Was Sie gegen Super-Cookies tun können

Was Super-Cookies von Cookies unterscheidet

Wer aus Datenschutz-Gründen technisch nicht notwendige Cookies blockieren oder nach dem Ende der Online-Sitzung automatisch löschen möchte, hat dafür ein hilfreiches Werkzeug: den Cookie-Manager im Webbrowser.

In den Einstellungen des jeweiligen Webbrowsers können Sie etwa definieren,

• ob Sie generell Cookies ablehnen möchten,
• welche Ausnahmen davon gelten sollen und
• ob der Browser die Cookies beim Beenden des Browsers löscht.

Sie könnten jetzt den Eindruck haben, damit hätten Sie als Nutzer die Cookies im Griff. Doch das gilt nur für die klassischen Text-Cookies.

Nachdem die Nutzer ihre Cookie-Manager in vielen Browsern so eingestellt haben, dass die Lebensdauer von Cookies eher kurz ist und der Browser Drittanbieter-Cookies blockiert, haben sich die Anbieter etwas Neues einfallen lassen. Sie haben neue Cookie-Arten entwickelt, um sicherzustellen, dass sie die Nutzer-Aktivitäten auf Webseiten weiterhin verfolgen können.

Warum Super-Cookies ein Datenschutz-Problem sind

Offensichtlich sind Super-Cookies ein Datenschutz-Problem. Denn auch sie können Nutzerdaten vorhalten und haben damit Personenbezug.

In den Erwägungsgründen zur Datenschutz-Grundverordnung (DSGVO) heißt es: „Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“

Im Gegensatz zu den Cookies schaffen es Nutzer kaum, die Super-Cookies loszuwerden. Denn Super-Cookies nutzen oder besser gesagt missbrauchen Speichermöglichkeiten, die sich nicht über den Cookie-Manager kontrollieren lassen. Sie unterlaufen damit das Consent Management (Einwilligungsmanagement) im Web.

Doch die Browserhersteller wissen um die Grenzen ihrer Cookie-Manager. Genau wie die Organisationen, die sich neue Methoden für das Nutzer-Tracking überlegen, haben auch Datenschützer, Verbraucherschützer und Browser-Anbieter einiges getan, um gegen Super-Cookies vorzugehen.

Gegen Super-Cookies helfen neueste Browser-Versionen

Der Browser-Anbieter Mozilla erklärte dazu: „Tracker und Adtech-Firmen haben viel zu lange Browser-Funktionen missbraucht, um Menschen im Web zu tracken. Bereits seit 2018 arbeiten wir daran, die Tracking-Möglichkeiten zu reduzieren, um unsere Nutzer zu schützen. Beispielsweise haben wir Cookies von bekannten Trackern und Skripte von bekannten Fingerprinting-Unternehmen blockiert. In der neuen Version Firefox 85 führen wir nun eine grundlegende Änderung in der Netzwerkarchitektur des Browsers zum Schutz unserer Nutzer ein.“

Browser-Anbieter reduzieren Tracking-Schlupflöcher

Um zu verstehen, wie der neue Mozilla Firefox-Browser gegen Super-Cookies schützen kann, sehen Sie sich zuerst an, wie raffiniert Super-Cookies arbeiten:

Web-Browser teilen interne Ressourcen zwischen Webseiten, um beispielsweise Dateien nicht unnötig mehrfach herunterladen zu müssen.

Der Bild-Cache (Zwischenspeicher) von Firefox ist ein gutes Beispiel: Ist das gleiche Bild auf mehreren Webseiten eingebettet, lädt Firefox das Bild während des Besuchs der ersten Webseite aus dem Netzwerk. Auf den nachfolgenden Webseiten lädt der Browser das Bild dann aus seinem lokalen Bild-Cache, statt es erneut aus dem Netzwerk zu laden.

Leider lassen sich diese gemeinsam genutzten Ressourcen missbrauchen, um Nutzern im Web zu folgen. Im Fall des Bild-Cache kann jemand, der heimlich Tracking durchführen will, einen Super-Cookie erstellen, indem er eine Kennung für den Nutzer in einem zwischengespeicherten Bild auf einer Website „verschlüsselt“ und dann diese Kennung auf einer anderen Website „abruft“, indem er das gleiche Bild einbettet.

Um dieses Vorgehen zu verhindern, verwendet der neue Firefox 85 für jede Website einen anderen Bild-Cache. Das bedeutet, dass der Browser immer noch Bilder aus dem Cache lädt, wenn ein Nutzer dieselbe Seite erneut besucht. Aber Firefox teilt diese Caches nicht mehr zwischen den Webseiten.

Viele weitere Zwischenspeicher möglich

Der Vollständigkeit halber sei gesagt, dass es neben dem Bild-Cache viele weitere Zwischenspeicher gibt, die sich für Tracking missbrauchen lassen. Dazu gehören HTTP-Cache, Favicon-Cache, HSTS-Cache, OCSP-Cache, Style-Sheet-Cache, Font-Cache, DNS-Cache, HTTP-Authentifizierungs-Cache, Alt-Svc-Cache und TLS-Zertifikat-Cache.

Doch diese Zwischenspeicher nutzt der neue Firefox-Browser nun nicht mehr über verschiedene Webseiten hinweg. Das verhindert, dass Super-Cookies über Webseiten hinweg das Nutzerverhalten nachverfolgen.

Damit können Sie diese Wege für Super-Cookies sperren, auch wenn dafür die Ladezeit für Webseiten minimal ansteigen kann.

Was nach den Super-Cookies kommt

Da nicht nur der Mozilla-Browser neue Funktionen gegen heimliches Tracking einführt, sondern etwa auch der Chrome-Browser, suchen sich die Organisationen, die die Nutzer ohne Zustimmung nachverfolgen wollen, immer neue Wege. Es wird also in Zukunft andere Verstecke für Super-Cookies geben.