.

Unkontrollierbare Third-Party-Cookies am Rande der Legalität

Heutzutage sind viele Anbieter von Online-Diensten auf Software und Dienste von Dritten angewiesen, um die eigenen Angebote bereitstellen zu können.

Viel zu komplex sind die vielfältigen Anforderungen geworden, die selbst an einfache Dienstleistungs- oder Informationsplattformen gestellt werden. Zum Beispiel sind Tools zur Auswertung von Nutzerstatistiken wie Google Analytics für viele Seiten relevant, um die Nutzererfahrung zu messen und zu verbessern. Oder es wird auf externe Bibliotheken verwiesen, um Funktionen, Symbole und Icons in die eigene Website zu integrieren.

Um den Ansprüchen an Sicherheit und Datenschutz gerecht zu werden, müssen die Betreiber eines Online-Angebotes jedoch genau wissen, was die externen Helfer tun und welche Aktionen im Hintergrund ausgeführt werden. Hier hakt es gewaltig, ganz besonders beim Thema Cookies. Denn oft hat der Website-Betreiber kaum eine Ahnung, wie viele Cookies tatsächlich vom eigentlichen Drittanbieter eines Services gesetzt werden oder gar von vierten oder fünften Parteien, die wiederum mit dem eigentlichen Drittanbieter kooperieren oder sogar missbräuchlich vorgehen.

Herkunft von Cookies nicht vorhersehbar und fehlende Kontrolle für Blog-Betreiber

Ein Beispiel: Ein Blogbetreiber lässt durch ein Anzeigennetzwerk automatisiert Anzeigen auf seinem Blog schalten, um damit etwas Geld zu verdienen oder einfach nur, um die Serverkosten zu decken. Dieses Anzeigennetzwerk setzt Cookies vom eigenen Netzwerk in den Browsern seiner Webseitenbesucher und eventuell setzen auch Kooperationspartner des Anzeigennetzwerkes weitere Cookies. Zusätzlich werden dann noch Cookies von unzähligen Anzeigenkunden gesetzt, die Anzeigen in dem Anzeigennetzwerk schalten. Für den Blogger ist es kaum nachvollziehbar, wer welche Cookies bei den Besuchern seines Blogs setzt.

Studie zur problematischen Third-Party-Cookies

Tobias Urban, Thorsten Holz, Martin Degeling von der Ruhr Universität Bochum und Norbert Pohlmann vom Institute for Internet Security haben sich in der Studie „Beyond the Front Page: Measuring Third Party Dynamics in the Field" ausführlich mit der Problematik der sogenannten Third-Party-Cookies auseinandergesetzt. Die wichtigsten Erkenntnisse möchten wir in diesem Beitrag zusammenfassen.

Für die Studie wurden 10.000 Websites und deren Verhalten beim Setzen von Cookies untersucht. Dabei gewannen die Sicherheitsforscher folgende Erkenntnisse:

  • Ein einzelner Third-party-Cookie kann dazu führen, dass bis zu acht verschiedene Cookies aus unterschiedlichen Quellen nachgeladen werden
  • Welche Cookies gesetzt werden, entbehrt oft der Vorhersehbarkeit. Bei ca. 50 % der Cookies verändern sich Art und Herkunft nach mehrmalig wiederholten Aufrufen der Website
  • 93 % der Third-Party-Cookies stammen aus anderen Regionen als die eigentliche Website, unterliegen damit also anderen rechtlichen Gegebenheiten (Stichwort: Datenschutzgesetzgebung)
  • 45 % aller Websites setzen mehr Cookies auf Unterseiten, als sie dies auf Landeseiten tun
  • Navigiert ein Webseitenbesucher von der Landingpage einer Website tiefer in die Webseitenstruktur und bewegt sich dort, nimmt die Anzahl verwendeter Cookies durchschnittlich um 36 % (!) zu
  • Die meisten Missbrauchs-Cookies werden auf den Unterseiten gesetzt, auf die arglose Nutzer navigieren, nachdem sie eine Langingpage besucht haben

Kommt es zu einer missbräuchlichen Verwendung von Cookies, handelt es sich meist um sogenanntes „Malvertising" oder „Cryptominer". Als „Malvertising" bezeichnet man das Laden von durch Viren korrumpierte Werbebanner. „Cryptominer" nutzen die Rechnerkapazitäten des angegriffenen Computers, um Bitcoins oder andere Cryptowährung zu schürfen. Dies betrifft allerdings weniger als 1 % der insgesamt untersuchten Cookies.

Fazit

Die Onlinemarketing-Industrie hat noch viel zu lernen. Die einschneidenden Maßnahmen, die in den vergangenen Jahren und Monaten von regulatorischer Seite getroffen wurden, scheinen im Licht der vorgestellten Untersuchung als durchaus berechtigt. Wehrt sich die Branche nicht gegen die schwarzen Schafe und deren ungehemmte Datensammlung, bleiben auch maßvolle und begründete Marketing-Funktionen auf der Strecke.