Drittanbieter-Cookies – die Pest des Internetzeitalters – Teil 3


Nachdem im Teil 2 die Funktionsweise von Drittanbieter Cookies und deren datenschutzrechtlicher Aspekt beleuchtet wurden, soll im vorliegenden dritten und letzten Teil dargestellt werden, wie man sich gegen das Ausspionieren mithilfe von Drittanbieter Cookies schützen kann. Zum Schluss sollen noch kurz zwei Ausspähtechniken vorgestellt werden, die ohne HTML-Cookies auskommen.

Aus den Ausführungen in Teil 1 und Teil 2 sollte klar geworden sein, dass es für den Benutzer eigentlich nicht notwendig ist, Drittanbieter-Cookies zuzulassen, es sei denn, der Nutzer legt Wert darauf, dass sein Surfverhalten und alles, was sich daraus ableiten lässt, zur gezielteren Platzierung von Werbung für ihn persönlich notwendig und sinnvoll ist. Tatsächlich dürfte den meisten Menschen, die diese Form der Ausspähung als Lappalie abtun, nicht klar sein, welche Schlüsse damit bereits heute gezogen werden können.

Wie erkennt man, dass ein Drittanbieter Cookie „zugeschlagen“ hat?

Dem einen oder anderen mag es schon mal aufgefallen sein, dass er vielleicht bei Amazon einen bestimmten Artikel gesucht hat, und dann später auf einer anderen Seite „zufällig“ genau diesen Artikel in einem Werbebanner angeboten bekommen hat. Das ist die harmlosere Form der Nutzung der über Drittanbieter-Cookies gewonnenen Daten, und sie ist allenfalls nervig, weil es oftmals Artikel sind, die vielleicht Familienangehörige auf demselben Rechner gesucht haben, oder Artikel zu deren Kauf wir uns nach reiflicher Überlegung eben nicht entschieden haben.

Delikater wird es allerdings, wenn aus der gewonnen Information der genutzten Hardware Schlüsse auf die Kaufkraft gezogen werden, was in teureren individuellen Angeboten resultiert (kürzlich wurde nachgewiesen, das Mac-Usern Artikel teurer angeboten wurden als Usern anderer Hardwarehersteller. Das kann im Prinzip auch ohne Cookies ermittelt werden, aber generell auch aus dem Surfverhalten, das über Cookies gewonnen wird, geschlossen werden).

Strategien im Umgang mit der Speicherung von Cookies

Browser stellen sich leider auch häufig als Erfüllungsgehilfen der Werbeindustrie dar, weshalb die Grundeinstellungen der Speicherung von Cookies oftmals nicht im Sinne des Datenschutzes gesetzt sind, und erst durch den Anwender abgeschaltet werden müssen (Opt-Out – wieder einmal). Prinzipiell finden sich im Internet zu jedem Browser Anleitungen, wie man die Speicherung von Cookies beeinflussen kann. Wenn man sich also mit der Cookie-Speicherungslogik des genutzten Browsers befasst und Einstellungen vornimmt, sollte man sich bewusst sein, was man tut, und was man dafür erhält – oder auch verliert. Die Konsequenzen sind nachfolgend zusammengefasst, außerdem gebe ich eine subjektive Empfehlung, ob das sinnvoll ist oder nicht.

Alle Cookies blocken: Das ist die radikalste Form, mit der man wahrscheinlich nicht glücklich wird. Leider differenzieren nicht alle Browser zwischen Session-Cookies (z. B. Passwort-Token), Erstanbieter-Cookies und Drittanbieter-Cookies. Hier muss man tatsächlich prüfen, ob Session-Cookies ebenfalls betroffen wären, wenn man alles blockt.

Nur Drittanbieter-Cookies blocken: Diese Option ist meistens nicht voreingestellt, es sollte aber aus den vorangegangen Darstellungen klar geworden sein, dass man Drittanbieter-Cookies generell blocken kann und auch sollte. In Bezug auf die besuchte Seite ist diese Strategie überhaupt kein Problem. Wer Wert darauf legt, dass sein Surfverhalten von Dritten nachvollzogen werden kann, kann Drittanbieter-Cookies natürlich zulassen.

Speichern auf Nachfrage: Der Internet Explorer bietet m. E. die am besten differenzierte Behandlung von Cookies. U. a. gibt es die Option, dass man auch bei Erstanbieter-Cookies gefragt wird, ob man ein Speichern zulässt. In diesem Zusammenhang wäre es noch erwähnenswert, dass natürlich auch Erstanbieter auf anderen Seiten Werbebanner einblenden können, die ein Tracking für den vormaligen Erstanbieter möglich machen.

Umgang mit Cookies im Internet Explorer
Umgang mit Cookies im Internet Explorer

Der Vorteil an der Bestätigen-Methode ist, dass man sich bewusst wird, wieviele Cookies gespeichert werden. Da es bei einer Vielzahl von Cookies irgendwann lästig wird, es jedesmal zu bestätigen, kann man beim Internet Explorer auch pro Seite immer entscheiden, ob alle weiteren Cookies dann ebenfalls geblockt werden.

Ein Nachteil dieser Methode ist, dass man beim ersten Besuch auf der Seite vielleicht zuerst einmal Erstanbieter-Cookies blockt, und später aber z. B. eine Registrierung durchführen möchte, die dann aufgrund der geblockten Cookies nicht mehr funktioniert. Leider fehlt bei solchen Seiten häufig der Hinweis, dass Cookies geblockt sind und es deshalb nicht weiter geht. Fehlt dieser Hinweis, könnte man bei manchen Seiten verzweifeln, weil eine Registrierung dann partout nicht klappt und man sich nicht erinnert, dass man die Cookies geblockt hatte.

Nachträgliches Löschen: Das nachträgliche Löschen kann der Benutzer durch Funktionen, die der Browser zur Verfügung stellt, selbst bewerkstelligen. Inwieweit hier zwischen unterschiedlichen Cookies und anderen gespeicherten Informationen unterschieden wird, hängt vom jeweiligen Browser ab. Das nachträgliche Löschen kann auch auf Dateiebene durchgeführt werden, setzt jedoch voraus, dass der Nutzer sich darüber klar ist, wo die Dateien liegen. Auch ist diese Vorgehensweise bei Smartphones und Tablets, die keinen Zugriff auf der Dateiebene zulassen, nicht möglich. Hier muss man der Funktion des Browsers vertrauen, dass wirklich alles gelöscht wird.

Alles zulassen aber generell nach der Sitzung löschen: Dies ist eine spezielle Form des nachträglichen Löschens. Damit hat man die Möglichkeit, ohne Einschränkungen zu surfen, danach werden aber auch alle evtl. sinnvollen Erstanbieter-Cookies gelöscht.

Surfen im Privat-Modus: Dies kann eine effektive Strategie sein, kann aber bei manchen Seiten (früher bei Facebook zum Beispiel) dazu führen, dass man sich nicht personalisieren kann, was effektiv ein Unding ist. Der Vorteil dieser Methode ist, dass man sich nicht um Einstellungen kümmern muss. Es ist vergleichbar mit dem Löschen aller Sitzungsdaten inkl. Cookies beim Beenden des Browsers.

Ausspähtechniken, die keine HTML-Cookies benötigen

Bis hier haben wir uns ausschließlich mit den sog. HTML-Cookies beschäftigt. Es gibt aber noch weitere Techniken, die ebenfalls ein Auspionieren der Nutzer ermöglichen, und die nicht über eine der hier dargestellten Cookie-Behandlung verhindert werden kann.

Flash-Cookies: Zum einen sind das die sog. Flash-Cookies (oder Local Shared Object, kurz LSO). Der Name verrät es schon, das sind Cookies, die im Zusammenspiel mit Flash-Player zum Einsatz kommen. Wollte man sich gegen diese effektiv schützen, dürfte man also das Flash-Plug-In nicht nutzen. Man kann solche Cookies aber auch administrativ verwalten und löschen bzw. durch Einstellung vorbeugen, dass diese überhaupt zuschlagen können, siehe hierzu auch Datenschutz-Praxis, wo die Maßnahmen sehr gut dargestellt sind. Diese Form der Cookies sind datenschutzrechtlich noch bedenklicher als die normalen HTML-Cookies, von denen bisher die Rede war.

Super-Cookies: Eine weitere Technik die im oben dargestellten Link zur Datenschutzpraxis aufgeführt wird, sind die sog. Super-Cookies. Diese nutzen spezielle Techniken des DOM (Document Object Modell), das heutzutage beim Verarbeiten von jeder Webseite zum Einsatz kommt. Auch hier sind die primären Anwendungsgebiete eigentlich technischer Natur, die das Surf-Erlebnis komfortabler gestalten sollen und zunächst einmal Vorteile mit sich bringen, wenn man mit Web-Anwendungen arbeitet. Allerdings gibt es damit verbunden Hintertürchen, die wiederum erlauben, Rückschlüsse auf einen spezifischen Rechner nehmen zu können, der gerade im Internet unterwegs ist. Unter Firefox muss der DOM Storage deaktiviert werden, unter Internet Explorer deaktiviert man ActiveX (generell!) und auch JScript (nicht zu verwechseln mit Java Script).

Canvas Fingerprinting: Eine weitere Datensammeltechnik ist das sog. Canvas Fingerprinting. Diese Technik ist ziemlich perfide, denn sie nutzt eine HTML-5 Funktion, bei der der Browser es der Webseite ermöglicht, auf eine Canvas (Leinwand) zu zeichnen. In Wirklichkeit zeichnet die Seite aber gar nichts, sondern sie nutzt einen Mechanismus, bei dem der Browser der Webseite mitteilt, welche Schriftarten und Add Ons auf dem Rechner installiert sind. Da die Reihenfolge, in der diese Mitteilungen an die Web-Seite erfolgen, nicht etwa alphabetisch sortiert ist, sondern von der Installationsreihenfolge abhängt, entsteht ein ganz individuelles Profil des Rechners, von dem aus eine Seite besucht wurde.  Die Trefferquote (also die Wiederidentifizierung des Rechners) liegt bei über 80% was einen sehr guten Wert (im Sinne der Drittanbieter) darstellt.

Verhindern kann man Canvas Fingerprinting nur, wenn man Java Script ausschaltet – dann funktioniert aber kaum eine Homepage mehr, weil Java Script für alles Mögliche verwendet wird. Diese Technik wurde / wird auch sehr häufig von Werbetreibenden deutscher Print-Medien (Kicker, Bild, etc.) auf deren Homepages eingesetzt. Manche Seitenbetreiber haben angeblich diese Form der Ausspähung eingestellt, nachdem es publik wurde. Mittlerweile gibt es andere Gegenmaßnahmen, um diese Ausspähung zu unterbinden. Neben Add-Ons bewerkstelligen das auch teilweise die Browser-Hersteller selbst. Mit Cookies hat das allerdings gemeinhin nichts mehr zu tun.

Fazit

Cookies sind im Falle von Erstanbietern eine sinnvolle technische Einrichtung. Drittanbieter-Cookies sind für den Benutzer sinnlos, unnötig und stiften keinen Nutzen für den Anwender, außer dem einer eventuell gezielteren Werbung. Handelsübliche Browser bieten sowohl auf PC, Tablet oder Smartphone unterschiedliche Möglichkeiten, Drittanbieter Cookies zu blocken. Die Cookie-Richtlinie der EU wird gerne dazu verwendet, genau für Drittanbieter-Cookies die Türen zu öffnen, anstatt diese gezielt auszuschließen.

So lange wir uns der technischen Möglichkeiten bei der Nutzung unserer Daten nicht bewusst sind, und dieses nicht aktiv unterbinden und dagegen protestieren, werden wir sowohl aus Sicht der Anwender, aber auch aus Sicht der Anbieter von Inhalten, die wir im Internet unter Nutzung von Mechanismen von Facebook, Google und Co. verbreiten, zu Erfüllungsgehilfen bei der Ausspähung personenbezogener Daten.

Neuere Techniken versuchen sich der Cookies zu entledigen und mit anderen perfiden Techniken die Benutzer auszuspähen. Es ist Aufgabe der Browser-Hersteller diesem Treiben Einhalt zu gebieten. Das ist im Übrigen ein Grund, weshalb ich Google Chrome nicht verwende. Hier tritt eine Firma auf, die Werbung macht und gleich noch den passenden Browser dazu liefert.

In Teil 1 hatten wir die Cookies im Allgemeinen vorgestellt und gezeigt warum sie nützlich sind.

Teil 2 zeigte dann wie Drittanbieter Cookies funktionieren, und warum wir sie nicht brauchen.

Advertisements

6 Kommentare zu „Drittanbieter-Cookies – die Pest des Internetzeitalters – Teil 3

  1. Leider sind – microsofttypisch – die Namen der Einstellmöglichkeiten so gewählt, dass sie kein normal Sterblicher versteht. Wer soll wissen, was ein Erstanbietercookie ist. Was bietet er an, warum ist er der erste, …? Und was ist ein Drittanbieter? Und warum gibt es keinen Zweitanbieter? Fragen über Fragen – kein Wunder, das hier niemand etwas ändert.

    Gefällt 1 Person

    1. Damit triffst du den Nagel auf den Kopf: es liegt offensichtlich in der Natur der Sache, dass solche technischen Einrichtungen wie Cookies per se von der „normalen“ Anwenderschaft nicht verstanden werden können. Ich weiß nicht, ob mein Beitrag, hier ein wenig Licht ins Dunkel bringen kann.
      Drittanbieter ist allerdings ein stehender Begriff, den nicht Microsoft erfunden hat. Der/die Zweite bist natürlich Du, der Erste der, den Du besuchst.

      Gefällt mir

    2. Sicher, deine Ausführungen helfen, aber leider lesen sie (und andere Erklärungen der schwierigen Materie) nur wenige Leute.

      Ich habe allerdings noch nie (bewusst) von Erst- und Drittanbietern im Zusammenhang mit Cookies gehört. Und ich verstehe es auch nicht, wieso soll ich ein „Anbieter“ (mit der gleichen Funktionalität wie der Erst- und der Drittanbieter) sein und warum ausgerechnet der zweite?

      Und wenn ich mir die verbesserungswürdige Erklärung von Drittanbieter in der Wikipedia anschaue (bezieht sich aber auf Produzenten), dann bin ich auch keinesfalls der Zweitanbieter in diesem Spiel. Alle, die nicht Erstanbieter sind, sind demnach Drittanbieter (third party – und mit party/Partei kann ich schon mehr anfangen als mit Anbieter).

      Man kann es ja auch verständlich ausdrücken. Apple macht das so: „Akzeptiere nur Cookies von Seiten, die ich besuche“ (das entspräche dem Erstanbieter) und „Akzeptiere alle Cookies“ (das dem Drittanbieter).

      Firefox macht es noch schlechter als MS: „Cookies nur von besuchten Drittanbietern akzeptieren“ lautet eine der möglichen Einstellungen.

      Gefällt mir

  2. Vielleicht kann man es so erklären: in einem Rechtsgeschäft gibt es zwei Parteien, Du und ein anderer. Wenn du eine Seite besuchst, dann holt der Seiteninhaber (der andere) bei Dir das Recht ein, dass über seine Seite (also exakt seine Domain) Cookies geschrieben werden dürfen. Der Drittanbieter ist derjenige, mit dem Du keine Geschäftsbeziehung hast, wohl aber der andere. Dass der Dritte im Bunde indirekt auch Cookies über Deinen Geschäftspartner schreibt, ist das, was eben keiner versteht, wenn er beim Cookie Disclaimer auf „OK, ich habe verstanden“ klickt. Das ist das Problem.
    Übrigens interpretiere ich die Firefox Einstellung so, dass wenn ich einmal ein Erstanbieter-Cookie von xy akzeptiert habe (z. B. Amazon), dass ich ein Drittanbieter-Cookie von Amazon, z. B. auf einer Online Tageszeitung, damit auch akzeptiere. Das klingt halbwegs schlüssig.

    Gefällt mir

    1. Übrigens: die Apple Einstellung „Akzeptiere nur Cookies von Seiten, die ich besuche“ entspricht exakt der von Firefox! D. h. das schließt Drittanbieter Cookies akzeptierter Seiten ein! „Alle Cookies akzeptieren“ nimmt alle Drittanbieter Cookies an, auch wenn ich deren Seite nie besucht habe.
      Danke für den Hinweis mit Apple, das hat mir eine neue Erkenntnis verschafft.

      Gefällt mir

Was meinst Du dazu?

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s