Internet–Cookies

black_laptop_spy_watching_300_clr_4398Cookies sind böse. Ganz böse. Sie spionieren den Anwender aus. Das führt soweit, dass ich von der Versicherung abgelehnt werde, weil ich mir im Internet ein Angebot für Heliskiing geholt habe. Und den Job habe ich nicht bekommen, weil die Personalabteilung rausgekriegt hat, dass ich mich für ein Heavy-Metal-Konzert interessiert habe.

Also – nein. Mag sein, dass ich von der Versicherung abgelehnt wurde und ich den Job nicht gekriegt habe. Mag auch sein, dass das was mit meinem Internet-Verhalten zu tun hat: mein Facebook-Account ist nicht eingeschränkt, meine Instagram-Bilder sind von jedermann zu sehen oder meine Twitter-Posts beglücken die ganze Welt.

Aber Cookies?

Was ist ein Cookie?

Cookies sind kleine, verschlüsselte Textdateien. Verschlüsselt bedeutet, dass ich sie nicht einfach aufmachen und lesen kann. Für den Benutzer steht da nur kryptisches Zeugs drin.

Sie beinhalten im Normalfall die Informationen:

  • Der Name des Servers, von dem das Cookie stammt – also beispielsweise amazon.com oder google.com
  • Den Zeitpunkt, zu dem das Cookie abläuft. Nur wenige Cookies leben ewig, einige sind auf wenige Stunden beschränkt (die Dauer der “Session”)
  • Eine eindeutige Zufallszahl, an der der ursprüngliche Server mich wiedererkennt

Ein Cookie ist kein ausführbares Programm, kann also auf meinem Computer nicht “loslaufen” und irgendwas anrichten.

Warum sendet mir jemand ein Cookie?

Beispielsweise Amazon.com sendet mir ein Cookie, um mich gezielt mit Werbung zu versorgen. Schlecht? Nicht unbedingt, denn ich bin mehr interessiert an Werbung über Ferngläser als über Drehleitern.

Das funktioniert dann so:

  • Ich surfe auf der Amazon-Seite
  • Amazon schickt ein Cookie an meinen Browser mit der Zufallszahl; mein Browser speichert das Cookie
  • Gleichzeitig hat Amazon auf seinem Server zu dieser Zufallszahl gespeichert, welche Artikel ich angeschaut habe – Ferngläser oder Bücher über Vogelbeobachten in Norddeutschland
  • Nach drei Tagen komme ich wieder zur Amazon-Seite
  • Der Amazon-Server fragt meinen Browser, ob er schon ein Cookie hat und mein Browser bestätigt das
  • Da der Amazon-Server in der Lage ist, sein eigenes Cookies zu entschlüsseln, kann er die Zufallszahl auslesen und vergleichen, was auf dem Amazon-Server zu dieser Zahl gespeichert ist: Ferngläser und Vogelbücher.
  • Amazon schlägt mir also aus dieser Kategorie weitere Artikel vor – in der Hoffnung, dass das für mich interessant ist.

Das funktioniert auch, wenn Amazon sich auf einer ganz anderen Seite als Annonce eingemietet hat. Ich lese also eine Online-Zeitung, am Rand gibt es zufällige Werbeanzeigen. Unter anderem Amazon. Dann geht das Spielt wieder los: Amazon fragt, ob es ein Cookie von Amazon gibt; mein Browser guckt nach, bestätigt; Amazon bietet Ferngläser und Vogelbücher an. Leider bietet Amazon auch Sachen an, die ich schon gekauft habe. Da ich nur durch ein Fernglas gucken kann, macht es nicht viel Sinn, mir weitere anzubieten – dieses Vorgehen ist also ausbaufähig.

Aber das ist nur ein Anwendungsfall. Ein weiterer typischer Fall für Cookies sind die Grundeinstellungen: Ikea.com bitte auf Deutsch – das stelle ich einmal ein und der Ikea-Server erkennt beim nächsten Mal sein Cookie, guckt nach, ob diese Zufallszahl eine Einstellung vorgenommen hat und stellt das wieder ein.

Es gibt auch Cookies, die eine Internetseite vor Spam in Kommentaren  schützen. Spammer lesen auf einer Seite nicht, sie wollen bloß irgendeinen Schwachsinn loswerden. Der Zeitpunkt vom Aufruf der Seite bis zum Zuspammen der Kommentare ist also sehr kurz. Jemand, der den Artikel liest und dann kommentiert, hält sich viel länger auf der Seite auf. Das kann ein Cookie “messen”.

  • Mein Browser ruft eine Seite mit einem Artikel auf
  • Der Server, auf dem der Artikel steht, schickt ein Cookie mit der Startzeit und der eindeutigen Zufallszahl
  • Ich lese, das Cookie liegt rum mit seiner Startzeit, mein Browser liegt auch bloß rum und langweilt sich
  • Sobald ich kommentieren will, kontaktiert mein Browser die Seite ein zweites Mal – alles wacht jetzt auf: der Server fragt das Cookie ab, mein Browser meldet das Vorhandensein, der Server liest die Startzeit aus, vergleicht mit der aktuellen Zeit und entscheidet jetzt, ob ich lange genug da war, um als “Leser” zu gelten.

Wer kann ein Cookie lesen?

Der, der es gesetzt hat.

Aber – es gibt auch Cookies von sogenannten Drittanbietern. Das Beispiel mit Amazon auf einer Online-Zeitung ist ein Drittanbieter-Cookie. Die Seite, die ich gerade besuche, ist die Online-Zeitung; Amazon ist nur eine Werbeanzeige auf dieser Seite – also nicht die Zeitung.

Auch ein Facebook-Like, den ich auf einer Seite hinterlasse, produziert ein Cookie – von Facebook. Facebook kann auslesen, wenn oder was ich geliked habe.

In diesen Fällen entsteht oft der Eindruck, dass fremde Leute die Cookies von anderen auslesen. Amazon-Werbung für Ferngläser auf Spiegel-Online! Die Spiegel-Leute lesen die Cookies von Amazon aus! Nein, tun sie nicht. Amazon hat das Cookie gesetzt und liest es jetzt als Drittanbieter auf Spiegel-Online aus.

Also alles gut?

Klare Antwort: Jein. Ich weiß nicht, was der Server alles protokolliert und auswertet. Seriöse Anbieter speichern keine personenbezogenen Daten, unseriöse … könnten das natürlich tun. Beispielsweise kann ein Online-Shop die Informationen, die er durch das Cookie sammelt, mit meinem Namen verknüpfen (also wie lange ich auf der Seite war, was ich mir angeschaut habe). Tun sich jetzt mehrere zusammen, kann ein Profil meines Verhaltens erstellt werden.

Problematisch ist nicht eigentlich das Cookie, sondern die unkontrollierte (und nicht erlaubte) Verknüpfung zu meinen persönlichen Daten.

Zurück zur Ausgangsfrage, ob die Versicherung und die Personalabteilung irgendwas von meinen Aktivitäten im Internet erfahren, weil während dieser Sitzungen Cookies gespeichert wurden. Da muss man schon eine abenteuerliche Geschichte erfinden, um das zu konstruieren. Wenn das Cookie von einem Anbieter gesetzt wurde, der unlautere Absichten hat und meine persönlichen Daten kombiniert mit den Daten aus der Cookie-Abfrage an jemanden verscherbelt, der das dann meiner Versicherung oder der Personalabteilung meines künftigen Arbeitgebers zuspielt und die das nutzen. Auf diese Versicherung und diesen Job würde ich sowieso verzichten.

Und nun die Gretchenfrage …

Um dem Anwender mehr Kontrolle und Einfluss zu ermöglichen, müssen seit einiger Zeit alle Seitenbetreiber auf die Cookies hinweisen und den Benutzer um die Erlaubnis fragen. Stichwort: Datenschutzgrundverordnung.

Sie kennen das bestimmt, wenn Sie eine Internetseite aufrufen: “Wir verwenden Cookies. Bitte klicken Sie auf Erlauben, Ablehnen oder Einstellungen”. Was tun Sie dann? Lehnt man ab, geht meist gar nichts mehr; erlaubt man, steht man vor dem gleichen Problem wie immer: wie hältst Du’s, lieber Seitenbetreiber, mit den Cookies, sprich?

17.12.2019_0001Geht man in die Einstellungen, kann man Glück haben und auf eine einigermaßen verständliche Auflistung der Cookies kommen oder auf eine völlig kryptische Liste. Gelungen finde ich die Cookies-Einstellungen, die die PCWELT bietet. Ich kann nach Zweck der Cookies entscheiden und auch die Cookies der Dienstleister (also der Drittanbieter) gezielt ausschalten.

Damit wird dann übrigens auch ein Cookie gesetzt, sonst weiß ja später keiner, dass ich diese Einstellung gemacht habe …

Ehrlicherweise muss ich zugestehen, dass ich mir diese Mühe nur allzu selten mache.

Morgen geht es darum, Cookies im Browser zu verwalten – wie löscht man sie, wie verbietet man sie? Ich zeige es für Chrome und Edge.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s