Warnung vor neuer Cookie-Generation

Dieses besagt, dass die User erfahren, welche Informationen ein Cookie verwendet und wofür diese verwendet werden. Das werbende Unternehmen müsste ferner die ausdrückliche Zustimmung der User einholen und ihnen einfache Möglichkeiten zu Cookie-Verwaltung anbieten.

Supercookies besonders im Visier

Zudem sollen alle Cookies möglichst nur im Browser gespeichert und einfach wieder entfernt werden können. Für User, die diese Art des Zugriffs nicht erlauben wollten, müssten alternative Service-Möglichkeiten angeboten werden, fordert die EU-Behörde. Die entsprechende Direktive 2009/136/ müssen die Mitgliedsstaaten bis 25. Mai in nationales Recht gießen.

In einem Positionspapier stellt die ENISA ihre Bedenken ausführlich dar. Als Gefahr für die Privatsphäre sieht die Agentur insbesondere sogenannte Supercookies wie den „Flash Cookie“, der im Zusammenspiel mit Adobe Flash verwendet wird. „Weil diese Cookie-Files außerhalb des Kontrollbereichs der User gespeichert werden, erlauben die Web-Browser keine direkte Kontrolle durch die Anwender“, heißt es dazu im Papier. „Vor allem werden die User nicht benachrichtigt, wenn solche Cookies aktiviert werden – und diese Cookies verfallen nie.“

Seriöse Webseiten werden vorgetäuscht

In der Vergangenheit seien Cookies zwar nicht benutzt worden, um Virus-Programme zu verbreiten. „Nichtsdestotrotz weisen sie eine Reihe von Anfälligkeiten auf“, so die Agentur. Dazu zählten Bedrohungen von Netzwerken und End-Systemen. Zudem hätten Angreifer die Gelegenheit zu Cookie-Harvesting-Attacken. Dabei täuschen die Hacker seriöse Websites vor, um an Cookies der User zu gelangen.

„Typischerweise haben Cookies keine Integritätschecks und unterstützen keine Authentifizierung“, kritisiert ENISA. Bestehende Lösungen seien nicht in der Lage, allen Sicherheitsanforderungen zugleich zu genügen.