Cookie-Scanner

Session-Cookies und persistente Cookies

HTTP-Cookies sind kleine Textdateien, die ein Webserver im Browser des Nutzers ablegt, um Informationen zwischen einzelnen Seitenaufrufen zu speichern. Ohne Cookies könnte eine Website nicht erkennen, ob zwei aufeinanderfolgende Anfragen vom selben Nutzer stammen — das HTTP-Protokoll ist von Natur aus zustandslos. Session-Cookies werden beim Schließen des Browsers automatisch gelöscht und dienen typischerweise der Authentifizierung oder der Warenkorbverwaltung. Persistente Cookies hingegen bleiben über die Browsersitzung hinaus bestehen und werden erst nach Ablauf einer definierten Laufzeit oder durch manuelles Löschen entfernt. Sie speichern beispielsweise Spracheinstellungen, Login-Tokens oder Tracking-Informationen. Gerade bei persistenten Cookies mit langer Laufzeit lohnt ein genauer Blick: Wenn ein Authentifizierungs-Cookie monatelang gültig bleibt, vergrößert sich das Zeitfenster für Session-Hijacking erheblich.

Sicherheitsflags erklärt: Secure, HttpOnly und SameSite

Jedes Cookie kann mit Sicherheitsflags versehen werden, die den Browser anweisen, wie er das Cookie behandeln soll. Das Secure-Flag stellt sicher, dass das Cookie ausschließlich über verschlüsselte HTTPS-Verbindungen übertragen wird — ohne dieses Flag könnte ein Angreifer den Cookie-Wert in einem ungesicherten Netzwerk mitlesen. Das HttpOnly-Flag verhindert, dass JavaScript im Browser auf das Cookie zugreifen kann, was Cross-Site-Scripting-Angriffe (XSS) deutlich erschwert: Selbst wenn ein Angreifer schadhaftes Script einschleust, kann er das Session-Cookie nicht auslesen. Das SameSite-Attribut kontrolliert, ob ein Cookie bei Cross-Site-Anfragen mitgesendet wird. Mit dem Wert "Strict" wird das Cookie nur bei Anfragen innerhalb derselben Domain übertragen, "Lax" erlaubt es zusätzlich bei Top-Level-Navigationen, und "None" sendet das Cookie bei allen Anfragen mit — letzteres erfordert zwingend das Secure-Flag. Ein korrekt gesetztes SameSite-Attribut ist eine der wirksamsten Maßnahmen gegen Cross-Site-Request-Forgery (CSRF).

DSGVO und Cookies: Einwilligung, ePrivacy und die Unterscheidung nach Zweck

Die DSGVO und die ePrivacy-Richtlinie regeln gemeinsam, unter welchen Bedingungen Cookies gesetzt werden dürfen. Die zentrale Unterscheidung liegt im Zweck: Technisch notwendige Cookies — etwa für die Authentifizierung, den Warenkorb oder die Sprachauswahl — dürfen ohne Einwilligung gesetzt werden, da sie für den Betrieb der Website unerlässlich sind. Für alle anderen Cookies, insbesondere Marketing- und Tracking-Cookies, ist eine informierte und freiwillige Einwilligung des Nutzers erforderlich, bevor das Cookie gesetzt wird. Das bedeutet in der Praxis: Ein Cookie-Banner, das beim ersten Besuch alle Cookies aktiviert und nur eine nachträgliche Opt-out-Möglichkeit bietet, ist nicht DSGVO-konform. Die Einwilligung muss aktiv erfolgen, darf nicht vorausgewählt sein und muss ebenso einfach widerrufbar sein wie sie erteilt wurde. Verstöße gegen diese Anforderungen gehören zu den häufigsten Gründen für Beschwerden bei Datenschutzaufsichtsbehörden.

Warum ein Cookie-Scan wichtig ist

Viele Unternehmen wissen nicht genau, welche Cookies ihre Website tatsächlich setzt — insbesondere wenn Drittanbieter-Scripts, Tag-Manager oder eingebettete Inhalte im Spiel sind. Ein regelmäßiger Cookie-Scan schafft Transparenz: Er zeigt, welche Cookies aktiv sind, ob die Sicherheitsflags korrekt gesetzt sind und ob die Laufzeiten angemessen sind. Das ist nicht nur aus Sicherheitsperspektive relevant, sondern auch für die DSGVO-Compliance, denn das Cookie-Banner muss alle tatsächlich gesetzten Cookies korrekt kategorisieren und offenlegen. Fehlende Secure- oder HttpOnly-Flags bei Authentifizierungs-Cookies sind ein konkretes Sicherheitsrisiko, das bei einer IT-Schwachstellenprüfung regelmäßig auffällt. Unser kostenloser Cookie-Scanner gibt Ihnen in Sekunden eine Übersicht über alle gefundenen Cookies und bewertet deren Konfiguration.