Fachbeitrag | Beitrag aus „IT-Know-how für den Datenschutzbeauftragten“ 12.08.2016

Cookie-Diebstahl und Cookie-Sicherheit

Angriff auf die Online-Identität

Session-Cookies verhindern, dass man sich nach dem Login auf einer Website wiederholt anmelden muss. Werden Session-Cookies jedoch gestohlen, kann das Benutzerkonto und damit die Online-Identität übernommen werden.

Der Datenschutzbeauftragte sollte deshalb auf notwendige Schutzmaßnahmen gegen Cookie-Diebstahl aufmerksam machen und die Anwender über die Risiken aufklären.

Folgen eines Cookie-Diebstahls

Anmeldung für die komplette Online-Sitzung

Wenn sich ein Internetnutzer bei einem Online-Dienst wie zum Beispiel einem Web-Mail-Dienst anmeldet, gibt er für die komplette Sitzung nur einmal seine Zugangsdaten ein.

Obwohl sich die im Webbrowser angezeigte Internetseite ändert (zum Beispiel vom Ordner „Posteingang“ auf die Anzeige einer einzelnen neuen Nachricht), muss der Anwender nicht bei jeder neuen Seite seinen Benutzernamen und sein Passwort eintragen. Das erfolgte Login wird von einer Webseite innerhalb des Web-Mail-Dienstes an die nächste Webseite übergeben. Für die komplette Online-Sitzung ist also nur eine Anmeldung erforderlich.

Cookies mit Ausweisfunktion

Dahinter steckt nicht etwa eine Funktion, die das Passwort speichert, wie es von vielen Browsern angeboten wird. Eine solche Funktion sollte der Nutzer auch aus Sicherheitsgründen nicht aktivieren, sondern sich für jede Online-Sitzung einzeln anmelden. Die Weitergabe des Zustandes „Login erfolgreich“ erfolgt vielmehr über Session-Cookies.

Im Prinzip arbeiten die Session-Cookies, die jeweils …

Autor: Oliver Schonschek

Sie sehen nur einen Ausschnitt aus dem Produkt „IT-Know-how für den Datenschutzbeauftragten“. Wir bieten Ihnen die Möglichkeit, „IT-Know-how für den Datenschutzbeauftragten“ 30 Minuten lang live zu testen - sofort, ohne Registrierung und mit Zugriff auf fast alle Funktionen.

„IT-Know-how für den Datenschutzbeauftragten“ jetzt 30 Minuten live testen!