Die Cyber-Security-Agentur der EU plädiert dafür, dass sowohl der Browser der User als auch der Ursprungsserver die Regeln des sogenannten "informed consent" befolgen. Das bedeutet, dass der User sowohl ausreichend informiert werden muss, welche Informationen der Cookie von ihm verwertet und wofür diese genutzt werden. Außerdem muss das Werbeunternehmen die Zustimmung des Users einholen. Zusätzlich dringt die ENISA darauf, dass die User in der Lage sein müssen, ihre Cookies einfach zu verwalten.

In dem von der ENISA vorgelegten Positionspapier, das in Kürze in voller Länger unter http://www.enisa.europa.eu/act/it/pat zugänglich sein wird, nehmen die Sicherheitsspezialisten verschiedene Arten von Cookies unter die Lupe und untersuchen sie im Hinblick auf Sicherheitsschwachstellen und Verletzungen der Privatsphäre. Ursprünglich dienten Cookies dazu, die Interaktion zwischen Browser und Server zu erleichtern. Allerdings hat sich die Werbeindustrie die Cookies zunutze gemacht, um das Userverhalten zurückzuverfolgen und mithilfe dieser Informationen z.B. entsprechende Werbung zu schalten.

Vier zentrale Forderungen

Leider existiert die Möglichkeit, Cookies zu missbrauchen, warnt ENISA - und diese Möglichkeit werde auch ausgeschöpft. Die von den Security-Analysten neu entdeckten, noch gefährlicheren Cookies unterstützen die Identifizierung der Internet-User über einen längeren Zeitraum. Zudem kann man nicht ohne Weiteres erkennen, wie sie eingesetzt werden. Darum ist es auch nicht möglich, die Folgen für Sicherheit und Privatsphäre zu quantifizieren. Um diese potenziellen Bedrohungen zu lindern, hat die ENISA vier zentrale Forderungen ausgearbeitet:

Cookies sollten nach den Regeln des "informed consent" entwickelt werden; die darin gespeicherten Daten sollten für den User transparent gemacht werden
Die User sollten in der Lage sein, ihre Cookies zu managen; alle Cookies sollten einfach wieder entfernt werden können; Die Speicherung der Cookies außerhalb des Browsers sollte erschwert oder gleich ganz verboten werden; User, die Cookies nicht akzeptieren wollen, sollten mit einer anderen Service-Möglichkeit versorgt werden

Direktive 2009/136/

"Es wird noch viel Arbeit kosten, diese neuen Cookies so transparent und für den User kontrollierbar zu machen wie die alten HTTP-Cookies, um so Privatsphäre- und Sicherheitsaspekte von Verbrauchern und Unternehmen gleichermaßen zu schützen", so ENISA-Direktor Prof. Udo Helmbrecht. Bis zum 25. Mai müssen die EU-Mitgliedsstaaten die Direktive 2009/136/ in nationales Recht umsetzen. Darin wird betont, dass es eine gültige Zustimmung seitens des Nutzers geben muss und dass dem Nutzer vorab klare Informationen zustehen.

Quelle: Initiative Privat im Internet