Cookies sind kleine Textdateien, die der Browser auf dem Rechner speichern darf. Sie dürfen nur von einem Server “geschrieben” und von diesem wieder ausgelesen werden.

Cookies funktionieren wie eine Art Nummernschild für den jeweiligen Server, dessen Webseite gerade aufgerufen wurde. Er kann auf diesem Wege innerhalb der Browser-Session mit dem Benutzer interagieren, wenn seine Webseite statisch, also ohne Programmcode, angelegt ist. Denn der Server hat über das Cookie hinaus eigentlich keine eindeutige Möglichkeit zu erkennen, welchen Status der Browser hat, ob die Webseite noch geöffnet ist oder was der Benutzer innerhalb der Webseite augenblicklich tut (wenn er zum Beispiel ein Feld ausfüllen soll). Der Server kann so gesehen nicht einmal erkennen, welcher Browser seine Seite gerade aufruft.

Kekse für einen offenen Dialog

Will der Programmierer also mit dem Benutzer (oder dem Browser) in eine Art “Dialog” treten, muss er wissen, was dieser als letztes aufgerufen hat. Dabei hilft ihm das Cookie, das als Statusmeldung der jeweiligen Webseite zum Server zurückgeschickt werden kann. Soweit so einfach.

Der unsichtbare Dritte

Leider ist diese Methode nicht auf den Server beschränkt, der die Webseite ausliefert und den wir also gerade bewußt besuchen. Diese Server werden gerne als “first party” bezeichnet. Dem entgegen nennt man alle anderen Server, die ebenfalls, meist im Hintergrund, angerufen werden, als “third party”.

Grundsätzlich kann also jeder Server, den der Browser anruft, so ein Cookie auf dem Rechner ablegen (lassen). Und hier beginnt das Unheil! Denn Werbenetzwerke, deren tieferer Sinn es ist, das Surf- und damit Konsumenten-Verhalten eines Benutzers zu erfassen und das möglichst umfassend, haben schon sehr früh damit begonnen, diese simple Funktion des Browsers für sich zu nutzen – und tun das bis heute umfassen und erfolgreich.

Mit dieser einfachen Technik wurde also die “Büchse der Pandora” geöffnet, aus der bis heute immer neue Ungeheuer entspringen.

Ein Haufen Kekse

Was geschieht also im Hintergrund, während wir ganz unbedarft eine Webseite aufrufen. Neben den Informationen, die wir auf dem Bildschirm zu sehen bekommen, sind in den Code der Webseite – also mit ihrer aktiven Bereischaft – irgendwo Anrufe von weiteren Webservern eingebaut. Diese dürfen in diesem Moment ebenfalls ein Cookie ablegen und oft genug weitere Webserver anfordern, die dasselbe tun.

Theoretisch ist dem Spuk kein Ende gesetzt, denn meist geschehen diese Aufrufe über Skripte, die von fremden Server geladen werden und in die der ursprüngliche Werbserver keinen Einblick hat (denn diese Skripte können bei jedem neuen Aufruf neu geschrieben werden).

So entsteht ein riesiger Haufen “Kekse”, der nach Definition des Internets bis zum Jahr 2038 auf dem Rechner liegen bleiben darf und die Geschichte des Surfverhaltens erzählen kann.

Was kann ich dagegen tun?

Wer einmal einen Eindruck bekommen möchte, welche Mengen an Gebäck da entstehen, dem sei mal empfohlen, nach einer ausgiebigen Surfrunde auf einschlägigen führenden Webseiten in die Einstellungen seines Webbrowsers zu gucken.

Firefox: Im Bereich Einstellungen, “Datenschutz & Sicherheit”

Chrome: Im Bereich Einstellungen, Erweitert, “Datenschutz und Sicherheit” auf Website-Einstellungen, Cookies, Alle Cookies und Websitedaten anzeigen, Alle entfernen. Bestätigen Sie Ihre Auswahl, indem Sie auf Alle löschen klicken.

Opera: Im Bereich Einstellungen, “Datenschutz & Sicherheit”

Edge: Im Bereich Einstellungen, “Erweiterte Einstellungen anzeigen”,  “Cookies”

 

Dort finden sich jeweils die Einstellungen für den Umgang mit Cookies. Je nach Bereitwilligkeit des Browserherstellers können Sie dort sehen, wieviele Cookies welcher Herkunft im Speicher Ihres Browsers abgelegt wurden.

Vermutlich wird die Liste ziemlich lang sein (gerne einmal 30 oder 40 Einträge) und gespickt mit Servern, von denen Sie noch nie gehört haben werden. So bekommen Sie einen ersten Eindruck, was auf Ihrem Rechner passiert, während Sie nur mal eben ein bisschen surfen wollen.

Cookies aussortieren und löschen

Wie aber mit diesem lästigen Kram verfahren. Es gibt mehrere Methoden. Einige davon will ich Ihnen hier vorstellen und ans Herz legen.

Früher konnte man manuell jedem einzelnen Cookie zustimmen, während man eine Webseite aufruft. Das ist aber aufgrund der schieren Masse heute nicht mehr möglich, fällt also aus.

Zuerst einmal kann man also regelmäßig die Cookies in den Einstellungen des Browsers löschen. Cookies und “zwischengespeicherte Webinhalte/Cache” sind dabei nicht dasselbe, können dennoch beide regelmäßig entfernt werden.

Praktischerweise kann man diese Aufgabe auch automatisch “beim Beenden des Browsers” erledigen lassen. So werden zumindest Spuren zwischen den verschiedenen Sitzungen entfernt. Bei Firefox können Sie auch Ausnahmen festlegen, falls dies etwa für firmeninterne Anwendungen gewünscht ist.

Third party cookies verbieten

Eleganter ist es, Webseiten gleich zu verbieten, Cookies auf dem Rechner abzulegen. Mittlerweile können dies alle Browser, wenn auch mehr oder weniger gut. Auch hier tut sich Firefox wieder hervor, indem er verschiedene Stufen der Sperre anbietet. Wie sich diese Stufen im Detail unterscheiden, kann man auf der Webseite
https://www.mozilla.org/de/firefox/67.0/content-blocking/start/?step=3
nachlesen.

Möchte man sich mit diesen Einstellungen noch nicht zufrieden geben, sondern Cookies zum Beispiel zeitgesteuert löschen, bieten sich etwa “Add-ons” an, die diese Aufgabe übernehmen. Das Add-on uMatrix bietet diese Möglichkeit etwa für Sitzungs-Cookies an.

Sind Cookies die einzigen Merkmale, die Werbenetzwerke benutzen?

Werbenetzwerke sind ein profitables Geschäft. Entsprechend hoch ist der Aufwand, den diese Netzwerke betreiben, um unser Verhalten kennenzulernen. Zwar sind Seitenwege, die sich tief ins Betriebssystem krallen und auf diesem Weg der Ausspionierung Hilfe leisten (wie etwa Adobe Flash) fast ausgerottet, aber gleichzeitig haben die Werbenetzwerke neue Methoden entwickelt (Fingerprinting), um uns auf der Spur zu bleiben.

Mit der Ausweitung der technischen Möglichkeiten seit der Einführung von HTML 5 und CSS 3 (beides Definitionen, was ein Browser alles tun darf, eine Art Programmierregel) sind die Methoden des Trackings explodiert. Man kann auch nicht davon ausgehen, dass sich dies in naher Zukunft ändern wird. Es bleibt also wieder an uns Nutzern hängen, diesem Völkchen ins Handwerk zu pfuschen.

 

  • Pro: wichtig für die Kommunikation mit Webservern, einfache Methode der Statusmeldung
  • Contra: hohes Missbrauchspotential, keine Regulierung

Link: