Tracking-Cookies sind nicht nur lästig, sondern können im schlimmsten Fall die IT-Sicherheit des Unternehmens bedrohen. So können sich KMU gegen das lästige Übel schützen.
Cookies (englisch für Kekse) sind im echten Leben eine feine Sache. In der virtuellen Welt des Internets sind sie aber von eher zweifelhaftem Wert. Die kleinen Textdateien wurden ursprünglich dazu entwickelt, das Surfen komfortabler zu machen. Sie ermöglichen es einer Webseite, sich an gewisse Dinge zu erinnern, beispielsweise an den Inhalt eines Warenkorbs oder die Spracheinstellungen. Die Cookies werden von Webseiten im Browser hinterlassen und bei Bedarf wieder abgerufen.
Cookies sammeln Daten
Das ist erst mal gar nicht schlimm. Doch schnell entwickelte sich das eigentlich harmlose Stück Software zu einem unentbehrlichen Mittel zur Datensammlung und damit zur Gefahr für die Sicherheit von privaten Daten sowie zunehmend für die Firmen-IT. Denn Cookies speichern alles, was die Nutzerinnen und Nutzer eingeben: Mailadressen, Namen, Logindaten usw. Und das sind nur die sogenannten First-Party-Cookies. Zunehmend werden aber auch Third-Party-Cookies eingeschleust, dies meist ohne das Wissen der Userinnen und User. Diese speichern im Hintergrund die ganze Browser-History und geben diese an die entsprechenden Unternehmen weiter – inklusive aller eingegeben Daten wie Mailadressen. Berüchtigt ist beispielsweise Facebook, das via ein spezielles Cookie seine Userdaten mit den Browserdaten abgleicht und zahlreichen Partnerunternehmen zur Verfügung stellt.
Diese sogenannten Tracking-Cookies analysieren das Verhalten der Surferinnen und Surfer und ermöglichen so das Ausspielen von personalisierter Werbung. Ein Beispiel: Sie suchen im Internet nach einer Ledertasche. Wenig später bekommen nicht nur Sie, sondern auch Ihre Partnerin oder Ihr Partner Werbung für Ledertaschen eingeblendet. Warum ist das so? Weil er oder sie in Ihrer Freundesliste ist, und dies von einem Cookie erfasst und weitgeleitet wurde.
Cookies immer selbst wählen
Es ist – wie fast immer, wenn es um IT-Sicherheit geht – ein schmaler Grat zwischen komfortabler Nutzerfreundlichkeit und einem umfassenden Schutz der Firmen-IT. Surfen ganz ohne Cookies ist unkomfortabel, viele Webseiten funktionieren gar nicht oder nur mangelhaft bei komplett deaktivieren Cookies. Andererseits ist es unter Umständen ein Sicherheitsrisiko, wenn Cookies wahllos alles speichern dürfen. Vermehrt machen Sicherheitsspezialisten auch darauf aufmerksam, dass Cookies, die über unverschlüsselte Verbindungen verschickt werden, von Cyberkriminellen abgefangen und auf dem Schwarzmarkt verkauft werden. Diese Daten können für weitergehende Attacken auf Firmennetzwerke missbraucht werden.
Ein wichtiger Schritt für mehr Sicherheit war die Einführung der Europäischen Datenschutz-Grundverordnung (DSGVO) 2018. Diese sieht unter anderem vor, dass Webseitenbetreiber den Besucherinnen und Besuchern nicht mehr einfach beliebig viele Cookies unterjubeln dürfen, sondern eine ausdrückliche Zustimmung dafür benötigen. Dies ist der Grund, warum heute beim Besuch einer Webseite immer gefragt wird, welche Cookies man denn erlauben möchte. Schon sind wir wieder beim Thema Bequemlichkeit: Zu viele Surfende klicken noch immer auf «Alles akzeptieren», um möglichst schnell zum Ziel ihrer Wünsche zu kommen. Dabei wäre der nächste Schritt ohne viel Aufwand möglich. Nur ein Mausklick weiter lassen sich die bereits ausgewählten Cookies (das sind in aller Regel die unbedenklichen First Party Cookies) akzeptieren. Es ist gemäss einem Gerichtsurteil aus Deutschland nicht zulässig, in dieser Auswahl andere Cookies als ausgewählt zu definieren. Diese überaus nützliche Präzisierung dauert in der Regel nur einige Sekunden.
So schützen sich Firmen
Unternehmen haben einige Möglichkeiten, den Missbrauch von Cookies auf Firmengeräten zu erschweren. Einerseits bieten alle Browser Einstellungen, wie mit Cookies umgegangen wird und wann sie gelöscht werden. Achtung: Die Browsereinstellung «Do not Track» ist reine Augenwischerei, da sie nicht bindend ist und für die Firmen auf reiner Freiwilligkeit beruhen. Gewisse Browser verhindern Third Party Cookies bereits in der Grundeinstellung. Daneben sollte es eine klare Handlungsanweisung geben, ob von einem Firmen-PC aus auf Soziale Netzwerke wie Facebook zugegriffen werden kann. Aus Sicherheitsgründen sollte man diese Bewilligungen eher zurückhaltend erteilen. Ein wichtiger Punkt ist die Weiterbildung der Mitarbeitenden. Denn wer weiss, was Cookies sind und was sie tun, kann eher beurteilen, wie er oder sie entsprechende Fragen des Browsers beantworten soll. Hier sollte der Grundsatz sein: Die wirklich nötigen Cookies bewilligen, alle anderen ablehnen. Dies ist bei einer DSGVO-konformen Abfrage bereits die Voreinstellung der Webseite.
Sind Sie fit im Datenschutz Thema und kennen die verschiedenen Empfehlungen, wenn es beispielsweise um Passwortsicherheit geht? Testen Sie Ihr Wissen im Bereich Datenschutz in unserem neuen Quiz.