Die Cookie-Monster sind los: Studie zeigt die Risiken von Web-Cookies auf

Internet-Cookies, an denen man ganz schön zu knabbern hat

Fast jeder kennt wahrscheinlich Cookie-Pop-ups. Sie tauchen auf fast jeder Website auf, die du besuchst. Web-Cookies, oder einfach Cookies, sind so sehr Teil unseres Alltags geworden, dass wir kaum noch darüber nachdenken, bevor wir auf „Alle akzeptieren“ klicken.

Cookies sind kleine Textdateien, die von den Webseiten, die du besuchst, auf deinem Gerät gespeichert werden. Sie enthalten Infos über deine Browsing-Aktivitäten und Präferenzen und helfen Webseiten, sich Details zwischen den Sitzungen zu merken. Cookies machen das Surfen bequemer und persönlicher. Sie können dich beispielsweise angemeldet lassen oder sich merken, was sich in deinem Warenkorb befindet, auch wenn du die Webseite verlässt und später zurückkommst. Cookies können jedoch auch deine Aktivitäten zu Werbezwecken verfolgen, weshalb manche Menschen sich Sorgen um ihre Privatsphäre machen.

Wie Cookies in einer Bäckerei gibt es auch im Internet Cookies in vielen Varianten:

• Erstanbieter-Cookies werden von der Webseite erstellt und gespeichert, die du gerade besuchst. Sie werden verwendet, um Anmeldedaten, Benutzereinstellungen und Einstellungen auf dieser bestimmten Webseite zu speichern. Wenn du dich zum Beispiel auf einer Website anmeldest, speichern Erstanbieter-Cookies möglicherweise deinen Benutzernamen, damit du ihn bei deinem nächsten Besuch nicht erneut eingeben musst. Erstanbieter-Cookies werden in der Regel als weniger aufdringlich angesehen, können aber dennoch ernsthafte Risiken bergen, insbesondere wenn sie sensible Daten wie Sitzungs-IDs oder Anmeldedaten speichern, die bei Diebstahl Angreifern Zugriff auf persönliche Konten oder sogar Unternehmensnetzwerke verschaffen könnten.
• Cookies von Drittanbietern werden von einer anderen Webseite auf deinem Gerät gespeichert, nicht von der, die du gerade besuchst. Beispielsweise können Werbetreibende oder Analytikdienste diese Cookies für gezielte Werbung und zur Nachverfolgung deines Verhaltens setzen. Cookies von Drittanbietern verfolgen deine Aktivitäten auf verschiedenen Webseiten, z. B. welche Links du anklickst und welche Produkte du dir ansiehst.
• Super-Cookies sind Tracking-Mechanismen, die viel schwieriger zu erkennen und zu entfernen sind. Im Gegensatz zu Standard-Cookies, die in deinem Browser gespeichert werden und leicht gelöscht werden können, verstecken sich diese an raffinierteren Stellen, wie dem lokalen Flash-Speicher oder dem lokalen HTML5-Speicher, oder verwenden sogar Techniken wie ETags oder HSTS, um sich zu halten. Einige Super-Cookies werden sogar von Internetprovidern hinzugefügt, die spezielle Identifikatoren in deinen Internetverkehr einfügen, um dich auf jeder Website, die du besuchst, zu verfolgen. Da sie an ungewöhnlichen Orten gespeichert oder durch Manipulation der Netzwerkebene hinzugefügt werden, können Super-Cookies auch nach dem Löschen der Cookies in einem Browser wieder auftauchen, was sie zu einem ernsthaften Sicherheitsrisiko macht.
• Zombie-Cookies „erwachen von den Toten“, selbst wenn du sie löschst. Sie werden oft automatisch aus Sicherungskopien wiederhergestellt, die außerhalb des normalen Cookie-Speichers abgelegt sind, wodurch Zombie-Cookies nahezu unmöglich zu entfernen sind und eine ernsthafte Bedrohung für die Privatsphäre darstellen.

Studie enthüllt die nicht so süße Seite von Web-Cookies

Die meisten Cookies sind harmlos. Aber in den falschen Händen kann selbst der kleinste Krümel eine komplette digitale Spur hinterlassen, sodass das blinde Akzeptieren von Web-Cookies eine riskante Angewohnheit sein kann. Unsere neueste Untersuchung zeigt, wie riskant das sein kann. Nach unserer Untersuchung zu Web-Cookies im letzten Jahr haben wir uns wieder mit den Experten von NordStellar zusammengetan, einer Plattform für das Management von Bedrohungsrisiken. Zusammen haben wir eine weitere Sammlung von über 93,7 Milliarden Cookies analysiert, die in Dark-Web-Foren und auf Telegram-Marktplätzen zum Verkauf angeboten wurden. Die Experten haben untersucht, woher die Cookies kamen, welche Daten sie enthielten, ob sie aktiv waren und wie Cyberkriminelle sie nutzen.

Es ist wichtig zu wissen, dass weder NordVPN noch seine Experten der Untersuchung die gestohlenen Cookies gekauft oder auf deren Inhalt zugegriffen haben. Unsere Partner haben nur die Daten analysiert, die in den Cookie-Verkaufslisten verfügbar waren, um die Privatsphäre und Sicherheit der Internetnutzer bei der Erstellung dieses Berichts zu gewährleisten.

So werden Web-Cookies gestohlen

Cyberkriminelle klauen Cookies mithilfe von Schadsoftware. In unserer Studie haben Experten herausgefunden, dass fast alle Cookies von Infostealern, Trojanern und Keyloggern abgegriffen wurden. Diese Arten von Schadsoftware sind speziell dafür gemacht, Anmeldedaten, Cookies, gespeicherte Browser-Passwörter und Krypto-Wallets zu sammeln. Hier sind einige der häufigsten Tools, die in unserer Untersuchung hinter den gestohlenen Web-Cookies stecken:

• Redline ist einer der am häufigsten verwendeten Keylogger und Infostealer, der als Malware-as-a-Service beworben wird. Redline Stealer ist für den größten Teil der gestohlenen Cookies in unserem Datensatz verantwortlich – fast 42 Milliarden Cookies. Allerdings waren nur noch 6,2% davon aktiv, was bedeutet, dass die Lebensdauer der gestohlenen Daten relativ kurz ist.
• Vidar ist auch eine Schadsoftware als Dienstleistung mit speziellen Konfigurationen, die auf bestimmte Datentypen abzielen. Sie hat rund 10,5 Milliarden Cookies gesammelt, von denen 7,2% noch gültig sind.
• LummaC2 ist ein Stealer, der Cyberkriminellen als Dienstleistung angeboten wird. Er ist neuer, wird aber immer häufiger eingesetzt. Er war für über 8,8 Milliarden gestohlene Cookies verantwortlich, von denen 6,5% noch aktiv sind.
• CryptBot ist ein Infostealer, der hauptsächlich auf Windows-Betriebssysteme abzielt. Obwohl er nur 1,4 Milliarden Cookies erfasst hat, waren 83,4% davon noch aktiv, was CryptBot zur effektivsten Schadsoftware auf unserer Liste macht.

Diese Schadsoftware-Tools sind einfach zu bedienen und weit verbreitet, sodass sie für fast jeden zugänglich sind. Sie verstecken sich oft in raubkopierter Software oder scheinbar harmlosen Downloads. Nach der Installation scannen sie den Cookie-Speicher des Browsers und senden alles an einen Command-and-Control-Server. Von dort aus können die Daten innerhalb von Minuten im Dark Web auftauchen.

Welche Daten-Zutaten enthalten Web-Cookies?

Was genau enthalten diese Cookies? Eine ganze Menge. Wenn Cyberkriminelle gestohlene Cookies verkaufen, versehen sie diese oft mit Keywords, um anzugeben, um welche Art von Daten es sich handelt. Zu den häufigsten Keywords gehörten „ID“ (18 Milliarden), gefolgt von „Session“ (1,2 Milliarden). Eine beträchtliche Anzahl gestohlener Cookies war mit den Keywords ‚Suth‘ (272,9 Millionen) und „Login“ (61,2 Millionen) versehen. Diese Tags deuten darauf hin, dass die Cookies mit bestimmten Benutzerkonten verknüpft sind, was wiederum bedeutet, dass sie ohne Passwort wiederverwendet werden könnten, um Live-Sitzungen zu kapern. Das ist besonders besorgniserregend, wenn man bedenkt, dass von den 93,7 Milliarden analysierten gestohlenen Cookies 15,6 Milliarden noch aktiv waren. 

Aber es geht nicht nur um den Zugriff auf Konten. Einige dieser Cookies enthalten auch persönliche Infos wie den Namen, die E-Mail-Adresse, das Land und die Stadt eines Nutzers sowie Geschlecht, Geburtstag oder sogar die physische Adresse. Diese Details sind genauso gefährlich, weil sie es Angreifern ermöglichen könnten, personalisierte Social-Engineering-Angriffe zu starten und im schlimmsten Fall die Identität der Nutzer zu stehlen. Und wenn Details wie dein Standort oder dein Geburtstag öffentlich zugänglich sind, ist das nicht nur ein Risiko für deine Privatsphäre, sondern auch eine Gefahr für deine persönliche Sicherheit.

Woher kommen die Cookies?

Die Experten haben auch genauer geschaut, woher die gestohlenen Cookies kamen, indem sie drei Hauptfaktoren analysiert haben: die Plattform, von der sie geklaut wurden, das Land, aus dem sie kamen, und das Betriebssystem.

Plattformen

Bei den Plattformen sind, wie zu erwarten, die großen Namen ganz vorne. Cookies von Google-Diensten machten den größten Teil der Daten aus – mehr als 4,5 Milliarden Cookies waren mit Gmail, Google Drive und anderen Google-Diensten verbunden. YouTube und Microsoft hatten jeweils über 1 Milliarde Cookies.

Beliebte Plattformen sind attraktive Ziele, weil man dort mehr Infos abgreifen kann. Außerdem werden Google- und Microsoft-Konten oft für die Multi-Faktor-Authentifizierung genutzt. Durch den Diebstahl eines Google- oder Microsoft-Sitzungscookies könnten Cyberkriminelle Zugriff auf E-Mails, Dateien, Kalender und sogar verknüpfte Konten erhalten, ohne Passwörter erraten oder die Zwei-Faktor-Authentifizierung auslösen zu müssen.

Länder

Cookies können überall auf der Welt gestohlen werden, und die Zahlen belegen dies. Zwar enthielten viele der gestohlenen Cookies keine Daten über das Land des Nutzers, aber diejenigen, die dies taten, waren mit mindestens 253 verschiedenen Ländern und Gebieten verknüpft. Einige Cookie-Einträge wurden als „unbekannt“ gekennzeichnet, sodass die tatsächliche Zahl sogar noch höher sein könnte.

Brasilien, Indien, Indonesien und die Vereinigten Staaten waren am stärksten betroffen. In Europa führte Spanien mit 1,75 Milliarden gestohlenen Cookies die Liste an, während das Vereinigte Königreich trotz nur etwa 800 Millionen Cookies mit 8,3% einen hohen Anteil an aktiven Cookies aufwies. Aus Deutschland gab es 1,33 Milliarden gestohlene Cookies, wo von 8,25% noch aktiv waren.

Geräte

Die meisten Cookies wurden von Windows-Geräten abgegriffen, was nicht überrascht, da die meiste Schadsoftware auf Windows abzielt. Allerdings wurden über 13,2 Milliarden Cookies von anderen Betriebssystemen abgegriffen oder ihre Quelle ist unbekannt. Windows-Nutzer sind also zwar nach wie vor das größte Ziel, aber Nutzer anderer Systeme sollten sich nicht völlig sicher fühlen – Angriffe auf andere Plattformen kommen durchaus vor.

Was kann ein Angreifer mit Web-Cookies anstellen?

Die Wahrheit ist, dass selbst die scheinbar unbedeutendsten Cookies dir oder deinem Unternehmen großen Schaden zufügen können. Ist einmal eine Tür geöffnet, ist es nicht mehr schwer, weitere zu öffnen. Session-Cookies, insbesondere aktive, sind eine wahre Goldgrube für Kriminelle. Sie ermöglichen es Angreifern, Anmeldeseiten komplett zu umgehen. Aber das ist noch nicht alles. Gestohlene Cookies können auch dazu verwendet werden, um:

• Social-Media-, E-Mail- oder Online-Shopping-Konten zu übernehmen.
• sich online als dich auszugeben, indem sie gespeicherte Anmeldedaten oder automatisch ausgefüllte Informationen verwenden.
• die Zwei-Faktor-Authentifizierung zu umgehen, wenn das Cookie ein „vertrauenswürdiges“ Gerät markiert.
• gezielte Phishing-Angriffe mit deinen persönlichen Daten zu starten.
• sich lateral im Netzwerk zu bewegen, insbesondere in Unternehmen, die Cookie-basiertes SSO (Single Sign-On) verwenden.
• auf Finanz- oder Kundendaten und andere sensible Informationen zuzugreifen.
• Ransomware-Angriffe zu starten, indem sie Anmeldedaten klauen oder auf höhere Systemrechte zugreifen.

So kannst du dich vor dem Cookie-Klau besser schützen

Um dich vor dem Diebstahl von Cookies zu schützen, musst du nicht komplett auf das Internet verzichten, aber ein paar Gewohnheiten solltest du ändern:

• Überleg dir zweimal, ob du Cookies akzeptieren willst. Der erste Schritt zu mehr Sicherheit ist zu verstehen, dass nicht alle Cookies notwendig sind und dass du nicht alle Cookies akzeptieren musst, nur weil du das kannst. Lehne unnötige Cookies nach Möglichkeit ab, insbesondere solche von Drittanbietern oder solche, die dein Verhalten verfolgen. Die meisten Webseiten funktionieren auch ohne sie einwandfrei.
• Hol dir zusätzliche Sicherheitstools. Schadsoftware, einschließlich Infostealer, gelangt oft über Downloads oder Phishing-Links auf deinen Computer. Tools wie Bedrohungsschutz Pro™ können schädliche Webseiten blockieren und Downloads auf Schadsoftware überprüfen, bevor sie auf deinen Computer gelangen.
• Lösche deine Cookies regelmäßig. Nicht alle Cookies sind es wert, gespeichert zu werden – lösch die alten. Mach das zur Gewohnheit, vor allem nach der Anmeldung auf öffentlichen oder gemeinsam genutzten Computern. Dieser Schritt mag unbedeutend erscheinen, aber er hilft, das Zeitfenster zu verkürzen, in dem deine Daten abgefangen werden können.
• Nutze eine sicherere Verbindung. Vermeide zunächst öffentliche WLAN-Netzwerke oder unverschlüsselte Verbindungen. Hol dir ein VPN, das deinen Internetverkehr verschlüsselt und so besser vor Schnüfflern schützt.