Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Die leidigen Cookies
Geschrieben: 16.06.2022
Stichwörter: Datenschutz
Warum die meisten Cookies genehmigt werden müssen, aber nicht alle
Cookies (wenn sie gespeichert werden) sind Hinterlassenschaften von Webseiten-Besuchen. Die Webseiten können bei einem erneuten Besuch dann erkennen: Diese Benutzer*in war schon eimal da und hat auf der Webseite dies oder das angeschaut oder gar gekauft. Damit entsteht ein Bild von der Person, und es ist möglich, ihr spezielle Angebote zu machen oder passende Werbung zu plazieren. Die Besucher*in sieht also nicht mehr dieselbe Seite wie andere Besucher*innen, sondern eine auf sie speziell ausgerichtete.
Das öffnet der Manipulation Tür und Tor. Wir sehen die Gefahren nicht nur beim Einkaufsverhalten, sondern auch in der Politik: Benutzer*innen werden Informationen gegeben, die diese gerne lesen wollen, egal ob diese geprüft oder ungeprüft sind, wahr oder falsch. Es wird schwierig, ungeschminkte Wahrheiten zu erkennen. Für die Webseiten-Betreiber*innen geht es dabei meist gar nicht darum, bestimmte Meinungen zu forcieren, sondern für sie ist es einfach nützlich, wenn sich die Benutzer*in auf der Webseite wohlfühlt. Aber die daraus entstehende Begünstigung von Denkblasen ist eine Gefahr für die Demokratie. Und, wie wir aktuell sehen, damit auch eine Gefahr für den Weltfrieden und so auch für unser Leben.
Kluge Leute versuchen, gegenzusteuern. Browser-Entwickler*innen treffen Maßnahmen, um das Tracking zu verhindern oder zumindest auszubremsen. Politiker*innen haben die DSGVO und ein System von Datenschutz-Regeln entwickelt, dass verhindern soll, dass wir hilflose Opfer werden. Cookies dürfen nur noch gespeichert werden, wenn die Besucher*in zugestimmt hat oder wenn die Cookies technisch notwendig ist für die Funktion, wegen der der Besuch stattfindet.
Die Ausnahme von der Zustimmungspflicht ("technisch notwendig") ist wichtig: Eine Webseite besteht oft aus mehreren Einzelseiten, über die ein Besuch führt. Will man ein Produkt kaufen, so muss es zunächst gefunden werden, es in einen Einkaufswagen gelegt werden. Und schon für diesen einfachen Vorgang sind bereits Cookies erforderlich. Es geht hier nicht um Manipulation oder Honig um den Bart schmieren, sondern darum, dass die Informationen, die ich beim Besuch der Seite gegeben habe ("ich interessiere mich jetzt für dieses bestimmte Produkt") nicht sofort wieder vergessen werden.*
Was aber heißt "technisch notwendig" genau? Ist hier nicht auch ein Missbrauch möglich?
"Technisch notwendig"
Es heißt zunächst, dass es sich um "funktionelle" Cookies handelt. Das heißt: Der Zweck ist die Funktion der Seite. Nicht etwa Informationssammlung, um besser Werbung plazieren zu können, nicht Statistik, um die Seite verbessern (was auch immer unter "Verbesserung" verstanden wird) zu können, schon gar nicht, um Kund*innen auszuforschen.
Es heißt aber auch, dass nicht jede Funktion gemeint sein kann. Unzulässig ist, dass eine Webseitenbetreiber*in einfach irgendwelche Funktionen implementiert, die für die Webseite im Kern gar nicht notwendig sind, und damit Cookies, die für diese Funktionen nötig sind als "technisch notwendig" deklariert. Es dürfen also nur essenzielle Cookies für essenzielle Funktionen zustimmungsfrei gespeichert werden. Diese Regel (die jedoch noch keineswegs überall beachtet wird, deren Missachtung allerdings auch entsprechende Risiken für die Webseitenbetreiber*innen mit sich bringt) ist ein starkes Instrument gegen den Missbrauch von Cookies.
Grenzen des Datenschutzes
Die Grenze des möglichen Datenschutzes ist dort erreicht, wo die Benutzer*in ihre Zustimmung (z. B. zur Speicherung von nicht-essenziellen Cookies) erteilt oder auch ein Konto auf einer Webseite anlegt. Sobald ein Konto erstellt wurde, hat die Webseitenbetreiber*in alle Möglichkeiten, die Aktivitäten der Benutzer*in auch ohne nicht-essenzielle Cookies zu verfolgen. Allerdings darf sie dies nur im Rahmen der (früher "Datenschutzerklärung" genannten) Datenschutzhinweise tun.
Was heißt das für key.matiq?
key.matiq hat als Ziel, die digitale Identität zu schützen und der digitalen Sicherheit zu dienen. Wir begrüßen daher ausdrücklich die DSGVO und alle Bemühungen, den Datenschutz zu verbessern, dies aber auch unbürokratisch zu implementieren und die Bedienungsfreundlichkeit im Blick zu behalten.
Eine Ausforschung von Kund*innen käme für uns überhaupt nicht in Frage: Wer würde schon seine/ihre geheimsten Daten einem Dienst anvertrauen, der an so etwas auch nur denken würde?
Allerdings bedeuten die Datenschutzregeln auch für uns eine Herausforderung: Eine ganze Reihe von Sicherheitsmaßnahmen, die wir anbieten, benötigen auch Cookies, also Wiedererkennbarkeit von Einstellungen, Geräten, früheren Anmeldungen. Nicht alle Sicherheitsmaßnahmen sind essenziell. Manche verstärken einfach nur die essenziellen Maßnahmen, aber es geht auch ohne sie.
Cookies können ja auch immer benutzungsseitig gelöscht werden. Z. B. über die Browserfunktion "Chronik löschen". Also müssen wir ohnehin darauf achten, dass alle cookiebasierten Sicherheitsmaßnahmen bei Verlust des Cookies irgendwie (mit höherem Bedienungsaufwand) umschifft werden können. Heißt das, dass diese Cookies gar nicht der Sicherheit diesen, sondern eher der Bedienungsfreundlichkeit (Vermeidung des höheren Bedienungsaufwands)?
So einfach kann man es jedoch nicht sagen: Wenn der Bedienungsaufwand in der Regel zu hoch wird, verändert sich die Kosten-Nutzen-Rechnung für das Sicherheitsfeature. D. h. es könnte wegen des erhöhten Bedienungsaufwands abgeschaltet werden. Zu Lasten der Sicherheit.
Ein Beispiel
Das Cookie "box_id" speichert verschlüsselt ab, in welcher Box sich die Nutzer*in zuletzt angemeldet hatte. Damit ist es möglich, eine Willkommensmeldung, die die Benutzer*in selbst gewählt hatte, anzuzeigen. Die Anmeldeseite wurde also personalisiert.
Jedes Phishing basiert darauf, Benutzer*innen auf gefälschte Seiten zu locken, damit sie dort ihre Anmeldedaten eingeben. Doch die Fälschung der Seite ist schwierig, wenn sie personalisiert ist. Die Benutzer*in würde sofort erkennen: Dies ist nicht meine Willkommensmeldung. Sie ist also vorgewarnt.
Sollte das "box_id"-Cookie gelöscht sein, könnte die Benutzer*in sich dennoch anmelden. Aber sie wird darauf hingewiesen, dass die Willkommensmeldung nicht angezeigt werden kann und dass der Domainname und das TLS-Zertifikat überprüft werden sollten. Würde das "box_id" jedoch nicht nur im Ausnahmefall gelöscht, würde dann wohl recht bald geringere Aufmerksamkeit Einzug halten. Leicht kann man dann die Unterschiede zwischen "matiq", "matìq" und "matig" übersehen.
Ein anderes Beispiel
Das Cookie "autocomplete" steuert, ob bei der Anmeldung der Browser die Anmeldedaten automatisch ausfüllen darf. Wird eine Benutzer*in abgelenkt und verlässt den Arbeitsplatz, wird nach einiger Zeit die angeldete Sitzung gesperrt oder beendet. Die automatische Ausfüllung der Anmeldedaten ist jetzt, wenn das Cookies "autocomplete" zugelassen ist, gesperrt.
(Es ist zwar möglich diese Sperrung mit Hilfe von Entwicklerwerkzeugen im Browser zu umgehen, aber dies erfordert schon etwas Kompetenz. D. h. der Schutz ist zwar nicht 100-prozentig aber auch nicht vernachlässigbar.)
Wird das Cookie "autocomplete" nicht zugelassen, so müssen wir (als key.matiq-Entwickler*innen) uns entscheiden, ob wir dann die automatische Ausfüllung noch zulassen wollen oder nicht.
Unsere Entscheidung war: Sofern noch möglich ist, festzustellen, um welche Box es sich handelt ("box_id"-Cookie präsent) und die Nichtzulassung des "autocomplete"-Cookies ist in der Box vermerkt, wird die automatische Ausfüllung von Anmeldedaten erlaubt.
Gründe:
- Die Benutzer*in legt offenbar keinen Wert auf die Steuerung der Autocomplete-Funktion (hat das Cookie nicht genehmigt).
- Das Sicherheitsfeature bietet ohnehin keinen 100-prozentigen Schutz. Es ist daher durchaus möglich und sinnvoll, dass die Benutzer*in einen anderen Schutzmechanismus (z. B. Sperrbildschirm für die PC-Sitzung) verwendet.
- Die Verwendung des Browser-Passwortmanagers ist in der Regel sinnvoll. Also sollte in der Regel das automatische Ausfüllen erlaubt sein.
- Ohne das Cookie können kann key.matiq aber im abgemeldeten Zustand nicht mehr erkennen, ob es sich um einen vorherigen Sitzungstimeout handelt oder nicht.**
In diesem Beispiel führt also die Weigerung, ein Cookie zu genehmigen, nicht nur zu Unbequemlichkeiten (Hauptkennwort von Hand eingeben), sondern direkt zu einem Verzicht auf eine Sicherheitsmaßnahme.
Andere funktionale Cookies
Nicht alle Cookies dienen direkt (oder nahezu direkt) der Sicherheit. Bei manchen geht es einfach nur um Bedienungsfreundlichkeit. Z. B. bei den Geräteeinstellungen. Wir brauchen sie schon außerhalb der Anmeldung, denn da kann man bereits das Handbuch lesen. Es wäre lästig, wenn eine Linkshänder*in auf einem Smartphone etwas vom "Mausrechtsklick" für das Kontextmenü liest. (Das stimmt dann nicht einmal auf dem Desktop-PC.)
Die Geräteangaben helfen, das Handbuch, Kurzinfos und auch die Bedienung gerätespezifisch anzupassen. Das Cookie "device" hilft, diese Angaben bis zum nächsten Besuch mit diesem Gerät zu speichern.
Das Cookie "browser_tested" wird verwendet, damit sich key.matiq merken kann, dass ein Hinweis auf einen ungetesteten Browser auf diesem Gerät schon erfolgt ist. Sonst muss key.matiq diesen Test auf bestimmte Seiten beschränken, um nicht die Benutzer*in durch andauernde Warnmeldungen zu nerven. Kann schon sein, dass dann auch zu wenig gewarnt wird.
Also auch bei den "nur" der Bedienungsfreundlichkeit oder der Bequemlichkeit dienenden Cookies würde man sich durch eine vorschnelle Ablehnung von deren Speicherung eher "ins Knie schießen". Wer uns kennt, weiß bald, dass key.matiq nur Daten speichert, die den Nutzer*innen dienen!
Empfehlung: Cookies speichern und Löschung verhindern!
Wir gehen noch weiter: Wählen Sie die Browser-Einstellungen so, dass der Browser keinesfalls von sich aus Cookies vorzeitig löscht! Das betrifft z. B. den Firefox®***-Browser. Schalten Sie für die Webseite https://key.matiq.com den "Verbesserten Schutz vor Aktivitätenverfolgung" aus! Mit diesem Schutz werden bei nichtbesuchten Seiten nach 30 Tagen die Cookies gelöscht. Bei key.matiq ist das kontraproduktiv.
Auch beim Schließen des Browsers sollen bei key.matiq die Cookies nicht gelöscht werden.
Wie kommt key.matiq an die sinnvollen Cookie-Genehmigungen?
Wir halten alle Cookies, die key.matiq verwendet, für sinnvoll und empfehlen daher ihre Genehmigung. Aber wir verstehen, dass es für Benutzer*innen nicht immer einfach ist, zu unterscheiden zwischen guten Empfehlungen und solchen, die nur als "gute Empfehlung" erscheinen sollen.
Wir wollen uns nicht auf das Glatteis begeben, die funktionalen key.matiq-Cookies, ohne die es auch noch irgendwie geht, als "essenziell" zu bezeichnen, sondern definieren lieber "essenziell" sehr restriktiv und setzen auch diese Cookies erst zu dem Zeitpunkt ein, an dem es gar nicht mehr ohne sie sauber funktioniert.
Es wäre auch nicht in Ordnung, einfach nur die Zustimmung zu funktionalen Cookies im Paket zu erzwingen. Es ist richtig, für verschiedene Maßnahmen auch verschiedene Cookies zu verwenden und der Benutzer*in diese im Einzelnen zu erklären und ihr letztlich im Detail die Entscheidung zu überlassen.
Wir versuchen, die Benutzer*innen zur Genehmigung für einzelne noch ungenehmigte Cookies direkt bei der davon beeinträchtigten Funktion zu überzeugen. Und durch den Ratgeber. Und natürlich auch durch diesen Blog-Artikel. Vielleicht irgendwann auch noch durch penetrante "Tipps des Tages", sollten wir merken, dass immer noch zu oft Cookies abgeschaltet werden. Insgesamt ist das ist zwar ein mühseliger Weg, aber letztlich der einzig geradlinige.
*) Früher wurde bereits auf Grund der damaligen EU-Cookie-Richtlinie bei diesen technisch notwendigen Cookies eine Zustimmung verlangt. Allerdings waren damit viele Web-Entwickler*innen überfordert, da die von ihnen benutzten (außerhalb der EU entwickelten) Software-Bibliotheken bereits beim ersten Besuch ein Sitzungs-Cookie anlegen, was gar nicht einfach zu verhindern ist.
**) Man könnte daran denken, zumindest bei einer Sperransicht das automatische Ausfüllen zu verhindern. Aber aus einer Sperransicht heraus kann man immer abmelden. Man könnte nun daran denken, bei einer Abmeldung aus der Sperransicht heraus, das Cookie "box_id" zu löschen. Aber das führt in die Irre, da dann die Willkommensmeldung nicht mehr angezeigt werden kann.
***) Hinweise zu Marken Dritter:
"Firefox" ist eine eingetragene Marke der Mozilla Foundation.