- SPIEGELblog - http://www.spiegelblog.net -

Thema Cookies: Wie SPIEGEL Online im Gleichschritt mit den großen Web-Portalen die Internetnutzer hinters Licht führt

Inwiefern SPIEGEL Online Falschinfomationen über Cookies verbreitet – und was man doch effektiv gegen Cookies machen kann

Cookies Vor kurzem erschien auf SPIEGEL Online ein Beitrag zum Thema Cookies mit der Headline „Wie die EU Internet-Nutzer nerven will“ [1] (siehe Screenshot). [2]Darin geht es um einen Plan der EU, der Cookie-Flut im Internet entgegenzuwirken. Vom Grundsatz her ein zentral Wichtiges Unterfangen. Umso schwerer wiegt es, dass der Artikel Falschinformationen liefert, bedeutende Informationen weglässt und auch tendenziös ist. SPIEGEL Online gehen die Pläne der EU einfach „auf den Keks“. Liegt das etwa daran, dass das Nachrichtenportal einem Interessenkonflikt unterliegt, weil es selber mit den Cookies operiert? Immerhin sind Portale wie SPIEGEL Online direkt und massiv ökonomisch abhängig von den Werbenetzwerken und ihrem primären Geschäft – Werbung – sowie dem sekundären Geschäft Datenhandel, bei dem Cookies eine nicht unwesentliche Rolle spielen.

Bei Cookies handelt es sich wohlgemerkt um eine Internet-Technologie, die dem Benutzer Tipparbeit erspart und – scheinbar ganz nebenbei – den Anbietern von großen Internet-Portalen tonnenweise wertvolle Daten über den Internetnutzer in die Festplatten spült. Denn die Cookies bleiben nicht bei mir zuhause, sondern werden bei JEDEM Besuch des Portals JEDESMAL ans Portal übertragen, wobei die Wahrscheinlichkeit, dass ich persönlich erkannt werde, ständig steigt.

SPIEGEL Online verbreitet Falschinformationen
Die Folge dieser Datensammelwut ist, dass große Portale wie Google oder Twitter über tagesgenaue Informationen über die Stimmungs- und Konsumlage der meisten sozialen Gruppen in der ganzen Welt verfügen. Das sind unschätzbar wertvolle Informationen, die die Suchmaschinen und sonstigen Portale für viel Geld weiterverkaufen. Diese Daten sind viel besser als jede Volkszählung und viel genauer und aktueller als alles Wissen, das jede Regierung der Welt über ihr Volk besitzt.

Dagegen nimmt sich zum Beispiel die staatliche Vorratsdatenspeicherung, die weiß Gott nicht verteidigt werden soll, wie der jämmerliche Versuch kleiner Schuljungen aus. Die chinesische Regierung weiß schon, warum sie eine eigene Suchmaschine, „Baidu“, an den Start gebracht hat.

Dabei sind Cookies eigentlich überflüssig, und einige „Informationen“, die Frank Patalong in seinem Artikel für SPIEGEL Online verbreitet, sind schlichtweg falsch. Er schreibt:

1. Ohne Cookies geht SPIEGEL Online nicht.

2. Cookies sind technisch dringend notwendig.

3. Das Löschen der Cookies beim Schließen des Programmes gewährleistet den Datenschutz.

SPIEGEL-Online-Beitrag ist unvollständig und tendenziös
Richtig ist hingegen:

1. Mit dem Firefox Browser kann man alle Cookies abstellen und trotzdem SPIEGEL Online vollständig benutzen, solange man kein persönliches Login vornimmt. Ein Login ist aber i.d.R. mit einer expliziten Einverständniserklärung für die Preisgabe von Daten verbunden.

2. Alle Seiten können ihre Leistung ohne Cookies erbringen und statt dessen so genannte versteckte Felder benutzen. Solche verborgenen Feldinhalte unterliegen weit strengeren Sicherheitskriterien als Cookies, werden nicht auf meinem Rechner gespeichert und können somit auch nicht meine Identität preisgeben. Dazu ist nur ein Login und somit (s.o.) eine Einverständniserklärung nötig.

3. a) Eine ganze Klasse von Cookies, die so genannten „Local Shared Objects“ (LSOs), wird durch die von Herrn Patalong vorgeschlagene Browsereinstellung NICHT gelöscht, siehe http://de.wikipedia.org/wiki/Flash-Cookie [3]. Dieses noch wenig bekannte Verfahren, mit dem das verbreitete Browser-Plugin „Flash“, mit dem v.a. Videos gezeigt werden, auch zur Datenkrake wird, hat dieselben Eigenschaften wie die herkömmlichen Cookies. Leider gibt es nur wenige Werkzeuge, mit denen man LSOs kontrollieren kann.

3. b) Selbst wenn man die tagsüber gesammelten Cookies abends beim Schließen des Browsers löscht, hat man dennoch zahllose Datenspuren hinterlassen. Das gilt um so mehr, wenn man in einem Browserfenster ständig bei „Google Mail“ o.ä. eingeloggt war, während man in anderen Fenstern andere Portale besuchte. Dann konnte Google oder ein anderes Portal die woandershin ausgesendeten Daten mit der (Google-)Identität zusammenführen.

Darüber hinaus informiert Herr Patalong nur unvollständig und tendenziös. Er erwähnt mehr allgemein den „Schindluder“, der mit den Daten getrieben wird. Worin der besteht und was man dagegen tun muss, bleibt aber letztlich offen.

SPIEGEL Online versorgt Dritte über Cookies mit Nutzerdaten
So erwähnt er nicht, dass Dritte durch Vermittlung von SPIEGEL Online ihrerseits Cookies auf meinem Rechner ablegen (so genannte „Third Party Cookies“). Ein Dritter, der von SPIEGEL Online mit Cookies versorgt wird, ist beispielsweise die Seite quality-channel.de, die über jeden meiner Seitenbesuche bei SPIEGEL Online informiert wird. Das habe ich vor wenigen Tagen selbst ausprobiert. Heute ist vielleicht ein anderes Werbenetzwerk „angeschlossen“.

Auch fehlt der Hinweis, dasss diese Dritten die Daten von verschiedensten Portalen zusammenführen können und wollen.

Google ist mittlerweile auch Eigentümer des weltgrößten Werbenetzwerkes Doubleclick. Jede Information, die (ähnlich wie Daten von SPIEGEL Online an advolution gehen) an „Doubleclick“ geht, kann Google mit eigenen Daten zusammenführen.

Dass das Zusammenführen anonymer Profile mit Adressdaten möglich ist und auch praktiziert wird, bleibt ebenfalls unerwähnt.

Dass ein reger Handel mit illegalen Adressdaten besteht, ist nicht erst seit diverser Datenlücken bei der Telekom bekannt. Da häufig eine E-Mail Adresse dazugehört, ist eine Datenzusammenführung trivial. Die Weitergabe von Adressdaten ist sogar völlig legal, wenn man, absichtlich oder nicht, sein Einverständnis dazu gibt. Häufig ist das bei Internet-Angeboten sogar die Standardeinstellung.

Dass Cookies (auch die Cookies, die nach Schließen des Browsers gelöscht werden, so genannte „Session-Cookies“) eine potenzielle Sicherheitslücke darstellen, wird auch nicht genannt.

Dadurch, dass Cookies insbesondere von vielen Online-Shops für den Login benutzt werden, sind diese Shops besonders leicht zu missbrauchen. Ein Fachbegriff lautet „Cross Site Request Forgery“, siehe z.B. http://de.wikipedia.org/wiki/XSRF [4]. Die Gefahr besteht darin, dass ein Dritter für sich auf unsere Kosten Waren kauft oder wir bei ihm überteuerte Waren kaufen, ohne es zu wollen.

Wie weit der Handel mit Cookies gehen könnte, wird am Fall von „Phorm“ und „British Telekom“ deutlich.

Die Firma „Phorm“ will in Zusammenarbeit mit dem Internet-Provider British Telekom eigene Cookies in JEDE Webseite einschleusen. Dieses Vorhaben wird von dem Internet Nachrichtenportal The Register [5] kritisch begleitet.

Dass die (absichtlich?) aufgezählten Fehlinformationen dem Autor bzw. SPIEGEL Online insgesamt nicht links und rechts um die Ohren gehauen werden, liegt nur daran, dass die allerwenigsten nachvollziehen können, was im Heimcomputer, bzw. im Internet wirklich passiert. Um so wichtiger, dass ein übergeordneter, staatlicher Schutz etabliert wird. Die Selbstkontrolle oder gar -heilung klappt einfach nicht.

Man kann einwenden, dass es viel Geld kostet, Suchmaschinen oder andere Internet Dienste zu betreiben und dass meine Daten der Preis dafür sind. Ok. Dann aber bitte offen und ehrlich! „Opt-In“ anstatt „Opt-Out“! SPIEGEL Online, Google & Co. müssen ja ihr Angebot nicht für Nutzer bereitstellen, die nicht einmal mit ihren Daten dafür zahlen wollen.

Solange die kostenlose Nutzung aber noch technisch möglich ist, hier ein kostenloses Helferlein, das für den Firefox-Browser einen wirksamen kostenlosen Schutz gegen Cookies biete:

„CS Lite“ [6]: Kontrolliert Cookies (der Name kommt vom Vorgänger „CookieSafe“). Das Programm ist einfach zu installieren. Einfach auf die CS-Lite-Seite von Firefox [6] gehen, auf den „Add to Firefox“-Button klicken und anschließend den wenigen Anweisungen folgen. Wenn das Programm installiert ist, im Firefox-Browser ganz oben in der Sitebar auf den Menüpunkt „Ansicht“ gehen, dort den Punkt Symbolleisten“ anvisieren und dort dann den Unterpunkt „Anpassen…“ anklicken. Dadurch geht ein Fenster auf, in dem auch das CS-Lite-Symbol enthalten ist. Dieses mit der Maus ansteuern, und sobald die Hand auf dem CS-Lite-Icon erscheint, dieses anklicken und dabei die Maustaste geklickt halten. Danach das Icon nach oben in die Firefox-Leiste mit den verschiedenen Icons in die gewünschte Position ziehen.

Anschließend kann man durch klick auf die nach unten gerichtete kleine Pfeilspitze, die sich rechts neben dem CS-Lite-Icon befindet, die persönlichen Präferenzen einstellen. Wenn man dort auf „Cookies global blockieren“ klickt, so werden anschließend eben alle Cookies auf jeder aufgerufenen Website geblockt. Dies kann dazu führen, dass die Login-Funktion auf Websites (z.B. Homebanking-Website) ebenfalls blockiert ist. Für diesen Fall wieder auf die nach unten gerichtete kleine Pfeilspitze, die sich rechts neben dem CS-Lite-Icon befindet, ansteuern und die entsprechende Website „akzeptieren“.

Interessant wäre vielleicht auch noch die Software „NoScript“ [7]: Sie bietet zusätzlichen Schutz für den Firefox-Browser: NoScript erlaubt das Ausführen von JavaScript, Java (und anderen Plugins) nur bei vertrauenswürdigen Domains nach Wahl des Benutzers (z.B. von Homebanking-Websites). Der auf einer Positivliste basierende präventive Ansatz zum Blockieren von Skripten verhindert das Ausnutzen von (bekannten und unbekannten!) Sicherheitslücken ohne Verlust an Funktionalität.

Auch gibt es „Better Privacy“: Dieses Programm kontrolliert LSOs / Flash-Cookies. Brachte aber leider meinen Firefox 3.5 Beta 4 zum Absturz. Mit Vorsicht probieren und ggf. im „abgesicherten Modus“ des Firefox Browsers wieder deinstallieren.

Und übrigens: Die Entwickler der kleinen Helferlein würden sich über eine kleine Spende freuen. Denn gäbe jeder hundertste ihrer vielen Millionen Benutzer nur einen Euro, würde es zu einem rechtschaffenen
Auskommen reichen. Und wir erhalten dauerhaft Fehlerbehebungen und weitere Ergänzungen.