Leserfrage: Erhält Google Daten über Cookies?
Vergangenes Jahr erreichte mich eine Leserfrage, die ich kurz aufgreifen möchte:
Hallo Mike,
ich habe eben das Firefox-Addon Cookie AutoDelete installiert und durch die Löschmeldung festgestellt, dass nach dem Besuch von einigen Webseiten wie https://mailbox.org/ und https://www.gls-online-filiale.de (Online-Banking der GLS-Bank) Google-Cookies gelöscht werden. Da ich mich auf diesen beiden Webseiten einlogge, bin ich dort folglich mit dem Firefox und meiner richtigen IP unterwegs. Ich habe in den Seitenquelltexten nachgeschaut, dort sieht es tatsächlich so aus, als würden die Social-Buttons eingebunden (gut, bei mailbox.org sehe ich den Button auch so). Besonders bei mailbox.org scheinen Sie doch sehr auf Datenschutz zu achten, deswegen habe ich dort nicht erwartet, etwas von Google untergeschoben zu bekommen.
Bei uMatrix wird als Herkunft der Cookies lediglich mailbox.org angezeigt. Das müsste ja heißen, dass der Google-Cookie doch irgendwie über mailbox.org ausgeliefert wird.
Nun habe ich zwei Fragen dazu:
1. Erhält Google dadurch Daten über mich? Wissen Sie dadurch, dass ich auf der betreffenden Webseite war?
2. Wenn ja, wie kann ich mich davor schützen?
Die Antworten:
- Ja, Google erhält dann Daten – bspw. eure IP-Adresse. Und ja, Google kann euch darüber auch seitenübergreifend tracken (Erklärung hier). Das lokale Setzen von Cookies erfolgt erst dann, wenn der Browser innerhalb einer HTTP-Antwort dazu aufgefordert wird. Das erfolgt über die Direktive »Set-Cookie« im Header der HTTP-Antwort. Da es sich hierbei um eine HTTP-Antwort handelt muss logischerweise davor eine HTTP-Anfrage herausgegangen sein. Was bedeutet das nun konkret? Bei der Registrierung eines neuen E-Mail-Kontos auf mailbox.org wird ein Google reCAPTCHA eingebunden. Diese Einbindung erfolgt über die Domain »https://www.google.com/recaptcha/…« bzw. ein Skript, das in den Kontext der mailbox.org Webseite eingebunden ist. Bei der Registrierung eines neuen Kontos wird dieses Skript also vom Browser geladen, was dann mit dem Setzen eines Google Cookies einhergeht.
- Davor schützen kann man sich, indem solche HTTP-Anfragen zu Drittseiten generell unterbunden werden. Geht die Anfrage nicht raus, kann auch keine HTTP-Antwort zurückkommen, die den Browser zum Setzen eines Cookies auffordert. Addons wie uMatrix können das leisten. Das Addon könnte man als eine Art Firewall beschreiben, die das Nachladen von Ressourcen wie Skripte, Bilder, Stylesheets, Cookies und mehr erlaubt / blockiert. Das Problem: Für Anfänger sind diese Addons nicht empfehlenswert. Daher könnt ihr euch auch mit einer weniger aufwändigen Lösung behelfen und Cookies von Drittanbietern generell nicht annehmen. Das Cookie von Google wird dann nicht mehr gesetzt, allerdings erhält Google nach wie vor eure IP-Adresse. Wer dies unterbinden möchte, der sollte dann tatsächlich zu uMatrix greifen.
Noch ein paar abschließende Worte:
Wer spurenarm im Internet surfen möchte, der sollte einen Blick auf die Artikelserie »Not my data« werfen. Wenn ihr weitere Informationen sucht, weshalb das Einbinden von Drittquellen wie Google reCAPTCHAs eine Gefahr für die Sicherheit und Privatsphäre darstellen können, dann solltet ihr euch folgenden Beitrag anschauen: Das kranke WWW: Stop using Google Web-Services.
Firefox: uMatrix – Firefox-Kompendium Teil9
mailbox.org: Verlässlich und vertrauenswürdig – E-Mails unter Kontrolle Teil2
Firefox: First Party Isolation – Firefox-Kompendium Teil4
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
