Sie reden vom Netz wie Blinde vom Licht

Die bösen Cookies

Cookies sammeln, speichern und verknüpfen Daten.

Dr. Beate Merk, CSU, Bayerische Staatsministerin der Justiz

Kommentar

Eine Aussage einer führenden Justizpolitikerin, die etwa so „einsichtsvoll“ wie die Aussage „Fingerabdrücke stehlen, rauben und morden“ ist. Und auch das triffts kaum, weil es beinahe unmöglich ist, den unfassbaren Blödsinn dieser sechs gnadenlos blinden Worte in einigermaßen verständliche Alltagserscheinungen zu übersetzen.

Cookies tun nämlich gar nichts, sie sind so passiv wie ein Text. Es handelt sich um einen von Netscape erfundenen Workaround um die Beschränkungen des zustandslosen HTT-Protokolls.

Dieses grundlegende Protokoll des World Wide Web ist nämlich relativ einfach gestrickt. Ein Client (heute in der Regel ein Webbrowser) sendet an einen Webserver eine Anfrage nach einer Ressource auf diesem Server und bekommt dafür vom Server eine Antwort zurück, die aus einem Statuscode (war diese Anfrage erfolgreich?) und im Regelfall weiteren Daten besteht, und zwar den Daten, die der Client angefordert hat. Wird vom gleichen Client eine zweite Anfrage gesendet, gibt es ohne Cookies keine Möglichkeit, auf Seiten des Servers festzustellen, ob diese Anfrage vom gleichen Client kommt. Insbesondere sind ohne Cookies solche Dinge wie Websites mit einem Login (sagen wir mal: Facebook, Twitter oder auch das gewöhnliche Webforum von Aquarienfreunden) oder Webshops nicht realisierbar. Um diese recht große Einschränkung des zustandslosen Protokolles zu umgehen, kann eine Anwendung auf einem Webserver dem Client ein Cookie setzen, anhand dessen der Client wiedererkannt werden kann. Auf diese Weise wird das zustandslose Protokoll um das Funktionsmerkmal eines Sitzungsverhaltens erweitert.

Der Inhalt eines Cookies wird ausschließlich an die Site zurückgesandt, die das Cookie gesetzt hat. So weit der unproblematische und nützliche Teil daran.

Es ist allerdings wahr, dass Cookies zum Tracking von Anwendern über die Grenzen einer Site hinweg benutzt werden. Dies geschieht durch Einbettung externer Elemente (Bilder, JavaScript-Quellen, Inhalte in IFRAMES, Medieninhalte, Plugin-Inhalte) und wird insbesondere in der Reklamewirtschaft angewandt (oder genauer gesagt: bewusst und auf widerwärtige Weise missbraucht), um detaillierte Nutzerprofile zu erstellen (und eventuell mit weiteren klandestin gesammelten Daten zusammenzuführen).

Nicht die Cookies sammeln, speichern und verknüpfen Daten, sondern privatwirtschaftliche Unternehmen, die Cookies zu diesem Zweck missbrauchen und Websites, die von ihren Gestaltern (zum Beispiel durch Einblendung von Reklame externer Dienstleister oder durch Einbettung des so genannten „Facebook-Buttons“) für diese Art Tracking aufbereitet werden¹.

Diesen kleine, aber recht wichtige Unterschied scheint der guten Frau Doktor nicht bewusst zu sein. Das ist bei einer Justizministerin besonders tragisch, weil es leicht zu politischen Fehlentscheidungen führen kann, etwa zu Gesetzen gegen das Setzen von Cookies (was einen Großteil des Web außer Funktion setzen würde, und zwar insbesondere jede kommerzielle Nutzung etwa durch mittelständische Webshops) statt zu Gesetzen gegen die alltägliche datenmäßige Durchleuchtung von Webnutzern.

Wie ist die Frau auf das Cookie-Problem gekommen

Nun, diese Frage wird im Artikel der Mittelbayerischen Zeitung beantwortet:

Die Ministerin stellte von Anfang an klar, dass sie das Internet und seine unendlichen Möglichkeiten ebenso unendlich schätze, inklusive der sozialen Netzwerke wie Facebook und Twitter. Doch gelte es, die Schattenseiten und Gefahren nicht zu vergessen: „Man fühlt sich beobachtet“, so Merk und erzählte, wie auf ihrer E-Mail-Seite sofort Werbungen für Wandern und Hundeprodukte angezeigt wurden, nachdem sie einem Freund geschrieben hatte, sie würde hundefreundliche Wanderstrecken bevorzugen.

Verantwortlich dafür seien sogenannte Cookies auf der Seite, erklärte die Verbraucherschutzministerin.

Frau Merk glaubt also ganz offensichtlich, dass Cookies den Text einer in einem Webmailer verfassten Mail auslesen und auf eine von ihr nur geahnte Weise zu Werbern funken können, die dann Ads im Browser schalten. Auf die naheliegende Idee, dass der Freemail-Anbieter (in diesem Beispiel mit an Sicherheit grenzender Wahrscheinlichkeit GMail) die versendeten und empfangenen Mails nach Schlüsselwörtern durchsucht und Werbung schaltet, ist Frau Merk hingegen nicht gekommen — und genau dieses unverschämte „Recht“ nimmt sich Google, der größte Reklamevermarkter im Internet, in den Nutzungsbedingungen für GMail heraus.

Mit Cookies hat das nichts zu tun. Es ist eine ans Widerliche grenzende Unverschämtheit, die sich Google (und vielleicht inzwischen auch der eine oder andere weitere Freemail-Anbieter) herausnimmt. Ein guter Schutz dagegen ist übrigens der Verzicht auf den Webmailer, die Einrichtung eines Mailclients und die ausschließliche Kommunikation über verschlüsselte E-Mail. Allerdings sollte die werte Frau Ministerin durchaus über die finanziellen Möglichkeiten verfügen, einen kleinen Server bei einem Hosting-Provider anzumieten und diesen als Mailserver zu verwenden. Oh, sie hat ja schon eine Website und eine eigene Domain, gehostet bei ScanPlus aus Ulm an der schönen Donau… na, wenn sie dann lieber so kommuniziert, dass die Reklamewirtschaft mitlesen kann, ist es eben ihre eigene schreiende Dummheit.

Und dann ist da noch etwas

Übrigens hat die werte Frau Doktor der Rechtswissenschaften auch in einem weiteren Punkt unrecht:

Ein Abschalten der Cookies habe meist zur Folge, dass die Internetseite nicht mehr funktioniere.

Es ist in vielen gängigen Browsern möglich, das Setzen von Cookies durch und die Übermittlung von Cookies an Sites zu unterdrücken, die nur Inhalte innerhalb der aktuell dargestellten Seite einbetten.

Beim Opera geht dies zum Beispiel unter Einstellungen ▷ Tab "Erweitert" ▷ Punkt "Cookies" ▷ Markierung bei "Nur Cookies von der besuchten Website annehmen". Damit wird diese Art des Trackings unmöglich gemacht, ohne dass die eigentliche und erwünschte Funktion der Website (nicht Internetseite!) beeinträchtigt ist. Warum das nicht die Standardeinstellung ist und ob es nicht eine gute Idee wäre, darauf hinzuwirken, dass die Standardeinstellungen eines Browsers das Eindringen in die Privatsphäre so schwierig wie nur möglich machen, gehört zu den Fragen, die sich die Frau Doktor wegen ihrer blubberbläschenschlagenden technischen Inkompetenz wohl niemals stellen wird, wenn sie mit ihrem nicht vorhandenen Wissen diffuse Ängste vor gewöhnlichen Webtechniken unter den Menschen in Deutschland ausbreitet.

Beim Firefox existiert eine derartige Einstellung nicht mehr (Was hat Datenkrake Google dafür wohl an Geld fließen lassen?)² ist diese Einstellung ein bisschen versteckt. Im Menü Bearbeiten ▷ Einstellungen wählen, und dann in den Einstellungen das Tab Datenschutz anzeigen, unter Chronik den Punkt Firefox wird eine Chronik: nach benutzerdefinierten Einstellungen anlegen wählen, um die Markierung bei Cookies von Drittanbietern akzeptieren zu entfernen. Ferner ist mit dem Firefox möglich, unter Extras ▷ Privaten Modus starten eine Sitzung zu starten, in der keine Cookies dauerhaft gespeichert werden, was die Möglichkeiten zum Benutzertracking sehr einschränkt. Dies hat aus Benutzersicht den Vorteil, dass es nicht nur hinreichend wirksam, sondern auch sehr einfach anzuwenden ist und keine Klickorgien im Einstellungsdialog erfordert — wenn der Benutzer denn davon weiß. Von der Frau Justizministerin, die sich so breit, unwissend und angstvoll in der Mittelbayerischen Zeitung ausgelassen hat, erfährt er es jedenfalls nicht, und ein Journalist hat sich auch nicht getraut, den etwas speichelleckerischen Artikel um eine entsprechende Anmerkung zu ergänzen.

Beim Chromium wurde mit dem Inkognito-Fenster (Menüpunkt Neues Inkognito-Fenster) ein ähnlicher Weg wie beim „Privaten Modus“ des Firefox beschritten, hier gibt es allerdings keine Möglichkeit, explizit die Übermittlung von Cookies an Drittseiten zu unterdrücken. Das hätte mich bei einer Software aus dem Hause Google auch sehr gewundert, wenn es dort wirksame Einstellmöglichkeiten gegen Tracking gegeben hätte. Diese hätten nämlich das Potenzial, das Geschäftsmodell von Google zu gefährden.

Wie die Verhältnisse beim Internet-Explorer aussehen, kann ich leider nicht sagen, weil dieser Browser von Microsoft nicht für mein bevorzugtes Betriebssystem zur Verfügung gestellt wird.

Und jetzt der BRÜLLER, das Warten hat sich gelohnt:

Als Ministerin sei ihre Aufgabe, den Bürgern Medienkompetenz zu vermitteln

ROFLCOPTER! *schenkelklopf!*

Nun, Frau Ministerin, an ihrer selbstgesetzten Aufgabe sind sie vollumfänglich gescheitert. Sie haben Falschwissen (das ist schlimmer als Unwissen) und diffuse Angst vor dem Internet verbreitet, statt Wissen und damit die Möglichkeit zum vernünftigen, selbstverantwortlichen Verhalten zu vermitteln. Wie ihre Erfolge bei jenen Aufgaben aussehen mögen, die sie sich nicht selbst setzen, sondern die ihnen in Regierungsverantwortung von laufenden gesellschaftlichen Entwicklungen gestellt werden, mag man sich da gar nicht mehr vorstellen.

¹Zum Beispiel ist die Website der Mittelbayerischen Zeitung eine derartige Site. Sie enthält externe Codeschnippsel von Facebook Connect, Google +1, Google Analytics und AddThis — dies sind die vier Fälle, die mir sofort bei Ansicht des Quelltextes aufgefallen sind. Was das Geschäftsmodell von Google ist, sollte zumindest im Verlagsgewerbe jedem klar sein (die wollen ja sogar ein Leistungsschutzrecht), und Facebook ist als Datensammler zu Recht berüchtigt. Genau die Gefahr, die eine bayerische Staatsministerin zu derartigen Dummsprech hingerissen hat, wird von der Verlagswebsite aktiv und bewusst hergestellt, die diesen Dummsprech unreflektiert und ohne Relativierung zitiert und in einen größeren Leserkreis trägt. Wer sich anschaut, was Verleger treiben, braucht keine Satire mehr.

²Die erste Veröffentlichung dieses Textes enthielt den hier durchgestrichenen Fehler, weil diese Einstellung im Firefox so gut „versteckt“ ist, dass ich sie nicht gefunden habe. Danke an Bio, der in den Kommentaren den entscheidenden Hinweis gab.

Advertisements

16 Antworten

  1. Antiklauber

    tldr, ist außerdem schon bedenklich, so viel Text abzusondern, weil eine Politikerin eine bestimmte stilistische Variante wählt. Oh Gott ja, Cookies speichern nicht selbst, sie sind nur Datenspeicher. Der Untergang des Abendlandes steht unmittelbar bevor.

    Geh mal mit dieser Ansicht in die nächste Kneipe und erkläre den Leuten dort, daß eine Festplatte keine Daten speichert, sondern der Benutzer. Oder daß ein Auto nicht beschleunigt, sondern der Fuß des Fahrers.

    10. September 2012 um 00:37

  2. Anonymous

    Mein Firefox unter Windows erlaubt mir sehr wohl, die Annahme con Cookies von Drittanbietern abzuschalten.

    10. September 2012 um 09:23

    • Anonym

      meiner auch – und das nicht nur unter Windows (C)

      10. September 2012 um 13:57

    • Oops, da war ich wohl beim schnellen Runterschreiben dieses etwas zu lang gewordenen Textes etwas zu nachlässig und habs übersehen. Wo stellt man das jetzt ein? Ich habs nicht mehr gefunden, und ich finde es auch jetzt nicht auf die Schnelle. Und ich würde die Einstellmöglichkeit so gern nachreichen…

      Und bitte nicht about:config sagen. So etwas mache ich zwar manchmal, aber das ist nichts für „normale“ Anwender, die zum Beispiel noch die Mittelbayerische Zeitung lesen… 😉

      10. September 2012 um 16:46

      • Bio

        Einstellungen / Datenschutz / Chronik

        Firefox wird eine Chronik: „nach benutzerdefinierten Einstellungen anlegen“ auswählen und schon kann man Cookies verbieten etc. pp.

        10. September 2012 um 22:27

      • Ah, danke!

        10. September 2012 um 22:37

  3. Bio

    Braucht man wirklich Cookies für Webshops? Wie wäre es die SessionID in der URL mitzusenden und die dann temporär in die Datenbank oder nem File zu speichern?

    Wie auch immer. Für den Firefox ist das AddOn Cookie-Monster sehr gut für Cookie-Berechtigungen.

    Das AddOn Close n forget finde ich auch ganz nützlich um Webseiten bezogene Daten schnell los zu werden.

    10. September 2012 um 19:04

    • Wenn man die Session-ID in den URI aufnimmt, ist sie für jeden Rechner auf der Route offen lesbar, selbst wenn die Verbindung über TLS (HTTPS) läuft. Die Session zu übernehmen (und mit dem Konto anderer Leute zu kaufen, zu spammen oder sonstwas) ist dann sehr einfach. (Im schlechtesten Fall muss noch eine IP gespooft werden, auf die Antwort des Servers kommts nicht unbedingt an.) Natürlich gerät die Session-ID so auch zusammen mit dem URI in Logdateien, was ebenfalls unerwünscht ist.

      Der Workaround „Cookie“, den sich Netscape damals ausgedacht hat, ist schon nicht schlecht. Schlecht sind die ganzen eingebetteten Reklame-, Tracking, und Social-Web-Fitzel aller Art. Dagegen hilft die Einstellung, Cookies von dritter Seite abzulehnen; die gewünschte Funktionalität dürfe dadurch beinahe nie beeinträchtigt sein.

      10. September 2012 um 22:36

      • Bio

        Danke für die Erläuterung mit der Session-ID im URI

        Btw. habe gerade gesehen, dass das letzte Update von Firefox die Cookie-Einstellungen manipuliert und zurückgesetzt hat. Ich hatte das immer auf „jedes mal nachfragen“. Ein Schelm der böses dabei denkt 😉

        10. September 2012 um 23:14

  4. Pingback: Der Alarmknopf-Jahresrückblick 2012 « Alarmknopf

  5. Pingback: Nachtwächter-Blah » Könnt ihr euch noch an diese Leute erinnern, di…

  6. Pingback: Nachtwächter-Blah » Ach, apropos Firefox: Wenn sich die Reklameheini…

  7. Pingback: In aller Kürze zur Bundestagswahl… | Alarmknopf

  8. Pingback: Kwalitätsjornalisten berichten über die überwachung | Schwerdtfegr (beta)

  9. Henry

    Was soll dieser blinde Hass gegen Chrome?

    Natürlich kann Chrome Third-Party-Cookies blocken, einfach mal googeln: https://www.google.com/search?q=chrome+block+third+party+cookies&tbs=cdr%3A1%2Ccd_min%3A%2Ccd_max%3A9%2F10%2F2012 (Ergebnisse eingeschränkt auf alles was älter ist als der Blogpost)

    19. Februar 2014 um 20:53

  10. Pingback: Alles Google geht vom Verleger aus | Alarmknopf

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s