Android-Sicherheit: Wie gut schützen Samsung, Xiaomi und Co. unsere Daten?
Egal ob Xiaomi, Samsung, Oppo, Realme oder OnePlus – ist Euer Handy kein iPhone, kommt wahrscheinlich Android zum Einsatz. Die Verantwortung, dass mit Kundendaten gut umgegangen wird, liegt also beim Hersteller. Aber können wir den Marken wirklich vertrauen, wenn es um den Schutz unserer persönlichen Daten geht?
Hmmm ... spürt Ihr ihn auch? Den Wind, der sich langsam aber sicher dreht? Der Wind in der Öffentlichkeit, die sich mehr und mehr für Privatsphäre und Datenschutz interessiert? Ein positiver Trend, aber ist es zeitgleich nicht ein bisschen albern, sich darauf zu verlassen, dass Google (oder Apple) unsere Daten tatsächlich beschützen wollen?
Und ist es nicht noch lächerlicher, wenn das Ganze bei Android-Smartphones propagiert wird? Denn schließlich sind hier alle Hersteller von Google abhängig und wie soll man denn hier besser mit Nutzerdaten umgehen können? Besteht nicht die Gefahr, dass der Datenschutz den Status eines Gimmicks ohne wirkliche Bedeutung bekommt? Wie ein 2MP-Makrosensor, der in ein Datenblatt gesteckt wird, nur um hübsch auszusehen?
Google sammelt unsere Daten und wir können nichts dagegen tun
Google und Apple greifen permanent Daten von Eurem Smartphone ab und synchronisierte diese mit ihren Servern. Das passiert auch, wenn Ihr das Gerät gar nicht benutzt. Unter Android läuft das Datensammeln allerdings in einem größeren Stil ab als unter iOS.
Eine am 25. März veröffentlichte Studie, die von Douglas J. Leith, einem Forscher für Computersicherheit am Trinity College Dublin, durchgeführt wurde, verglich die Erfassung und Übertragung von Daten unter Android und iOS.
Die Ergebnisse wurden anschließend von Ars Technica veröffentlicht. So stellte sich heraus, dass sowohl iOS als auch Android kontinuierlich Daten auf Geräten sammeln. Googles Betriebssystem sammele aber 20 Mal mehr Daten als iOS aus dem Hause Apple.
Die Menge der gesammelten Daten auf Android und iOS beim Start (links) und wenn das Smartphone im Standby ist (rechts) / © NextPit
Laut Douglas Leith übermitteln sowohl iOS als auch Android sogenannte "Telemetrie"-Daten an ihre Muttergesellschaft. Das geschieht auch, wenn wenn der Benutzer gar nicht angemeldet ist. Und leider auch, wenn der Benutzer seine Datenschutzeinstellungen explizit so konfiguriert hat, dass er die Übermittlung ablehnt.
Diese Telemetrie-Daten umfassen unter anderem das Einlegen einer SIM-Karte, das Entsperren des Bildschirms oder die Einstellungen des Smartphones selbst. Nach Angaben des Forschers verbindet sich jedes Gerät, selbst wenn es inaktiv ist, im Durchschnitt alle viereinhalb Minuten mit seinem Server.
Und es hört nicht auf der Ebene der Betriebssysteme auf. Native Apps oder vorinstallierte Dienste stellten laut der Studie auch dann Netzwerkverbindungen her, wenn sie nicht geöffnet oder verwendet wurden. Während iOS automatisch Daten von Siri, Safari und iCloud an Apple schickte, sammelte Android Daten von Chrome, YouTube, Google Docs, Safetyhub, Google Messenger, der Uhr-App und der Google-Suchleiste.
In seinen Untersuchungen fand Douglas Leith heraus, dass Android allein in den USA kollektiv alle 12 Stunden etwa 1,3 TB an Daten sammelt. Zum Vergleich: bei Apples iOS sind es nur etwa 5,8 GB im gleichen Zeitraum.
So sehen die Daten aus, die Android und iOS sammeln, wenn der Benutzer nicht eingeloggt ist / © NextPit
Offensichtlich dementierte Google die Ergebnisse der Studie nach der Veröffentlichung, da das Protokoll falsch gewesen sein soll. Der amerikanische Suchmaschinen-Riese versichert, dass diese Daten mit grundlegenden Diagnose- und Betriebsdaten vergleichbar sind, wie sie von modernen Autos an die Automobilhersteller gesendet werden.
"Diese Studie beschreibt die Kommunikationswege, mit denen sicherstellt wird, dass die iOS- oder Android-Software auf dem neuesten Stand ist, dass Dienste so funktionieren wie vorgesehen, und dass das Telefon sicher und effizient arbeitet", heißt es in Stellungnahme Googles. Diese schickte das Unternehmen zuerst an Ars Technica, diese gaben die Informationen unter dem Recht auf Gegendarstellung anschließend weiter.
Der Forscher hält die Situation für besorgniserregend, da die von den beiden Betriebssystemen gesammelten Daten leicht mit dem Namen des Benutzers, seiner E-Mail-Adresse, seinen Kreditkartendaten und möglicherweise anderen Geräten, die er besitzt, verknüpft werden können. Außerdem wird bei den häufigen Verbindungen zu den Servern zwangsläufig die IP-Adresse des Geräts und damit der Standort des Benutzers preisgegeben.
"Derzeit gibt es, wenn überhaupt, nur wenige realistische Optionen, um diese Datenweitergabe zu verhindern.", so der Forscher abschließend.
Hersteller sammeln Daten selbst über ihre nativen Apps
Die bloße Tatsache, dass einer der meistgelesenen Artikel auf unserer Seite eine Anleitung zum Deaktivieren von Werbung in MIUI auf Xiaomi-Smartphones ist, sagt schon einiges aus. Ich bin absolut kein Fan von China-Bashing, auch nicht von dem sinophoben Vorurteil, dass alle chinesische Hard- und Software zur Spionage dient.
Es gibt kein "gutes" Sammeln personenbezogener Daten und auch personalisierte Werbung ist nicht besser als unpersonalisierte. Diese Art räuberischen Verhaltens kennt keine Nationalität! Trotz alledem dürfen wir bei diesem Thema Xiaomi nicht als Sonderfall außer Acht lassen. Denn der Hersteller war vor kurzer Zeit Gegenstand einiger sehr großer Skandale.
Xiaomi bietet auf seinen Smartphones allerdings viele Optionen an, um die eigenen Daten zu "schützen". Mehr zum Thema lest ihr in meinem Test zu MIUI 12! Für uns relevant ist an dieser Stelle nämlich nur, dass es viele Funktionen gibt, die Xiaomi auch daran hindert, die Daten zu sammeln, die das Unternehmen selbst braucht. Es ist schon ziemlich ironisch, dass es in Xiaomis eigenen Apps über sechs verschiedene Möglichkeiten zum Blockieren von Ad-Targeting gibt.
Sogar die Sicherheits-App von MIUI betreibt Ad-Targeting / © NextPit
Aber Xiaomi ist natürlich nicht allein. Jeder Android-Hersteller, selbst die vermeintlich saubersten wie OnePlus oder Samsung, haben Probleme mit dem Datenschutz.
Und selbst wenn Ihr ein umfangreiches "Opt-Out" macht, indem Ihr alle Tracking- und Sammel-Schalter deaktiviert, wird der bereits beschriebene Grundstock an Telemetrie-Daten immer noch gesammelt. Ob Ihr es wollt oder nicht.
Ganz zu schweigen von den unnötigen Steinen, die Google uns in den Weg legt, um dieses "Opt-Out" überhaupt zu realisieren. Es gibt kein zentrales Menü, um alles auf einmal zu deaktivieren. Nein, Ihr müsst mindestens vier verschiedene Seiten über die Einstellungen Eures Google-Kontos aufrufen (einige Overlays haben Verknüpfungen zum Datenschutzmenü) und die Datenverfolgung manuell deaktivieren.
Es ist fast so, als ob das absichtlich so designt wurde, ist das nicht erstaunlich?
Egal welches Overlay, egal welcher Hersteller, diese Daten werden immer noch gesammelt, wenn Ihr den Schalter nicht ausschaltet / © NextPit
Googles Anreize sollen Datenschutz eher verschlechtern
Aber warum dann auf die Android-Hersteller einprügeln? Sie haben keine Kontrolle darüber, was Google tut. Und einige von ihnen, wie zum Beispiel Xiaomi oder Samsung, legen in ihren jeweiligen Android-Versionen bereits einen starken Schwerpunkt auf Sicherheit und Datenschutz. Sei es im Betriebssystem oder in nativen Apps!
Das Problem ist, dass egal wie viele Datenschutz-"Funktionen" ein Hersteller in seinem Overlay implementieren mag, das Overlay immer noch Android-basiert ist. Und hier haben Hersteller eben nicht allzu viel Spielraum, um die eigenen Vorstellungen rund um Datenschutz und Sicherheit durchzusetzen.
Das Hauptanliegen sollte daher sein, die wenigen Optionen, die Google zum Schutz übrig lässt, besser zugänglich zu machen. Ein Hersteller, der sich wirklich auf den Datenschutz konzentrieren will, sollte die Datenschutzeinstellungen in den Einstellungen seines Overlays sichtbarer machen, um sie stärker hervorzuheben.
Tatsächlich müssen sich Samsung, Xiaomi, Oppo und alle anderen "lizenzierten" Android-Hersteller an das Compatibility Definition Document halten. Das ist eine Art riesige Liste mit allen Anforderungen, die Hersteller aus Softwaresicht erfüllen müssen, um mit der neuesten Android-Version versorgt zu werden. Bis jetzt nichts Ungewöhnliches.
Doch laut Auszügen aus einer Beschwerde, welche die Generalstaatsanwalt des US-Bundesstaates Arizona gegen Google vorbrachte, ist das Machtverhältnis zwischen Mountain View und den Android-Herstellern noch unausgewogener als gedacht. Laut einem Insider hätte Google den Zugang zu einigen Datenschutzfunktionen absichtlich erschwert und einige Hersteller unter Druck gesetzt, dasselbe bei ihrem eigenen Overlay zu tun.
Ich sollte aber darauf hinweisen, dass dies Anschuldigungen sind. Sie wurden von der US-Staatsanwaltschaft, die die Interessen des Staates Arizona vertritt, vor fast einem Jahr erhoben. Es handelt sich hierbei nicht um ein Urteil oder eine Entscheidung. Und diese Auszüge wurden auf Anfrage zweier privater Organisationen – Digital Content Next und News Media Alliance – veröffentlicht. Beide vertreten die Verlage von Online-Publishern.
Den Dokumenten zufolge sammelte Google angeblich Geolokalisierungsdaten, selbst wenn die Nutzer die Sammlung ausgeschaltet hatten. Dabei wäre es dem Unternehmen gelungen, LG unter Druck zu setzen, den Schalter zum Aktivieren / Deaktivieren der Geolokalisierung auf die zweite Seite [des Schnellzugriffsmenüs, Anm. d. Autors] zu verbannen.
Die Zugänglichkeit von Datenschutzfunktionen ist daher ein Thema, das fast so wichtig ist, wie ihre bloße Existenz in Googles Betriebssystem und den Android-Overlays der Hersteller. Es ist kein Zufall, dass Google mit Android 12 viel Wert auf diesen Aspekt gelegt hat.
Disaster Recovery im Rechenzentrum: Daten & Backups sichern
Im März 2021 zerstörte ein Brand ein Gebäude im Rechenzentrum eines französischen Cloud-Anbieters in Straßburg vollständig, ein zweites wurde stark beschädigt. Menschen wurden nicht verletzt, die Sachschäden sind jedoch immens. Zudem wurden die Daten zahlreicher Unternehmen unwiderruflich zerstört. Viele Kunden fragen uns jetzt, ob eine solche Katastrophe in den Rechenzentren von Adacor passieren könnte. Nein, lautet die Antwort. Unsere hohen Sicherheitsstandards und bedarfsgerechte Varianten für das Disaster Recovery schützen Daten und Systeme.
Bei dem Brand im Rechenzentrum (RZ) in Straßburg verloren viele Firmen ihre kompletten Datenbestände. Das konnte passieren, weil sie über keine Backups verfügten, für deren Erstellung sie verantwortlich gewesen wären. Der Rechenzentrumsanbieter ist für die Bereitstellung der Infrastruktur und des Internetzugangs zuständig. Er sorgt für das Funktionieren der Server und stellt Strom sowie die Klimatisierung zur Verfügung. Für die Sicherung der Daten ist er nicht zuständig, diese Aufgabe obliegt den Kunden. Sie müssen sich selbst um die Backups kümmern oder einen entsprechenden Service bei einem Provider gegen Entgelt bestellen. Vielleicht haben einige Kunden im RZ in Straßburg aus Kostengründen am falschen Ende gespart. Mit fatalen Folgen, denn die Daten sind weg.
Das Katastrophenszenario zeigt, wie wichtig es ist, dass Unternehmen ihre Daten und Systeme ausreichend sichern. Das gilt für dedizierte Server, aber auch für Cloud-Lösungen. Sie benötigen ebenfalls eine physische Infrastrukturbasis mit Server-Hardware und Softwareanwendungen in einem Rechenzentrum. Um die Daten bei einem Desaster retten zu können, sind Backups und Notfallpläne wichtig.
Wie kam es zu dem Brand in Straßburg? Das Feuer entstand offenbar durch die Verkettung unglücklicher Umstände. Medienberichten zufolge fanden kurz vor dem Brand Wartungsarbeiten an der unterbrechungsfreien Stromversorgung (USV) statt. Zwei Wechselrichter der Anlage standen wohl später in Flammen, was auf einen technischen Defekt als Brandursache hinweisen könnte. Wäre zudem der Brandschutz ausreichend gewesen, hätte das Feuer vielleicht schneller gelöscht werden können. Die Brandmeldeanlage war scheinbar aber nicht mit der Feuerwehr verbunden und die vorhandenen Löschvorrichtungen konnten den Brand nicht löschen. Einige Bauteile wie der Boden im Rechenzentrum waren wohl mit Holz gebaut und fachten das Feuer zusätzlich an.
Warum sind die Daten im Rechenzentrum von Adacor so sicher?
Als Managed Cloud Solution Provider tragen wir die Verantwortung dafür, dass die Daten unserer Kunden auf den Servern und Systemen im Rechenzentrum sicher sind. Viele unserer Kunden betreiben auf den Cloud-Infrastrukturen geschäftskritische Anwendungen. Sie brauchen IT-Systeme, die 24×7 verfügbar sind und nicht ausfallen. Deshalb ist die Adacor-Infrastruktur im Rechenzentrum so ausgelegt, dass ein tagelanger Systemausfall nicht passieren kann.
Unsere Anforderungen an ein betriebssicheres Rechenzentrum sind extrem hoch. Aus diesem Grund nutzen wir seit vielen Jahren Rechenzentrumsfläche in den Räumlichkeiten des zertifizierten Betreibers NTT (ehemals e-shelter) auf dem Campus Frankfurt am Main. Das Gelände und sämtliche Gebäude sind auf den RZ-Betrieb ausgelegt und so ausgestattet, dass Schäden durch Elementarrisiken wie einem Brand kaum möglich sind.
Brandschutz und Feuervermeidung haben bei Adacor und im Rechenzentrum höchste Priorität. Zum Schutz der Hardware und zur Abwendung von Schäden, die durch Wasser, Schaum oder Pulver entstehen könnten, funktioniert das Löschsystem bei NTT mit dem farblosen Edelgas Argon, das Feuer den Sauerstoff entzieht.
Der Einsatz von nicht brennbaren oder nur schwer entflammbaren Materialien beim Innenausbau sorgt für zusätzlichen Feuerschutz. Es ist kein Holz im Rechenzentrum verbaut und brennbare Teile wie zum Beispiel Hardware-Ersatzteile dürfen dort nirgends gelagert werden. Die einzelnen Flächen gliedern sich in separate Brandschutzabschnitte (mindestens Feuerwiderstandsklasse F 90), in denen die Brandbekämpfungs- und Brandschutzsysteme installiert sind. Eine frühe Warnung schon vor der Entstehung von Brand- und Rauchgasen oder Feuer gewährleistet das VESDA-Rauchansaugfrühwarnsystem.
Ein intelligentes Gefahrenmelde- und Gebäudemanagementsystem steuert die technische Sicherheit, zeigt den Zustand aller Sicherheits- und Infrastruktursysteme an und überwacht den Regelbetrieb. Die RZ-Leitstellen erfassen alle Meldungen rund um die Uhr. Ein im technischen Betrieb auftretendes Problem wird immer direkt gelöst. Bei einem Feuer würde ein Brandmelder anschlagen und automatisiert die Sicherheitsleitstelle und die Feuerwehr alarmieren. Anschließend würde uns NTT per E-Mail informieren und wir könnten wiederum die betroffenen Kunden warnen. Zusätzlich überwacht unser Monitoring die angebundenen Anwendungen und würde bei einem Serverausfall Alarm schlagen. Seitdem wir bei NTT RZ-Fläche betreiben, ist außer einem Fehlalarm aber noch nie der Ernstfall eingetreten.
Die Sicherheitsmaßnahmen bei NTT sind exorbitant höher als die, die es im Rechenzentrum in Straßburg gab. Das strenge Brandschutzkonzept und die damit verbundenen Maßnahmen bieten uns und unseren Kunden den bestmöglichen Schutz der Daten und Systeme.
Die Details zur Adacor-Infrastruktur bei NTT lesen Sie imArtikel „Adacor-Infrastruktur im Rechenzentrum von NTT“.
Welche Backup-Varianten brauchen Unternehmen?
Datenverluste lassen sich durch Backups vermeiden. In Straßburg verloren diejenigen Unternehmen ihre Daten, die keine Datensicherung hatten. Adacor bietet allen Kunden eine Backup-Option zur Sicherheit. Eine Basissicherung umfassen alle Managementservices, bedarfsgerechte Upgrades sind jederzeit möglich.
Die Backup-Varianten von Adacor
Zwei unterschiedliche Brandabschnitte: Die Infrastruktur befindet sich in einem Brandabschnitt, das Backup wir in einem anderen Gebäude aufbewahrt. Zwei unterschiedliche Rechenzentren: Die Infrastruktur befindet sind im Rechenzentrum von NTT, das Backup liegt im Data Center von Interxion. Aktiv-Passiv-Betrieb in unterschiedlichen Brandabschnitten: Es gibt eine Primär- und eine Sekundär-Infrastruktur in unterschiedlichen Brandabschnitten (Räumen oder Gebäuden) bei NTT. Aktiv-Passiv-Betrieb auf zwei RZ verteilt: Die Primär- und Sekundär-Infrastruktur befinden sich verschiedenen Rechenzentren (bei NTT und Interxion). Aktiv-Aktiv-Betrieb auf zwei RZ verteilt Die Primär-Infrastruktur ist auf zwei Rechenzentren (NTT und Interxion) redundant verteilt.
In jedem Cloud-Projekt stehen wir unseren Kunden bei der Wahl der richtigen Backup-Variante mit Rat und Tat zur Seite. Für die meisten Projekte reichen in der Regel die Backup-Varianten 1 oder 2 aus. Ein Backup muss also nicht kostspielig sein und die Daten können immer wiederhergestellt oder auf neue Systeme aufgespielt werden.
Ein Onlineshop oder eine digitale Banking-Plattform haben zum Beispiel hohe Anforderungen an die Verfügbarkeit und Sicherheit. In diesen Fällen empfiehlt sich die Datensynchronisation in zwei örtlich getrennten Rechenzentren synchron als Aktiv-Aktiv-Betrieb (Georedundanz). Würde ein Standort ausfallen, würde der zweite automatisch übernehmen. Dadurch bliebe die Downtime gering und es würden keine Daten verloren gehen. Eine Stiftung, die ihre Website nur zur Repräsentationszwecken nutzt, könnte es vermutlich verkraften, wenn die Seite für ein paar Tage nicht zur Verfügung steht. Dann würde eine einfache Datensicherung in zwei verschiedenen Brandabschnitten ausreichen. Dazwischen gibt es viele verschiedene Geschäftsmodelle und jedes Unternehmen muss selbst entscheiden, welche Verfügbarkeiten es braucht und welche Ausfallzeiten zu verkraften sind.
Für eine detaillierte Planung und zur Festlegung dazugehöriger Hilfemaßnahmen sind Disaster-Recovery-Pläne notwendig, um die Daten und Systeme im Katastrophenfall zu schützen.
Was ist Disaster Recovery? Mit Disaster Recovery (DR) ist ein Unternehmen auf den Katastrophenfall vorbereitet und besitzt einen Maßnahmenplan, um die Folgen aufzufangen. Die Maßnahmen sollten sich am Bedarf orientieren. Jedes Unternehmen versteht etwas anderes unter einem Desaster: Für manche wäre es eine Katastrophe, wenn der Server für fünf Minuten offline wäre, für andere würde es erst brenzlig werden, wenn die Daten eine Woche lang nicht verfügbar wären.
Die Definition des Desasters bildet die Grundlage für den Notfallwiederherstellungsplan, der auf die Vermeidung von IT-Ausfällen ausgerichtet ist. Die Messgrößen Recovery Time Objective (RTO) und Recovery Point Objective (RPO) unterstützen bei der Erstellung eines solchen bedarfsgerechten Notfallwiederherstellungsplans. Mit den Metriken lassen sich die maximal tolerierbaren Stunden für eine Datenwiederherstellung bestimmen, Datensicherungszyklen einrichten und Methoden für den Wiederherstellungsprozess festlegen. Eine regelmäßige Überprüfung und Aktualisierung des Notfallplans ist notwendig, um sicherzustellen, dass er genau ist und funktioniert.
In unserem Artikel „Mit RTO und RPO die Toleranzgrenze für Ausfallzeiten berechnen“ erfahren sie, wie Sie die Messgrößen berechnen und wie Sie die Ergebnisse richtig interpretieren.
Disaster-Recovery-Pläne sind für jede Branche und jedes Unternehmen verschieden, denn überall gelten unterschiedliche Anforderungen, Vorschriften und Risiken. Besonders wichtig ist eine ausführliche Risikobewertung, da damit mögliche Bedrohungen für die IT-Infrastruktur identifiziert werden können. Viele mögliche Katastrophenszenarien machen ein Disaster Recovery notwendig. Dazu zählen der Ausfall einer Anwendung, einer virtuellen Maschine (VM) oder eines physischen Servers genauso wie die Zerstörung eines ganzen Rechenzentrums. Die Risikobewertung beinhaltet eine Liste möglicher Gefahren sowie der daraus resultierenden Folgenschäden. Außerdem umfasst sie Empfehlungen, wie die festgelegten Risiken minimiert werden können. Die Risikobewertung bildet zusammen mit der Business-Impact-Analyse (BIA, Methode, mit der die kritischen Geschäftsprozesse ermittelt und Maßnahmen für den Neustart nach Eintritt eines Notfalls festgelegt werden) die Basis für das Vorgehen im Rahmen des Disaster Recovery.
Disaster Recovery beschreibt also, wie Unternehmen im Katastrophenfall ihre Daten und Systeme schützen können und welche Maßnahmen sinnvoll sind, um schnellstmöglich wieder Zugriff auf die IT-Infrastruktur zu erhalten und den Betrieb fortzusetzen. Besonders wichtig sind die passenden Backup-Optionen, die sich für ein Unternehmen an den Anforderungen an Verfügbarkeit und Ausfallzeiten orientieren.
Fazit: Backups sind essenzieller Teil des Disaster-Recovery-Plans
Der Brand im Rechenzentrum in Straßburg und seine Folgen zeigen, wie wichtig es ist, dass Unternehmen ihre Daten ausreichend schützen. Neben dedizierten Servern benötigen eben auch Cloud-Lösungen bei denen die Infrastruktur, Anwendungen und die Daten auf virtuellen Maschinen liegen, eine Hardwarebasis in einem Rechenzentrum.
Kein Unternehmen kann es sich daher leisten, das Thema Disaster Recovery zu unterschätzen oder gar zu ignorieren. Mit dem richtigen Disaster-Recovery-Plan lassen sich im Katastrophenfall unkalkulierbare Kosten vermeiden, die im schlimmen Fall zum Ruin eines Unternehmens führen könnten. Bedarfsgerechtes Disaster Recovery mit der passenden Backup-Lösung sorgt dafür, dass Unternehmen nach einem Zwischenfall den Betrieb ihrer IT-Systeme schnellstmöglich fortsetzen können – im besten Fall ohne eine Ausfallzeit.
Managed Cloud Solution Provider wie Adacor begleiten Unternehmen bei der Erstellung eines strukturierten Disaster-Recovery-Plans und bieten auf die jeweiligen Unternehmensanforderungen zugeschnittene Backup-Varianten für die Datensicherung an.
Cookies kontrollieren und verwalten
Sind Cookies gut oder schlecht?
Die Diskussion über Cookies ist in vollem Gang. Sind sie gut oder schlecht? Böse oder hilfreich? Die Antwort auf diese Fragen lässt sich nicht mit einem klaren "Ja" oder "Nein" beantworten. Die Dinge sind hier, wie so oft im Leben, eher grau als schwarz oder weiß.
Denn sicher ist: Ohne bestimmte Cookies wäre eine Nutzung des Internets, in der Form wie wir es kennen, gar nicht möglich. Online-Shopping, Onlinebanking und Co. wären ohne Cookies problematisch bis unmöglich.
Die Frage ist also weniger, ob wir Cookies zulassen möchten. Sondern eher welche. Als allgemein unproblematisch gelten so genannte Session Cookies.
Session-Cookies
Temporäre Cookies, die nach jeder beendeten Internet-Sitzung automatisch gelöscht werden, werden als Session-Cookies bezeichnet. In der Regel werden diese gelöscht, wenn Sie Ihren Browsers schließen.
Aktivieren Sie Session-Cookies für Ihren Browser, hat das beispielsweise den Vorteil, dass sich ein Online-Shop die Produkte merkt, die Sie zuvor in den Warenkorb gelegt haben. Das kann praktisch sein, denn ohne sie wäre der digitale Warenkorb bei jedem Aufruf einer neuen Unterseite wieder leer.
Trotzdem sollten Sie aufpassen: Denn beenden Sie Ihre Internet-Sitzung nicht bzw. melden Sie sich nicht von der Sitzung ab, bleibt das Session-Cookie weiterhin gültig, bis Sie Ihren Browser schließen – Ihr Warenkorb zum Beispiel könnte also für andere sichtbar werden, wenn Sie Zugriff auf Ihr Gerät haben.
Vorsicht ist aber vor allem bei öffentlich zugänglichen Computern oder mobilen Geräten geboten. Loggen Sie sich nicht aus der Internetseite oder der App aus, kann jemand anderes in Ihrem Profil möglicherweise Schaden anrichten. Zudem sind zum Beispiel soziale Netzwerke oft so eingestellt, dass Ihre Zugangsdaten gespeichert bleiben, auch wenn Sie den Browser schließen. Deshalb: Nach der Nutzung an öffentlich zugänglichen Geräten immer ausloggen!
Cookies von Drittanbietern
Cookies werden jedoch nicht nur von den Unternehmen platziert, deren Seiten Sie aktiv besuchen, sondern auch von vielen anderen Unternehmen – von so genannten Drittanbietern. Das sind häufig Werbefirmen, die auf diese Weise auf Sie persönlich zugeschnittene Werbung platzieren können.
Als Nutzer können Sie jedoch nur schwer nachvollziehen, welche Informationen in welchem Umfang automatisch an welche Unternehmen weitergeleitet werden.
Tracking-Cookies
Neben Cookies, die nach jeder beendeten Sitzung gelöscht werden, gibt es auch solche, die über mehrere Sitzungen hinweg gespeichert werden. Dazu gehören die sogenannten Verfolgungs-Cookies (englisch: Tracking-Cookies).
Diese hartnäckigen Cookies nehmen Ihr digitales Verhalten teilweise über verschiedenste Internetseiten und über Jahre hinweg unter die Lupe. Damit können Anbieter von Websites, aber vor allem Dritte (z.B. Werbefirmen), ein besonders umfangreiches individuelles Profil von Ihnen anfertigen.
Tracking-Cookies können auch zu einem Sicherheitsrisiko werden. Denn manchmal speichern die kleinen Textdateien auch sensible Daten wie Benutzernamen, Adressen, Telefonnummern oder Bankverbindungen. Dem anschließenden Missbrauch dieser persönlichen Daten sind hier keine Grenzen gesetzt.
Cookie-Banner kurz erklärt
Seit 1995 bestehen für alle Mitgliedsstaaten der Europäischen Union einheitliche Regeln, die mit Einführung der Datenschutzgrundverordnung (DSGVO) 2018 weiter ausgebaut wurden. Daneben gilt seit dem 1. Dezember 2021 in Deutschland das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Demnach darf eine Einwilligung zur Anwendung von Cookies nicht in Form von voreingestellten Häkchen oder Kreuzchen erfolgen, sondern hierzu müssen Nutzer:innen aktiv ihre Zustimmung erteilen.
Screenshot Webseite MediaMarkt.de, 22.1.2021
Cookie-Hinweise, die Sie manipulieren oder zu einer Zustimmung verleiten, die Sie eigentlich nicht wollten (so genannte Dark Patterns), sind unzulässig.
Viele Cookie-Banner benennen verschiedene Kategorien von Cookies:
Notwendige/Erforderliche/Wesentliche Cookies
Diese Cookies sind für das Bereitstellen der Internetseite und ihrer Funktionen technisch zwingend, so dass sie auch nicht abgewählt oder verweigert werden können. Ein bei diesen Cookies voreingestelltes Häkchen, Kreuzchen oder ein Auswahl-Schalter sind in Ordnung.
Leistungs-/Analyse-/Statistik-/Funktionale/etc. Cookies
Diese Cookies sind für den eigentlichen Betrieb der Seite nicht nötig, helfen den Betreibern aber, die Seiten und Angebote zu verbessern. Das muss aber nicht zwingend eine Verbesserung im Sinne der Kunden sein. Diese Cookies dürfen nicht vorausgewählt sein.
Marketing-/Werbe-/Personalierungs-Cookies
Diese Cookies werden für die Auswahl der Werbung genutzt, die Ihnen auf Internetseiten angezeigt wird. Dabei geht es einerseits darum, Ihre Interessen beim Besuch der Seiten zu erfassen und auszuwerten, um auf anderen Internetseiten entsprechende Werbung auszuspielen. Andererseits werden Erkenntnisse über Ihre Besuche auf anderen Seiten genutzt, um auf der aktuellen Internetseite auf Sie zugeschnittene Werbung anzuzeigen.
Personalisierungs-Cookies dienen auch dazu, Ihnen nur bestimmte Inhalte einer Internetseite anzuzeigen – zum Beispiel auf einer Nachrichtenseite nur die Sport- oder Politikartikel einer bestimmten Region. Das erhöht allerdings auch die Gefahr der "Filterblase", in der Sie nur noch solche Informationen erhalten, die Ihre Meinung bestätigen und andere kritische Meinungen gar nicht erst zu Gesicht bekommen.
Sonderfall: Berechtigtes Interesse
Viele Seitenbetreiber stützen die Vorauswahl und das anschließende Setzen von bestimmten Cookies auf ein sogenanntes berechtigtes Interesse. Dieses Interesse kann wirtschaftlicher, rechtlicher oder ideeller Art sein. Nicht immer sind Anbieter und Nutzer der gleichen Ansicht, welches Interesse tatsächlich berechtigt ist. Juristisch betrachtet muss das Interesse des Betreibers aber bedeutsamer sein als das Interesse der Nutzer an Datensparsamkeit. Beispiel: Ein Online-Shop hat ein wirtschaftliches Interesse daran, Ihnen nur teure Produkte anzuzeigen. Sie haben aber ein berechtigtes Interesse daran, auch günstigere Produkte angezeigt zu bekommen. Viele Seitenbetreiber bieten deshalb die Möglichkeit, solche Cookies abzuwählen. Das sollten Sie dann auch machen.
Ungeklärt ist bisher, ob Anbieter von sich aus diesen Bereich automatisch aktiv schalten dürfen. Wie üblich unser Rat: Erlauben Sie nur die Cookies, bei denen Sie nachvollziehen können, wieso sie eingesetzt werden sollen. Im Zweifel ist es besser, nur die notwendigen Cookies auszuwählen, statt einfach auf den Button "alle akzeptieren" zu klicken.
