung der DSGVO und des TTDSG gilt: Cookies, die nicht technisch notwendig sind, dürfen nur mit Einwilligung der Nutzer gesetzt werden. Dazu gehören insbesondere Tracking-, Werbe- und Analyse-Cookies. Ein rechtskonformer Cookie-Banner muss dem Nutzer echte Wahlmöglichkeiten bieten, alle eingesetzten Cookies transparent machen und einen Widerruf der Entscheidung ermöglichen.

Auf den Seiten unseres Unternehmens setzen wir ausschließlich sogenannte Session-Cookies ein. Diese bleiben nur für die Dauer der aktiven Browsersitzung gespeichert und werden beim Schließen des Browsers automatisch gelöscht. Eine dauerhafte Speicherung findet nicht statt – bei erneutem Besuch ist eine neue Zustimmung erforderlich. Darüber hinaus erfordert die Anzeige externer Inhalte – etwa von Skripten, Schriftarten oder eingebetteten Videos und Playlists – eine gesonderte Zustimmung der Nutzer.

Fazit

Cookies sind ein essentielles Werkzeug des Webs. Ihr Nutzen und ihre Risiken hängen jedoch vom Einsatz ab. Ein bewusster, transparenter und datenschutzkonformer Umgang ist das A und O.

Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Bei Unsicherheiten bitte an einen IT-Rechtsanwalt wenden.