Was sind Cookies und wieso sind Sie überall?

Besonders seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat inzwischen fast jede Webseite einen Cookie-Banner. Ohne Cookies würde das Internet nicht so aussehen und funktionieren, wie man es heutzutage gewohnt ist. Dabei sind HTTP-Cookies selbst und das Prinzip dahinter, bemerkenswert simpel.

Diskussion zum Thema (Audio)

Definition

Ein HTTP-Cookie ist eine kurze Textinformation, die Ihr Browser zu einer Webseite abspeichert. Bei jeder Anfrage zu einer Webseite wird diese Textinformation dann mitgeschickt. Cookies haben frei definierbare Ablaufdaten. So kann ein Entwickler festlegen, ob ein Cookie etwa direkt nach dem Schließen des Browser-Tabs unwiderruflich gelöscht wird, oder erst in einigen Monaten.

Aber welches Problem lösen Cookies überhaupt?

Nutzen

Im Internet ist jeder Nutzer, der eine Webseite aufruft, dieser Seite zu Anfang erst einmal fremd. Das mag für eine sehr einfache Webseite, wie etwa einen Blog, der nur Text anzeigt, in Ordnung sein. Doch ab dem Zeitpunkt, ab dem irgendwelche Benutzerpräferenzen gespeichert, oder Logins möglich sein sollen, reicht dies nicht mehr aus. Es gibt zwar wenige Informationen, wie etwa die sich verbindende IP-Adresse, welche mit der Absenderadresse auf einem DHL-Paket vergleichbar ist, doch daran einen Nutzer für einen Login wiederzuerkennen ist gleich auf mehreren Arten ungeeignet.

IP-Adressen ändern sich stetig, ein Haushalt teilt sich schon seit einigen Jahren nicht mehr nur ein einziges internetfähiges Gerät und manchmal teilt man dieselben Geräte mit Familienmitgliedern oder Mitbewohnern.

Zudem teilen sich heutzutage immer häufiger komplette Stadtteile dieselbe IP-Adresse wegen des immer stärkeren Mangels verfügbarer IPv4-Adressen, wodurch dann sogenannte Carrier-grade NATs1 und NAT642 eingesetzt werden.

Um also nun als Webseite einen Nutzer wiederzuerkennen und zu identifizieren, werden Cookies eingesetzt.

  1. Ein Nutzer öffnet das erste Mal mit seinem Browser eine neue Webseite und fragt nach den Inhalten
  2. Der Webserver antwortet mit dem Seiteninhalt und bittet den Browser darum, einen Cookie mit dem Inhalt session = a6d2bea740982... persistent zu speichern. Zudem speichert der Webserver den Inhalt des Cookies ebenfalls in seiner Datenbank ab.
  3. Der Browser speichert den Cookie lokal und schickt für alle weiteren Anfragen an dieselbe Webseite den selben Cookie mit.
Illustration eines Webseitenaufrufs mit Cookie
Illustration eines Webseitenaufrufs mit Cookie

Damit kann der spezifische Browser quer durch alle IP-Adressen und sonstige Variablen eindeutig identifiziert werden.

Tracking

Dadurch, dass es mithilfe von HTTP-Cookies möglich ist, einen Nutzer und dessen Browser eindeutig und langfristig zu identifizieren, werden Cookies häufig zusammen mit weiteren Technologien für Tracking verwendet.

Wichtig dabei zu wissen ist, dass große Online-Werbenetzwerke wie Google Ads und Adscale nicht zwangsläufig nur Cookies verwenden. Sogenanntes Browser-Fingerprinting funktioniert auch teilweise oder ganz ohne Cookies.


  1. Wikipedia: Carrier-grade NAT  ↩︎

  2. Wikipedia: NAT64  ↩︎