Und wieder einmal sorgt in den USA eine Sammelklage für Schlagzeilen. In diesem Fall zieht der Anwalt Jospeh Malley mehrere US-Schwergewichte – darunter ABC, Hulu, MTV und MySpace – vor den Richter (Klageschrift, PDF), da sie auf ihren Websites illegaler Weise sogenannte Zombie-Cookies verwendeten. Damit verstoßen sie dem Datenschutz-Experten Malley zufolge aber gegen die „Federal Computer Intrusion Laws„. Diese stellen unter anderem den wissentlichen, aber unauthorisierten Zugriff auf fremde Computer und den daraus eventuell erwachsenen Datenmissbrauch unter Strafe. Ein prominenter Fall aus der jüngeren Vergangenheit, in dem das Gesetz wirksam wurde, war der Selbstmord der MySpace-Userin Megan Meier.
Was hat es nun aber mit den Zombie-Cookies auf sich? Bei Cookies handelt es sich, stark vereinfacht gesagt, um kurze Einträge in einem Datenverzeichnis oder einer-bank eines Computers. Sie dienen zwei Zielen: einerseits der zeitlich beschränkten Archivierung von Informationen, andererseits dem Austausch zwischen Computerprogrammen. Nun gibt es aber verschiedene Arten von Cookies, und bei den gerade beschriebenen handelt es sich um sogenannte Magic Cookies, die quasi von Anwendungsprogrammen oder Teilen beziehungsweise Erweiterungen des Betriebssystems gesetzt werden. Darüber hinaus gibt es aber noch HTTP-, Drittanbieter und Flash-Cookies.
Den zur Gruppe der HTML-Cookies gehörenden HTTP- und Drittanbieter-Cookies ist gemein, dass es sich bei ihnen um Informationen handelt, die beim Besuch einer Website vom Webserver an den Browser des Users geschickt und in einer speziellen Datenbank – dem Cache – gespeichert werden. Bei einem erneuten Besuch dieser Site werden die zuvor gespeicherten Daten dann an den Server zurückgeschickt, was zur komfortableren Nutzung von Websites führen soll. Dadurch entfällt nämlich beispielsweise die erneute Eingabe von Userdaten oder der Aufbau einer Sitzung wird beschleunigt.
Im Unterschied zum HTTP-Cookie handelt es sich beim Drittanbieter-Cookie um einen Eintrag, der nicht nur von dem Webserver der Site gelesen werden kann, die ihn gesetzt hat, sondern auch von denen anderer Anbieter. Dies ist vor allem für Werbetreibende wichtig, da sie auf diesem Wege alle vom User besuchten Seiten protokollieren können, auf denen ihre eigene Werbung eingeblendet wird.
Zuletzt gibt es noch die Flash-Cookies, über die uns dann der Weg schließlich zu den Zombie-Cookies führt. Sie unterscheiden sich von den zuvor genannten dadurch, dass sie von Websites mit eingebundenen Flash-Medien gesetzt werden. Das hat zur Folge, dass sie nicht, wie in den oben genannten Fällen, vom Webbrowser administriert werden. Stattdessen übernimmt ein Browser-externes Flash-Player-Plugin diesen Job. Vorteil hierbei ist, dass die Einträge browserunabhängig auf dem User-PC gespeichert werden können. Beim Betrachten von Seiten mit auf Flash basierten Inhalten wie etwa Werbung, werden die Daten dann an den „Heimat-Server“ geschickt, egal mit welchem Browser die Seite beim nächsten Besuch angeschaut wird. Bis auf die Flash-Cookies lassen sich alle Cookies vom User relativ einfach löschen.
Und nun kommen wir zu den Zombie-Cookies. Entwickelt wurden sie von Quantcast, einem Spezialisten für Web Analytics, und weisen eine Besonderheit auf. Indem man sie nämlich löscht, erweckt man sie erst zum Leben – ein Umstand, dem sie wohl ihren Namen verdanken. Zudem wandern sie aus dem Ordner, in dem sie entdeckt wurden, woanders hin, wo sie der User nicht vermutet. Vorzugsweise in den Adobe Flash Player. Im Kern funktioniert der Trick, der von einem US-amerikanischen Wissenschaftler-Team im vergangenen Jahr entdeckt wurde, ganz leicht:
Die Flash-Cookies werden einfach mit den „normalen“ Cookies in dem für Letztere vom Browser vorgesehenen Verzeichnis gespeichert. Hierdurch erhalten beide die gleichen ID-Informationen, die im Normalfall nur den HTML-Cookies zugewiesen werden. Das macht es aber möglich, die gelöschten HTML-Cookies mithilfe der Informationen der Flash-Cookies „wiederzubeleben“. Und diese werden dann im Flash-Player versteckt. Und sie dort wegzubekommen, ist für den Durchschnittsuser fast nicht möglich. Hierzu muss er nämlich die Seite von Adobe aufsuchen, da sie nicht lokal auf seinem PC gespeichert werden.
Auf diesem Wege konnten User durch Quantaost und im Auftrag der oben genannten Unternehmen quasi ununterbrochen im Netz „beobachtet“ werden. Und wofür sie das tun, kann sich bestimmt jeder von euch selbst denken.
(Marek Hoffmann / Foto: Flickr – Fotograf: matt512)
