Cookies: Die Gefahren von Cookies

Cookies sind an sich ungefährlich. Allerdings können sie für Zwecke verwendet werden, die für den Nutzer unangenehme Folgen haben können. Beispielsweise lassen sich mit Hilfe von Cookies Informationen über das Surfverhalten eines Internetnutzers sammeln. Ein ernstes Sicherheitsrisiko besteht, wenn die Verwendung von Cookies Unbefugten den Zugang zu passwortgeschützten Diensten ermöglicht.

Anlegen von Nutzerprofilen

Durch die Verwendung von Cookies können detaillierte Nutzerprofile erstellt werden. Insbesondere Werbetreibende greifen zu diesem Mittel. Dazu setzen Sie Cookies auf Websites ein, auf denen sie Anzeigen geschaltet haben. Diese Cookies werden meist über einen langen Zeitraum hinweg auf dem Computer des Nutzers gespeichert. So können Sie den Weg eines Internetnutzers über sämtliche Websites hinweg verfolgen, auf denen sie Werbung geschaltet haben.

Das Werbegeschäft im Internet wird von wenigen, großen Unternehmen dominiert. Dadurch finden sich deren Anzeigen auf vielen Websites wieder. So ist die Verfolgung des Surfverhaltens von Nutzern auf diese Weise recht effektiv.

Meist handelt es sich bei den Datensammlungen allerdings um anonyme Nutzerprofile und der Nutzer kann nicht weiter verfolgt werden, wenn er die entsprechenden Cookies löscht. Daher sollten Sie gespeicherte Cookies in Ihrem Browser regelmäßig löschen, wenn Sie eine Verfolgung Ihres Surfverhaltens verhindern wollen. Denn oftmals ist die Gültigkeitsdauer der Cookies von Online-Diensten sehr lang (oder gar unbegrenzt), sodass diese für einige Zeit gespeichert bleiben und auch immer wieder ausgelesen werden können.

Übernahme nicht beendeter Sitzungen

Ein ernsthaftes Sicherheitsrisiko im Zusammenhang mit Cookies kann dort entstehen, wo ein Computer (und dasselbe Nutzerkonto) von mehreren Personen benutzt wird – beispielsweise im Internet-Cafe oder an manchen Arbeitsplätzen. Werden die Cookies zur Sitzungsverwaltung durch den Browser oder den Nutzer nicht gelöscht, dann kann es vorkommen, dass der Nächste, der den Computer verwendet, die entsprechenden Nutzerkonten seines Vorgängers bei Online-Diensten einsehen und verwenden kann. Das gilt insbesondere für Online-Dienste wie soziale Netzwerke (z.B. Facebook), E-Mail-Konten oder Online-Banking.

Verschärft wird dieses Problem dadurch, dass die Gültigkeitsdauer der Sitzungscookies von Online-Diensten oftmals sehr lang gewählt wird. Deshalb sollten Sie sich bei solchen Diensten immer abmelden und damit das entsprechende Sitzungscookie ungültig machen.

Wichtig zu wissen ist, dass Cookies immer nur eine Kombination aus Computer, Nutzerkonto und Browser identifizieren. Wird zum Surfen ein anderer Browser verwendet oder ein anderes Nutzerkonto, dann werden jeweils neue, unabhängige Cookies angelegt. Verwenden also zwei Personen denselben Computer, haben aber verschiedene Nutzerkonten, dann werden auch die Cookies getrennt gespeichert. Wird ein anderer Computer verwendet, dann werden selbstverständlich wiederum neue, unabhängige Cookies gesetzt. Eine Nutzerverfolgung über Computer-, Nutzerkonto- oder Browser-Grenzen hinweg ist somit nicht möglich. Eine Ausnahme bilden allerdings die immer häufiger eingesetzten Flash Cookies.

Session Hijacking

Ein weiteres Sicherheitsproblem entsteht, wenn die Kommunikation mit einem Passwort-geschützten Online-Dienst unverschlüsselt erfolgt. Wird hier nach der Anmeldung ein Sitzungscookie gesetzt, das den Nutzer als authentisiert ausweist, dann kann ein Angreifer, der den Datenverkehr abhört, dieses Cookie abfangen und den entsprechenden Online-Dienst unautorisiert verwenden. Diese Methode nennt sich Session Hijacking, was mit „Entführung einer Kommunikationssitzung“ (Wikipedia) übersetzt werden kann.

Das Abfangen eines Cookies kann beispielsweise geschehen, wenn Daten über ein unzureichend gesichertes WLAN gesendet werden. Deshalb sollte die Kommunikation mit Online-Diensten, die eine Anmeldung mit Benutzernamen und Passwort erfordern, stets verschlüsselt erfolgen. Dazu wird normalerweise das Protokoll HTTPS verwendet. Wird der Datenverkehr verschlüsselt, dann kann das zur Authentifizierung dienende Sitzungscookie nicht abgefangen werden.

Hierbei sollten Sie darauf achten, dass die Verschlüsselung über die gesamte Dauer der Verbindung aufrecht erhalten wird. Einige Websites verschlüsseln lediglich die Anmeldung der Nutzer und senden danach sämtliche Daten wieder unverschlüsselt. So kann der entscheidende Cookie nach der Anmeldung abgefangen werden, denn er/es wird ja bei jedem Aufruf einer Webseite erneut vom Browser an dern Server übermittelt. Achten Sie also darauf, dass in der Adressleiste ein „https://“ der Webseitenadresse vorangeht.

Cookie-Daten-Diebstahl

Mit Hilfe kleiner Programme die Angreifer in Webseiten verstecken, können unter Umständen vom Browser gespeicherte Cookies ausgelesen werden. Dadurch können sensible Informationen in die falschen Hände geraten. Beispielsweise ist auf diese Weise ebenfalls eine Sitzungskaperung möglich. Online-Dienste, die in einem anderen Fenster/Tab des Browsers geöffnet sind oder bei denen Sie sich nicht abgemeldet haben, können auf diese Weise von einem Angreifer übernommen werden.

Zwar bieten Cookies die Möglichkeit den Zugriff durch solche Programme zu verbieten, dies wird aber oft nicht getan oder kann durch Sicherheitslücken umgangen werden. Schützen können Sie sich nur, indem Sie die Ausführung solcher Programme verbieten. Dazu müssen Sie entweder die Ausführung aktiver Inhalte, so genannter „Skripte“, jeglicher Art in den Browser-Einstellungen generell verbieten oder, da das zu erheblichen Problemen beim Surfen führen kann, Plug-ins wie beispielsweise „NoScript“ für den Firefox-Browser verwenden.

Lizenz
Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples.

Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise, IT-Administrator und Mimikama. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite.

Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.

Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei.