Es gehört eigentlich zum kleinen Einmaleins des sicheren Surfens: Wer regelmäßig seine Cookies löscht, ist vor den meisten Netzspionen sicher. Ein Trugschluss, wie sich nun herausstellt. US-Forscher von den Universitäten in Stanford und Berkeley (Externer Link - Öffnet in neuem Fenster) haben kürzlich eine neue Generation von Cookies entdeckt: Supercookies - sie sind nicht nur schwer zu löschen, sondern sie stellen bereits gelöschte Cookies wieder her.

Supercookies schon im Einsatz

Die neue Technik wurde von Kissmetrics, einem Startup-Unternehmen aus dem Großraum San Francisco, entwickelt und auf etlichen US-Webseiten zeitweilig schon genutzt - so etwa von der Videoplattform Hulu, vom Musikdienst Spotify oder von Microsoft auf seinem MSN-Portal. Die Technik dient dazu, das Surfverhalten der Nutzer aufzuzeichnen und Profile anzulegen.

Online-Shops erfahren dadurch etwa, welche Produkte sich ein Kunde wie oft anschaut, welche Inhalte ihn besonders interessieren oder von welcher Webseite er kommt, wenn er den Online-Shop betritt - wertvolle Informationen, die die Unternehmen nutzen können, um ihre Shops zu optimieren und ihre Kunden mit persönlichen Werbebotschaften einzudecken.

Datenkekse für die Ewigkeit

Es gibt bereits Analysedienste, die solche Daten liefern. Heikel an der Supercookie-Technik von Kissmetrics ist aber, dass sie jedem Rechner eine eindeutige Identifikationsnummer zuweist. Diese geht selbst dann nicht verloren, wenn der Nutzer seine Cookies löscht. Denn die Nummer wird gleich doppelt auf dem Rechner abgespeichert: in einem ganz normalen Cookie und in einer Datei, die im Rechner "versteckt" wird.

Wird das normale Cookie gelöscht, sorgt Kissmetrics dafür, dass beim nächsten Webseitenbesuch ein neues Cookie angelegt wird, in das die alte Identifikationsnummer geschrieben wird - sie steckt ja noch im Rechner. Der Nutzer bleibt identifizierbar, auch wenn er seine Cookies bewusst regelmäßig löscht, sagen die Forscher aus Stanford und Berkeley.

"Was wisst ihr über diesen Typen?"

Nicht nur die Supercookie-Technik, auch die Identifikationsnummer sorgt für Aufregung. Sie lade geradezu zum Missbrauch ein, sagen Kritiker wie der Journalist Ryan Siegel vom US-Magazin "Wired". Seine Identifikationsnummer - zum Beispiel 7336786 - bekommt ein Rechner, wenn er erstmalig die Webseite eines Kissmetrics-Kunden besucht, erläutert Siegel. Dann behält er sie ein ganzes Rechnerleben lang.

Kissmetrics-Kunden wie etwa Hulu oder Spotify könnten sich kurzschließen und diese Nummern gemeinschaftlich auswerten, sagt Siegel. "Hulu könnte Spotify fragen: 'Hey, was wisst ihr über diesen Typen hier, 7336786?' Und Spotify würde antworten: 'Oh, sein Name ist so und so. Er mag dieses und jenes'." Am Ende steht der gläserne Surfer, so Siegel.

Firmen reagieren

"Kissmetrics nutzt praktisch jede bekannte Methode, um zu verhindern, dass der Nutzer seine Privatsphäre schützen kann", fasst die Forschergruppe aus Stanford und Berkeley ihre Ergebnisse zusammen. Spotify, Hulu und Microsoft haben mittlerweile reagiert und verzichten künftig auf die Dienste der kalifornischen Webanalysefirma.

Man sei schockiert gewesen, dass es eine solche Technik überhaupt gebe, erklärte Hulu. Bei MSN sei der Einsatz der unlöschbaren Cookies sofort nach Erscheinen des Forschungsberichts eingestellt worden, schreibt Microsoft-Mitarbeiter Mike Hintze im Datenschutzblog des Unternehmens. (Externer Link - Öffnet in neuem Fenster)

Ausklinken per Mausklick

Kissmetrics weist alle Vorwürfe zurück.(Externer Link - Öffnet in neuem Fenster) Man habe Nutzerdaten niemals an Dritte weitergegeben und erstelle von einzelnen Nutzern auch keine Surfprofile. Immerhin bietet man Internetnutzern mittlerweile die Möglichkeit an, sich aus dem Analysesystem des Unternehmens per Mausklick auszuklinken.(Externer Link - Öffnet in neuem Fenster) Dabei wird im Rechner des Nutzers ein Cookie gesetzt, dass die Kissmetrics-Software anweist, den fraglichen Nutzer im Web zu ignorieren.