Die Sache mit den Cookies

veröffentlicht am 19.11.2020 mit 1051 Worten - Lesezeit: 5 Minute(n) in * GEBRABBEL *

Vor ’nem Monat wurde bei extra 3 ein Beitrag ausgestrahlt, der aus Sicht genervter Nutzer die Cookie-Thematik darstellt. Ich möchte hier einmal darstellen, wie ich aus Sicht des Betreibers dieser Seiten damit umgehe - allgemeinverständlich.

Die Daten der Webseiten-Nutzer

Server-Logfiles

Seit über zwanzig Jahren “bastle” ich Webseiten, und noch länger gibt es Server-Logfiles. Diese zeichnen auf:

• Datum, Zeit der Anfrage
• IP-Adresse des anfragenden Nutzers (der Webserver muß ja wissen, wo der die Daten hinschicken soll)
• angefragte Resource (Seite, Bild, Dokument, …) incl. Webadresse derselben,
• Statusmeldung des Servers (200, 404, 401 oder was auch immer),
• ggf. ausgelieferte Datenmenge,
• ggf. Browserkennung.

Das ist also nichts Neues, innerhalb eines Besuchs kann/könnte der Betreiber der Webseite, auch der Administrator des Providers, der den Webserver betreibt, jederzeit sehen, was die Leute (deren Identität er aber nicht kennt) treiben …

Die Logfiles dienen der Fehlersuche - einerseits bei technischen Problemen, andererseits kann ich als Webseitenbetreiber aus Meldungen “404” auch sehen, wenn ich irgendwo auf meinen Seiten kaputte Links eingebaut habe.

und wie handhabe ich das hier? Wer mal ein Serverlog gesehen hat, der weiß: freiwillig guckt man da nicht rein. Mein Provider löscht diese Files regelmäßig, ich nutze nur die Statistiken, die daraus erstellt wurden (und die keine Einzelaktionen mehr beinhalten)

Cookies

Fall 1: Erstanbieter-Cookies

Cookies sind nun einfach ein Mittel, die Bewegungen der Nutzer auf einer Webseite einfacher verfolgen zu können. Das ist sinnvoll, weil das Ergebnis einer Suchanfrage dem richtigen Leser zugeordnet werden muß, ebenso wenn er einen Kommentar im Blog schreibt und dazu ein Formular ausfüllt - oder noch komplexer: ein Warenkorb in einem Shop.

Auch das ist noch nicht schlimm: wenn ich wo einkaufe, dann will ich ja, daß mir die Ware geliefert wird - und dazu muß der Warenkorb mit der im Formular eingegebenen Adresse und den Zahlungsdaten ja irgendwie zusammengeführt werden.

und wie handhabe ich das hier? Für das Kontaktformular benötige ich keine Cookies, für die Kommentarfunktion schon (Anzeige vorhandener Kommentare, Bereitstellung des Formulars zum Schreiben neuer Kommentare)

Fall 2: Drittanbieter-Cookies

Deutlich problematischer sind nun die sog. Drittanbieter-Cookies:

Dazu möchte ich den Leser zunächst zu einem kleinen Selbstversuch anstiften:
Installiere mal diese Erweiterung (hier für Firefox, gibt’s aber auch für Chrome), gehe dann auf z. B. PCwelt.de oder so’n Verein, von mir aus auch Spiegel oder Washington Post oder was auch immer. Guck Dir dort ein paar Seiten an und schließe dann den Tab. Oben rechts in der Werkzeugleiste des Firefox geht dann bei der Erweiterung eine Sprechblase auf und erzählt Dir im Extremfall was von ein paar Dutzend bis Hunderten Cookies von Dutzenden von Domains, die gerade gelöscht wurden.

Hintergrund: alle Werbetreibenden, die Werbebanner setzen, verteilen damit Cookies. Dem sollst Du ja dann auch zustimmen (“Geschäftspartner” oder wie der eigentliche Seitenbetreiber das immer nennt). Und das passiert auf hunderten von Seiten, die der gemeine Surfer so besucht. Kommst Du nun auf die Webseite eines dieser Werbetreibenden, dann kann der seine eigenen Cookies, die er dort überall verteilt hat, auslesen und kennt Deine Surfhistorie. Das mag für den insoweit interessant sein, als er dann weiß, wie effektiv seine Werbung auf den einzelnen Seiten war - oder auch, welche Preise er Dir in seinem Shop anzeigen kann … wenn Du “Wirtschaftswoche” gelesen hast vielleicht etwas höhere als wenn Du “Bild der Frau” gelesen hast … oder so.

und wie handhabe ich das hier? Ich verkaufe meine Leser nicht an Datenkraken - solange ich nicht auf Hartz IV angewiesen bin, wird es hier keine Bannerwerbung und keine Drittanbieter-Cookies geben …

Verbindungsdaten

Der Dritte im Bunde ist nun der Provider (Telekom z. B.) des Surfers, also des Anschlußinhabers. Dieser hat naturgemäß die komplette Surf-Historie vorliegen, denn er muß ja den Datenverkehr routen - vom Anschluß zum Webserver der besuchten Webseite und zurück.
Der Provider hat aber eigentlich - bis auf die Abrechnung - keinerlei Interesse an den Daten, weil keine Rechtsgrundlage.
Und deshalb steht er ja auch überwiegend auf der Seite seiner Kunden, wenn immer mal wieder das Thema “Vorratsdatenspeicherung” von politisch interessierten Kreisen hochgekocht wird - eigentlich wollen die Provider die Daten möglichst schnell wieder loswerden, die gespeicherten Verbindungsdaten verbrauchen Unmengen an Speicherplatz - und im Zeitalter von Flatrates sind die zu nichts anderem zu nutzen außer zu Mißbrauch durch die genannten Kreise (für Abrechnungszwecke werden sie ja bei dieser Tarifart nicht mehr gebraucht).

und wie handhabe ich das hier? Auf Verbindungsdaten hat ein Webseitenbetreiber sowieso keinen Zugriff, das ist ein reines Thema zwischen Anschlussinhaber und dem Betreiber des Netzanschlusses

Einordnung und Bewertung

Weil die Cookies aber so in Verruf gekommen sind (zu Recht - wegen der Banausen im oben beschriebenen Fall 2), arbeiten dieselben Banausen an sowas wie “Fingerprinting” (also Erkennung auf Basis von Browserkennung, installierten Erweiterungen, Rechner, Betriebssystem, Bildschirmgröße etc.) - da bin ich aber nicht auf dem letzten Stand, wie zielführend das inzwischen ist.

Aber genau dieser Fall 2 ist der, um den diese ganze Diskussion geht.
Nun gibt’s aber noch

Fall 2a: “Deanonymisierung”

Fakebook und Google und die ganzen Datensammler, auch Web.de & Co., können nun die - bis hierher noch anonymen - Cookies “deanonymisieren”, indem sie einfach die gesammelten Cookies mit dem Benutzernamen, mit dem sich der Benutzer auf deren Webseite angemeldet hat, um deren “Dienste” nutzen zu können, zusammenführen.
Deshalb blockt Google auch immer wieder die Nutzung von “unsicheren Drittanwendungen” wie z. B. Thunderbird - denn mit deren Hilfe könnte man ja e-mails abrufen, ohne sich auf deren Webseite anmelden zu müssen (und dann funktioniert das ja nicht mehr mit der Personenzuordnung der Cookies …).

Streng genommen ist "Deanonymisierung" ein falscher Begriff, entweder Daten sind anonym oder nicht

Schlußfolgerungen:

• Cookies löschen und gut ist. Dazu ist die oben genannte Erweiterung eine große Hilfe, die räumt auf immer dann, wenn ein Tab im Browser geschlossen wird.
• Nie irgendwo anmelden und angemeldet bleiben, derweil man sonst noch was anderes macht auf dem Rechner im Internet.

und wie handhabe ich das hier? Bei mir gibt es keine Anmeldefunktion - also kann (und will) ich auch nichts “deanonymisieren”

Schlussbemerkungen

Eigentlich ist’s (technisch) ganz einfach und transparent …
Wer sich als Webseitenbetreiber auf technisch notwendige Daten beschränkt, der muß seine Nutzer informieren.
Wenn der Cookie-Banner unübersichtlich und kompliziert und lang wird … und jede Menge Einwilligungen verlangt werden … dann ist Datensammelwut und Datenhandel im Spiel.

Und deshalb gibt’s bei mir auch nur einen schmalen Hinweis oben auf der Seite …

weitere Artikel

• Android auf RockPi 4B - ein paar Praxiseindrücke
• Android installieren auf RockPi 4B
• Postbank mal wieder: Bestsign und die Abschaltung der chipTAN
• FIDO2, Nitrokey und Linux
• Noch ein eingesperrtes Android ...