Manfred Kloiber: Cookies sind kleine Duftmarken auf unserem Computer oder auf dem Smartphone, die eigentlich das Surfen erleichtern sollten. Lange Zeit haben sie auf unseren Rechnern ein gutes Leben geführt, kaum beachtet, mit dem Image harmloser kleiner Textdateien in irgendwelchen Systemordnern des Browsers. Doch mittlerweile schrecken sie auch Politiker, Regulierungsbehörden und die Datenschützer auf: denn längst gibt es neben den harmlosen und nützlichen Datenkeksen auch ziemlich aggressive Datenschnüffler an der Grenze zum Computerschädling. Und die werden keineswegs nur von dunklen Mächten eingesetzt, nämlich auch von anderen. So geriet jüngst der Suchmaschinenbetreiber Google ob seiner Cookies in die Kritik. Worum ging es da, Maximilian Schönherr?
Maximilian Schönherr: Es ging da um Safari. Das ist der Browser von Apple, der von der Grundeinstellung her Cookies von Drittanbietern meidet. Drittanbieter ist quasi: Ich komme auf die Webseite von Herrn A und da ist eine Werbung von Frau B und Frau B setzt mir ein Cookie auf der Seite. Also das lässt Safari in der Grundeinstellung nicht zu. Google lebt nun von den Suchenden im Web. Und um deren Wege nachzuverfolgen, braucht Google Cookies. Cookies sagen der Suchmaschine 'der war schon mal da, der geht jetzt dahin.' Weil der Safari-Browser das übrigens auch auf den iOS-Smartphones und dem iPad von Hause aus nicht zulässt, bedienst sich Google eines Tricks: Man pflanzte unter den Plus-Eins-Knopf auf der Suchseite ein unsichtbares Formular. Und wenn der Websuchende darauf klickte, erlaubte er Google damit das Setzen eines Cookies, ohne es zu merken. Vortäuschung falscher Tatsachen also, um eine sperre zu umgehen. Andere Webvermarkter handelten ähnlich. Auch beim Internetexplorer von Microsoft passierte ähnliches. Mehrere US-Behörden sowie der französische EU-Datenschutzkommissionsschutz CNIL untersuchten den Fall. Und Google hat die Undercover-Methode angeblich eingestellt. Es könnte die Firma aber sehr teuer zu stehen kommen. Man spricht von mehreren Zigtausend Dollar pro Anwender pro Tag.
Kloiber: Was Sie hier demonstrieren, Maximilian Schönherr, behindert ja das Browsen und das Surfen schon ziemlich erheblich. Wenn man den Browser so eingestellt hat, müssen Sie ja bei jeder Seite laufend Cookie-Entscheidungen treffen. Ist das eigentlich zumutbar?
Schönherr: Machen Sie es eigentlich?
Kloiber: Ich mach es nicht.
Schönherr: Also ich persönlich handhabe das seit einigen Jahren so. Und ich habe mich nicht nur dran gewöhnt, sondern das Cookie-Verhalten einer Seite sagt mir auch etwas über die Datengier des Betreibers dieser Seite aus. Vorhin habe ich einen nagelneuen Computer installiert, also sozusagen zum Grundbewusstsein gebracht und habe drei, vier Webseiten besuchen müssen. Und ohne es zu merken, hat mir der Browser in wenigen Minuten 28 Cookies installiert. Wovon ich jahrelang nichts mitbekam sind diese sogenannten Super-Cookies, die man mit der normalen Browser-Sicherheitseinstellung nicht nur nicht abfangen kann, sondern gar nicht zu Gesicht bekommt. Die technische Bezeichnung dieser relativ jungen Cookie-Art ist Local Shared Object, abgekürzt LSO. Da steckt im Grunde schon die Datenschutzverletzung im Namen drin: Local Shared bedeutet gemeinsam verwaltet. Und mit "gemeinsam" sind nicht wir Menschen gemeint, sondern die Browser, die hier untereinander ohne unsere Zustimmung Informationen über unser Surfverhalten miteinander austauschen.
Kloiber: Und wo sitzen diese LSO-Supercookies?
Schönherr: Die normalen Cookies sitzen in den Ordnern von Firefox, Opera, Safari und so weiter. Die Super-Cookies sitzen im Ordner des Flash-Players. Das Verzeichnis ist in allen Betriebssystemen unter Flash-Player zu finden. Bei Linux, Mac OS und Windows typischerweise unter Macromedia/flashplayer. Sie haben in der Regel die Dateierweiterung .sol.
Kloiber: Aber was ich nicht verstehe: Was hat dieses Video-Abspielplugin Flash mit Cookies zu tun?
Schönherr: Eigentlich gar nichts. Es ist quasi nur das Einfalltor. Das ist wie ein Parasit, der hier einen Host braucht, also einen Wirt, wo er sich drüber verbreitet. Die Super-Cookies sind keine harmlosen kleinen Textdateien mehr. Sie fassen viel mehr Informationen als klassische http-Cookies, von denen wir vorher geredet haben. Sie haben eine unendliche Lebensdauer. Und sie sitzen nicht einfach nur so da, sondern sie sind in der Lage, aktiv zu werden. Und Cookies der guten alten Art, wie wir sie gerade gelöscht haben, wieder herzustellen. Das nennt man respawning, zu Deutsch nachbrüten.
Kloiber: Das heißt, sie führen eigentlich ein Eigenleben – fast schon wie trojanische Pferde auf dem Computer.
Schönherr: Auf jeden Fall. Sie ähneln Trojanern in mehreren Hinsichten. Sie tarnen sich wie Trojaner, sie werden heimlich aktiv. Sie verändern ohne unsere Zustimmung Dinge am Computer, die unsere Privatsphäre betreffen und sie telefonieren quasi auf Ansprache von außen - nicht von uns - nach Hause, ohne uns zu fragen. Von Trojanern, also Viren, unterscheiden sie sich aber trotzdem wesentlich. Sie tracken nämlich nur, sie protokollieren das Surfverhalten und melden es irgendwo hin. Ein Super-Cookie kann aber zum Beispiel keine Spam-Fluten versenden, Passwörter ausschnüffeln und – soweit bekannt – keine Rehner lahmlegen.
Kloiber: Trotzdem müssten ja eigentlich die Datenschützer hier auf den Plan gerufen sein.
Schönherr: Ja, es gibt eine EU-Richtlinie von 2009, die das Setzen von Cookies unter den Einwilligungsvorbehalt stellt. Sprich, jede Webseite muss brav fragen, bevor sie ein Cookie setzen darf. SPD und Grüne haben eine dementsprechende Änderung des Telemediengesetzes verlangt, um diese Richtlinie des Opt-ins, wie man es nennt, umzusetzen. Ende Februar haben die Regierungsfraktionen das abgelehnt. Wenn es um Gesetze geht, kommt ja immer die grundsätzliche Frage auf, was man im Internet alles verbieten oder vorschreiben soll. Und Cookies sind hier ein Grenzfall. Vielleicht so wie die unverlangte Werbung: nicht per se böse, sondern ein virales Instrument der Werbeindustrie, die natürlich auch ihre Lobby hat. Und die französische Datenschutzbehörde CNIL setzt beim Erstbesuch ihrer Webseite auch ein Cookie.
Kloiber: Klar, Cookies müssen ja auch nicht schlecht sein, sondern sie können ja auch gut sein. Deswegen gibt es bei der Deutschlandfunk-Seite auch ein Cookie.
Schönherr: Genau. Das dient der Statistik über die individuellen Besuche. dradio.de aber verfolgt zum Beispiel nicht nach, wer von der Startseite auf welche Unterseite geht und bietet dem Besucher zum Beispiel der Computer-und-Kommunikation-Sendung kein Motherbord an.
Kloiber: Das machen allerdings dann zum Beispiel große Internet-Buchhändler.
Schönherr: Die machen das auf jeden Fall. Und es ist ja ganz angenehm, dann ein Buch vorgeschlagen zu bekommen, was in der Richtung liegt was mich interessieren könnte.
Kloiber: Ganz kurz: Gibt es einen Tipp, wie man Flash-Cookies wieder loswird?
Schönherr: Ja, also die Flash-Cookies oder Super-Cookies oder LSOs – damit müsste man sich intensiv beschäftigen. Das gängige Browser-Plugin, also ein Zusatz für zum Beispiel den Open-Source-Browser Firefox nennt sich Better Privacy, kostet nichts und sollte man sich auf jeden Fall mal angucken.
Zum Themenportal "Risiko Internet"
Maximilian Schönherr: Es ging da um Safari. Das ist der Browser von Apple, der von der Grundeinstellung her Cookies von Drittanbietern meidet. Drittanbieter ist quasi: Ich komme auf die Webseite von Herrn A und da ist eine Werbung von Frau B und Frau B setzt mir ein Cookie auf der Seite. Also das lässt Safari in der Grundeinstellung nicht zu. Google lebt nun von den Suchenden im Web. Und um deren Wege nachzuverfolgen, braucht Google Cookies. Cookies sagen der Suchmaschine 'der war schon mal da, der geht jetzt dahin.' Weil der Safari-Browser das übrigens auch auf den iOS-Smartphones und dem iPad von Hause aus nicht zulässt, bedienst sich Google eines Tricks: Man pflanzte unter den Plus-Eins-Knopf auf der Suchseite ein unsichtbares Formular. Und wenn der Websuchende darauf klickte, erlaubte er Google damit das Setzen eines Cookies, ohne es zu merken. Vortäuschung falscher Tatsachen also, um eine sperre zu umgehen. Andere Webvermarkter handelten ähnlich. Auch beim Internetexplorer von Microsoft passierte ähnliches. Mehrere US-Behörden sowie der französische EU-Datenschutzkommissionsschutz CNIL untersuchten den Fall. Und Google hat die Undercover-Methode angeblich eingestellt. Es könnte die Firma aber sehr teuer zu stehen kommen. Man spricht von mehreren Zigtausend Dollar pro Anwender pro Tag.
Kloiber: Was Sie hier demonstrieren, Maximilian Schönherr, behindert ja das Browsen und das Surfen schon ziemlich erheblich. Wenn man den Browser so eingestellt hat, müssen Sie ja bei jeder Seite laufend Cookie-Entscheidungen treffen. Ist das eigentlich zumutbar?
Schönherr: Machen Sie es eigentlich?
Kloiber: Ich mach es nicht.
Schönherr: Also ich persönlich handhabe das seit einigen Jahren so. Und ich habe mich nicht nur dran gewöhnt, sondern das Cookie-Verhalten einer Seite sagt mir auch etwas über die Datengier des Betreibers dieser Seite aus. Vorhin habe ich einen nagelneuen Computer installiert, also sozusagen zum Grundbewusstsein gebracht und habe drei, vier Webseiten besuchen müssen. Und ohne es zu merken, hat mir der Browser in wenigen Minuten 28 Cookies installiert. Wovon ich jahrelang nichts mitbekam sind diese sogenannten Super-Cookies, die man mit der normalen Browser-Sicherheitseinstellung nicht nur nicht abfangen kann, sondern gar nicht zu Gesicht bekommt. Die technische Bezeichnung dieser relativ jungen Cookie-Art ist Local Shared Object, abgekürzt LSO. Da steckt im Grunde schon die Datenschutzverletzung im Namen drin: Local Shared bedeutet gemeinsam verwaltet. Und mit "gemeinsam" sind nicht wir Menschen gemeint, sondern die Browser, die hier untereinander ohne unsere Zustimmung Informationen über unser Surfverhalten miteinander austauschen.
Kloiber: Und wo sitzen diese LSO-Supercookies?
Schönherr: Die normalen Cookies sitzen in den Ordnern von Firefox, Opera, Safari und so weiter. Die Super-Cookies sitzen im Ordner des Flash-Players. Das Verzeichnis ist in allen Betriebssystemen unter Flash-Player zu finden. Bei Linux, Mac OS und Windows typischerweise unter Macromedia/flashplayer. Sie haben in der Regel die Dateierweiterung .sol.
Kloiber: Aber was ich nicht verstehe: Was hat dieses Video-Abspielplugin Flash mit Cookies zu tun?
Schönherr: Eigentlich gar nichts. Es ist quasi nur das Einfalltor. Das ist wie ein Parasit, der hier einen Host braucht, also einen Wirt, wo er sich drüber verbreitet. Die Super-Cookies sind keine harmlosen kleinen Textdateien mehr. Sie fassen viel mehr Informationen als klassische http-Cookies, von denen wir vorher geredet haben. Sie haben eine unendliche Lebensdauer. Und sie sitzen nicht einfach nur so da, sondern sie sind in der Lage, aktiv zu werden. Und Cookies der guten alten Art, wie wir sie gerade gelöscht haben, wieder herzustellen. Das nennt man respawning, zu Deutsch nachbrüten.
Kloiber: Das heißt, sie führen eigentlich ein Eigenleben – fast schon wie trojanische Pferde auf dem Computer.
Schönherr: Auf jeden Fall. Sie ähneln Trojanern in mehreren Hinsichten. Sie tarnen sich wie Trojaner, sie werden heimlich aktiv. Sie verändern ohne unsere Zustimmung Dinge am Computer, die unsere Privatsphäre betreffen und sie telefonieren quasi auf Ansprache von außen - nicht von uns - nach Hause, ohne uns zu fragen. Von Trojanern, also Viren, unterscheiden sie sich aber trotzdem wesentlich. Sie tracken nämlich nur, sie protokollieren das Surfverhalten und melden es irgendwo hin. Ein Super-Cookie kann aber zum Beispiel keine Spam-Fluten versenden, Passwörter ausschnüffeln und – soweit bekannt – keine Rehner lahmlegen.
Kloiber: Trotzdem müssten ja eigentlich die Datenschützer hier auf den Plan gerufen sein.
Schönherr: Ja, es gibt eine EU-Richtlinie von 2009, die das Setzen von Cookies unter den Einwilligungsvorbehalt stellt. Sprich, jede Webseite muss brav fragen, bevor sie ein Cookie setzen darf. SPD und Grüne haben eine dementsprechende Änderung des Telemediengesetzes verlangt, um diese Richtlinie des Opt-ins, wie man es nennt, umzusetzen. Ende Februar haben die Regierungsfraktionen das abgelehnt. Wenn es um Gesetze geht, kommt ja immer die grundsätzliche Frage auf, was man im Internet alles verbieten oder vorschreiben soll. Und Cookies sind hier ein Grenzfall. Vielleicht so wie die unverlangte Werbung: nicht per se böse, sondern ein virales Instrument der Werbeindustrie, die natürlich auch ihre Lobby hat. Und die französische Datenschutzbehörde CNIL setzt beim Erstbesuch ihrer Webseite auch ein Cookie.
Kloiber: Klar, Cookies müssen ja auch nicht schlecht sein, sondern sie können ja auch gut sein. Deswegen gibt es bei der Deutschlandfunk-Seite auch ein Cookie.
Schönherr: Genau. Das dient der Statistik über die individuellen Besuche. dradio.de aber verfolgt zum Beispiel nicht nach, wer von der Startseite auf welche Unterseite geht und bietet dem Besucher zum Beispiel der Computer-und-Kommunikation-Sendung kein Motherbord an.
Kloiber: Das machen allerdings dann zum Beispiel große Internet-Buchhändler.
Schönherr: Die machen das auf jeden Fall. Und es ist ja ganz angenehm, dann ein Buch vorgeschlagen zu bekommen, was in der Richtung liegt was mich interessieren könnte.
Kloiber: Ganz kurz: Gibt es einen Tipp, wie man Flash-Cookies wieder loswird?
Schönherr: Ja, also die Flash-Cookies oder Super-Cookies oder LSOs – damit müsste man sich intensiv beschäftigen. Das gängige Browser-Plugin, also ein Zusatz für zum Beispiel den Open-Source-Browser Firefox nennt sich Better Privacy, kostet nichts und sollte man sich auf jeden Fall mal angucken.
Zum Themenportal "Risiko Internet"