Bundesamt für Sicherheit in der Informationstechnik

Cookies

Cookies sind kleine Informationseinheiten, die vom Web-Browser lokal auf dem Rechner des Anwenders gespeichert werden. Sie sind eine Erfindung von Netscape und wurden ursprünglich für den Netscape Navigator konzipiert, werden aber heute von allen gängigen Web-Browsern unterstützt.

Netscapes Absicht war es, eine Möglichkeit zu schaffen, vom Anwender auf interaktiven Webseiten eingegebene Daten zu speichern. Durch das Ablegen der Informationen auf Festplatte wird es möglich, diese Informationen auch bei einem erneuten Aufruf eines Web-Angebotes bereitzustellen. Der Anwender soll damit einerseits eine vertraute Umgebung vorfinden und andererseits einmal eingegebene Angaben nicht wiederholt durchführen müssen. Die Anbieter können durch das Speichern der Informationen Anwender-Profile erstellen, um ihr Angebot den Bedürfnissen der Anwender anzupassen.

Anwenderbezogene Daten werden meistens in Datenbanken auf dem Anbieterserver abgelegt. Damit der Datenbankeintrag dem jeweiligen Anwenderrechner zugeordnet werden kann, wird auf dem Anwenderrechner eine Identifizierungskennung in Form eines Cookies hinterlegt. Manchmal werden nicht nur die Kennung sondern alle auf die Seite bezogenen Anwenderdaten auf der lokalen Festplatte als Cookie gespeichert. Die Cookie-Informationen werden hierfür in vom jeweiligen Web-Browser abhängigen Verzeichnissen als Textdatei abgelegt.

Es gibt dabei zwei verschiedene Arten von Cookies:

  • Persistente Cookies enthalten ein Gültigkeitsdatum. Wenn dieses Datum überschritten ist, wird das Cookie gelöscht.
  • Temporäre Cookies enthalten kein Gültigkeitsdatum. Nach dem Verlassen der Webseite werden solche Cookies gelöscht.

Die Speicherung und das Auslesen der Cookies werden vom Web-Browser durchgeführt. In den gängigen Web-Browsern ist eine Funktion implementiert, die die für die Kommunikation mit dem Webserver wichtigen Anwenderdaten zunächst im Arbeitsspeicher hält und bei Bedarf (z. B. Verlassen der Webseite) in einem Cookie ablegt. Die gleiche Funktion stellt beim erneuten Aufruf der Webseite dem Webserver automatisch den Inhalt des Cookies wieder zur Verfügung.

Durch die von Netscape erarbeitete Spezifikation und durch den Internetstandard RFC 2109 werden Mindestanforderungen an die Web-Browser zur Behandlung von Cookies gestellt. Es müssen eine minimale Größe von 4 KByte pro Cookie, pro Ressource (Webserver) mindestens 20 Cookies und insgesamt mindestens 300 Cookies gespeichert werden können. Wird eine dieser Grenzen überschritten, kann der Web-Browser die jeweils ältesten Cookies löschen. Daraus folgt, dass ein Webserver nicht davon ausgehen kann, dass ein Web-Browser Cookies mit einer Größe von mehr als 4 KByte korrekt verarbeitet.

Der Anwender kann bei den meisten Web-Browsern selbst entscheiden, ob Cookies akzeptiert werden sollen. Hierfür gibt es je nach Browser verschiedene Einstellungsmöglichkeiten. Unter anderem kann festgelegt werden, dass der Benutzer die Annahme von Cookies bestätigen muss oder ob auch persistente Cookies beim Verlassen des Browsers gelöscht werden sollen. Neben der Möglichkeit, die Cookies im Browser zu verwalten, gibt es die Möglichkeit, die Cookies über verschiedene Programme zu verwalten, die unter dem Namen Anti-Spyware bekannt sind. Ein Anbieter hat unterschiedliche Möglichkeiten, einen Cookie auf dem Rechner des Anwenders abzulegen. Zum einen können Cookies durch den Einsatz von clientseitigen Skriptsprachen (wie JavaScript) direkt im Web-Browser des Anwenders generiert oder angesprochen werden. Zum anderen kann ein Cookie auch direkt vom Webserver des Anbieters aus verschickt werden. Die Übertragung der Cookie-Informationen findet dabei im Header-Bereich des HTTP-Protokolls statt.

Gefahren und Risiken im Zusammenhang mit Cookies

Grundsätzlich lassen sich mit der Verwendung von Cookies keine sicherheitskritischen Funktionen wie beispielsweise die Verbreitung von Viren oder anderen Schadprogrammen ausführen. Ebenso können mit dieser Technologie keine Daten außerhalb der Cookies vom PC des Benutzers ausgelesen werden.

Die Verwendung von Cookies kann jedoch im datenschutzrechtlichen Sinne mißbräuchlich genutzt werden. Teilweise werden von einzelnen Firmen die Webseiten mehrerer Anbieter erstellt und betreut. Ein solcher Super-User kann über die Cookies die genauen Gewohnheiten einzelner Benutzer aufzeichnen und ein regelrechtes Surfprofil erstellen. Diese Informationen werden von bestimmten Interessengruppen genutzt, um ihr Angebot besser verkaufen zu können.

Eine weitere Möglichkeit, an nicht für Fremde gedachte Informationen zu gelangen, kann durch Programmierfehler im Web-Browser entstehen. In der Vergangenheit sind Schwachstellen aufgetreten, über die Anbieter Cookies von anderen Anbietern auslesen konnten.

Es können möglicherweise auch vertrauliche Daten von anderen Benutzern des lokalen Rechners ausgelesen werden. Grundsätzlich gilt, dass alle Daten, die ein Benutzer aktiv durch Klicken oder Ausfüllen von Eingabefeldern preisgibt, auch in Cookies abgelegt werden können. Dabei werden die Informationen nicht notwendigerweise verschlüsselt. Eine Kreditkartennummer, die man an einen Web-Shop übermittelt hat, möchte man aber sicherlich nicht in einer Textdatei auf einem von mehreren Personen genutzten Rechner wiederfinden.

Sinnvoll ist, sich vor allem bei der Übertragung von sensiblen Daten über den Umgang des Anbieters mit Cookies zu informieren. Seriöse Anbieter bieten dazu Informationsmaterial auf ihren Seiten an.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK