HTTP-Cookies

HTTP-Cookies sind ein grundlegender Mechanismus des World Wide Web. Da das HTTP-Protokoll zustandslos konzipiert ist, kann ein Webserver ohne Hilfsmittel nicht erkennen, ob zwei aufeinanderfolgende Anfragen vom selben Nutzer stammen. Cookies lösen dieses Problem, indem der Server beim ersten Besuch eine kleine Textdatei im Browser des Nutzers ablegt, die bei jedem weiteren Seitenaufruf automatisch mitgesendet wird. Dieser einfache Mechanismus ermöglicht Funktionen wie Login-Sessions, Warenkorbspeicherung und Spracheinstellungen — bildet aber gleichzeitig eine Angriffsfläche, die bei der Absicherung von Webanwendungen berücksichtigt werden muss.

Cookie-Typen

Cookies lassen sich nach ihrer Lebensdauer und Herkunft in drei Kategorien einteilen. Session-Cookies werden nur für die Dauer einer Browsersitzung gespeichert und automatisch gelöscht, sobald der Nutzer den Browser schließt. Sie dienen typischerweise der Authentifizierung: Nach dem Login erzeugt der Server ein Session-Cookie, das den Nutzer bei jedem weiteren Seitenaufruf identifiziert, ohne dass erneut Zugangsdaten eingegeben werden müssen.

Persistente Cookies hingegen bleiben über die Browsersitzung hinaus bestehen. Der Server definiert über das Expires- oder Max-Age-Attribut, wie lange das Cookie gültig sein soll — von wenigen Stunden bis zu mehreren Jahren. Persistente Cookies speichern Präferenzen wie die gewählte Sprache oder das Theme, ermöglichen aber auch das automatische Wiederanmelden über längere Zeiträume. In der Praxis finden sich regelmäßig Authentifizierungs-Cookies mit Laufzeiten von mehreren Monaten, was das Zeitfenster für einen Missbrauch nach einem Diebstahl erheblich vergrößert.

Third-Party-Cookies werden nicht von der besuchten Website selbst gesetzt, sondern von Drittanbietern, deren Inhalte in die Seite eingebettet sind — etwa Werbennetzwerke, Social-Media-Widgets oder Analytics-Dienste. Diese Cookies ermöglichen webseitenübergreifendes Tracking und sind datenschutzrechtlich besonders relevant. Die großen Browserhersteller schränken Third-Party-Cookies zunehmend ein: Safari und Firefox blockieren sie standardmäßig, und Chrome hat angekündigt, sie mittelfristig ebenfalls zu unterbinden.

Sicherheitsflags im Detail

Die Sicherheit eines Cookies hängt maßgeblich davon ab, welche Attribute der Server beim Setzen des Cookies definiert. Drei Flags sind dabei besonders relevant.

Das Secure-Flag weist den Browser an, das Cookie ausschließlich über verschlüsselte HTTPS-Verbindungen zu übertragen. Ohne dieses Flag könnte ein Angreifer in einem ungesicherten WLAN den Cookie-Wert im Klartext mitlesen — ein klassischer Man-in-the-Middle-Angriff. Für alle Cookies, die sicherheitsrelevante Informationen enthalten, ist das Secure-Flag eine absolute Grundvoraussetzung.

Das HttpOnly-Flag verhindert, dass clientseitiges JavaScript über document.cookie auf das Cookie zugreifen kann. Das ist eine der wirksamsten Maßnahmen gegen Cross-Site-Scripting (XSS): Selbst wenn ein Angreifer schadhaften JavaScript-Code in eine Webseite einschleust, kann er HttpOnly-Cookies nicht auslesen und für Session-Hijacking missbrauchen. Dieses Flag sollte für alle Authentifizierungs- und Session-Cookies gesetzt sein.

Das SameSite-Attribut kontrolliert, ob der Browser ein Cookie bei Anfragen sendet, die von einer anderen Website ausgehen. Der Wert Strict sendet das Cookie nur bei Anfragen innerhalb derselben Domain — der stärkste Schutz gegen Cross-Site-Request-Forgery (CSRF). Lax erlaubt das Mitsenden bei Top-Level-Navigationen wie dem Klick auf einen Link, blockiert aber eingebettete Anfragen wie Bilder oder Formulare. None deaktiviert den Schutz vollständig und erfordert zwingend das Secure-Flag. Seit 2020 setzen die meisten Browser Lax als Standardwert, wenn kein SameSite-Attribut angegeben ist.

DSGVO und ePrivacy: Rechtliche Anforderungen an Cookies

Die DSGVO und die ePrivacy-Richtlinie regeln gemeinsam, unter welchen Bedingungen Cookies gesetzt werden dürfen. Die entscheidende Unterscheidung liegt im Zweck des Cookies. Technisch notwendige Cookies — etwa für die Authentifizierung, die Warenkorbfunktion oder die Speicherung der Cookie-Consent-Entscheidung selbst — dürfen ohne vorherige Einwilligung gesetzt werden, da sie für den Betrieb der Website erforderlich sind. Für alle anderen Cookies, insbesondere Marketing-, Tracking- und Analytics-Cookies, ist eine informierte, freiwillige und aktive Einwilligung des Nutzers erforderlich, bevor das Cookie im Browser abgelegt wird.

In der Praxis bedeutet das: Cookie-Banner müssen eine echte Wahlmöglichkeit bieten. Vorausgewählte Checkboxen, irreführende Button-Beschriftungen oder das Verstecken der Ablehnungsoption verstoßen gegen die DSGVO. Die Einwilligung muss ebenso einfach widerrufbar sein wie sie erteilt wurde. Unternehmen müssen zudem dokumentieren können, welche Cookies sie setzen, zu welchem Zweck und auf welcher Rechtsgrundlage — das Cookie-Verzeichnis gehört zu den technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO.

Deutsche Aufsichtsbehörden haben in den letzten Jahren vermehrt Bußgelder wegen fehlerhafter Cookie-Implementierungen verhängt. Häufige Verstöße sind: Setzen von Tracking-Cookies vor der Einwilligung, fehlende oder unvollständige Cookie-Kategorisierung im Consent-Banner und unzureichende Informationen über Third-Party-Cookies in der Datenschutzerklärung.

Cookies und Phishing: Session-Hijacking als Angriffsvektor

Cookies sind ein bevorzugtes Ziel bei Phishing-Angriffen, insbesondere bei sogenannten Adversary-in-the-Middle-Attacken. Dabei leitet der Angreifer den Nutzer über eine gefälschte Login-Seite, die als Proxy zum echten Server fungiert. Der Nutzer authentifiziert sich — inklusive MFA — und der Angreifer fängt das resultierende Session-Cookie ab. Mit diesem Cookie kann der Angreifer die Sitzung des Nutzers übernehmen, ohne Zugangsdaten oder den zweiten Faktor zu kennen. Korrekt gesetzte SameSite- und HttpOnly-Flags erschweren diesen Angriffsvektor erheblich, können ihn bei einem vollständig kontrollierten Proxy-Szenario aber nicht vollständig verhindern. Umso wichtiger ist die Kombination aus sicherer Cookie-Konfiguration, kurzen Session-Laufzeiten und kontinuierlicher Überwachung auf verdächtige Sitzungsübernahmen.

Praxistipp: Cookie-Konfiguration regelmäßig prüfen

Viele Unternehmen wissen nicht genau, welche Cookies ihre Website tatsächlich setzt — insbesondere wenn Content-Management-Systeme, Tag-Manager oder Drittanbieter-Widgets im Einsatz sind. Ein regelmäßiger Scan schafft Transparenz über alle aktiven Cookies, deren Sicherheitsflags und Laufzeiten. Unser kostenloser Cookie-Scanner analysiert die Cookies einer beliebigen Website und zeigt fehlende Secure-, HttpOnly- und SameSite-Attribute auf einen Blick. Ergänzend dazu prüft der Security Headers Check, ob weitere browserseitige Schutzmechanismen wie Content-Security-Policy und Strict-Transport-Security korrekt konfiguriert sind.