Foto: ENISA
Vor "bittersüßen" Cookies warnt die Europäische Agentur für Netz- und Informationssicherheit (ENISA). So seien Cookies einer neuen Generation in Umlauf, die nicht auf harmlose Weise den Informationsaustausch über das Internet erleichtern. Vielmehr handele sich zum Teil um neue Gefahrenquellen für Sicherheit und Privatsphäre, denen die Anwender relativ ohnmächtig gegenüber stünden. Darum sind nach Einschätzung der Agentur regulatorische Eingriffe notwendig.
Die ENISA hat dabei neue, dauerhafte und extrem leistungsstarke Cookies vor Augen, die von der Werbeindustrie entwickelt wurden. Mit ihrer Hilfe lässt sich das Userverhalten nachverfolgen, um auf dieser Informationsgrundlage passgenaue Werbung zu schalten. Es werden letztlich Persönlichkeitsprofile erstellt, was nach ENISA-Einschätzung einen so bisher nicht gekannten Eingriff in die Privatsphäre darstellt. Die Gefahr werde noch dadurch verschärft, dass mittlerweile fast alle Cookies langlebig statt temporär sind.
„Es wird noch viel Arbeit kosten, diese neuen Cookies so transparent und für den User kontrollierbar zu machen wie die alten HTTP-Cookies, um so die Privatsphäre- und Sicherheitsaspekte von Verbrauchern und Unternehmen gleichermaßen zu schützen“, so ENISA-Direktor Udo Helmbrecht.
Anwender müssen über Cookies informiert werden
Die Agentur setzt darauf, den Usern bessere Informationen zukommen zu lassen. Die Möglichkeit des Missbrauchs beruhe auf der Identifizierung der User über einen längeren Zeitraum hinweg, die jedoch derzeit nicht erkennbar sei. Eine restriktive Blockierung von Cookies ist allerdings nur schwerlich eine Lösung, weil die Service-Qualität beim Surfen im Internet darunter zu sehr leiden würde. Darum helfen nach ENISA-Einschätzung alleine Regeln nach dem Prinzip des „informed consent“ weiter.
Dieses besagt, dass die User erfahren, welche Informationen ein Cookie verwendet und wofür diese verwendet werden. Das werbende Unternehmen müsste ferner die ausdrückliche Zustimmung der User einholen und ihnen einfache Möglichkeiten zu Cookie-Verwaltung anbieten.
Supercookies besonders im Visier
Zudem sollen alle Cookies möglichst nur im Browser gespeichert und einfach wieder entfernt werden können. Für User, die diese Art des Zugriffs nicht erlauben wollten, müssten alternative Service-Möglichkeiten angeboten werden, fordert die EU-Behörde. Die entsprechende Direktive 2009/136/ müssen die Mitgliedsstaaten bis 25. Mai in nationales Recht gießen.
In einem Positionspapier stellt die ENISA ihre Bedenken ausführlich dar. Als Gefahr für die Privatsphäre sieht die Agentur insbesondere sogenannte Supercookies wie den „Flash Cookie“, der im Zusammenspiel mit Adobe Flash verwendet wird. „Weil diese Cookie-Files außerhalb des Kontrollbereichs der User gespeichert werden, erlauben die Web-Browser keine direkte Kontrolle durch die Anwender“, heißt es dazu im Papier. „Vor allem werden die User nicht benachrichtigt, wenn solche Cookies aktiviert werden – und diese Cookies verfallen nie.“
Seriöse Webseiten werden vorgetäuscht
In der Vergangenheit seien Cookies zwar nicht benutzt worden, um Virus-Programme zu verbreiten. „Nichtsdestotrotz weisen sie eine Reihe von Anfälligkeiten auf“, so die Agentur. Dazu zählten Bedrohungen von Netzwerken und End-Systemen. Zudem hätten Angreifer die Gelegenheit zu Cookie-Harvesting-Attacken. Dabei täuschen die Hacker seriöse Websites vor, um an Cookies der User zu gelangen.
„Typischerweise haben Cookies keine Integritätschecks und unterstützen keine Authentifizierung“, kritisiert ENISA. Bestehende Lösungen seien nicht in der Lage, allen Sicherheitsanforderungen zugleich zu genügen.