Datenschutzprobleme auf Office.com durch deaktivierte Drittanbieter-Cookies

Fast alle Browser lassen standardmäßig alle Cookies zu. Werden Drittanbieter-Cookies blockiert, funktionieren viele Websites und Dienste, einschließlich der von Microsoft und Google, nicht mehr richtig und können sogar private Daten preisgeben.

Sam MacbethSoftware Engineer

Im ersten Teil unserer Blogserie „Das Drittanbieter-Cookie-Dilemma“ haben wir erläutert, welche Datenschutz- und Sicherheitsprobleme von Drittanbieter-Cookies ausgehen und wie „alle Cookies zulassen“ dennoch zur Voreinstellung der meisten Browser wurde. In diesem Beitrag erklären wir, was geschehen kann, wenn man von dieser Voreinstellung abweicht.

Wenn du derzeit mit deaktivierten Drittanbieter-Cookies durchs Internet surfst, stößt du früher oder später wahrscheinlich auf Probleme beim Einloggen oder Bezahlen. Wir stellen hier einige Fälle vor, die wir auf den Seiten großer Tech-Unternehmen entdeckt haben (die eigentlich in der Lage sein sollten, diese Probleme zu lösen). Die Probleme selbst reichen von einer fehlgeschlagenen Anmeldung oder Bezahlung bis hin zum potenziellen Verlust vertraulicher Unternehmensdaten mit einem Microsoft-Office-Konto.

Wenn Drittanbieter-Cookies deaktiviert sind, schlägt die Abmeldung bei Office.com fehl, obwohl angezeigt wird, dass das Logout erfolgreich war. Zudem bleibt die Authentifizierung erhalten, wenn man office.com erneut aufruft, so dass sich Daten über die SharePoint-Schnittstelle (API) auslesen lassen. Das haben wir bei einer Untersuchung festgestellt und anschließend an Microsoft gemeldet. Der Softwarekonzern wiegelte jedoch mit der Begründung ab, dass diese Fehler nicht aus der Ferne ausgenutzt werden könnten. Aus unserer Sicht besteht jedoch auf jedem gemeinsam genutzten Rechner (etwa im Internetcafé) die Gefahr, dass ein nachfolgender Benutzer Metadaten von Firmendokumenten einsehen und eventuell auch Daten mithilfe der SharePoint-API modifizieren kann (für technische Details siehe: https://whotracks.me/blog/block-third-party-cookies.html).

Die fehlgeschlagene Abmeldung lässt sich ganz einfach reproduzieren: Deaktiviere Drittanbieter-Cookies in deinem Browser, melde dich bei office.com an und dann wieder ab.

Kehrst du nach der Bestätigung des (angeblich) erfolgreichen Logout zu www.office.com zurück, siehst du ohne erneute Anmeldung wieder die Übersichtsseite, einschließlich aller zuletzt geänderten Dokumente.

Änderungen an Dokumenten werden auch nach dem Abmelden weiter angezeigt.
Änderungen an Dokumenten werden auch nach dem Abmelden weiter angezeigt.

Das Problem der fehlgeschlagenen Abmeldung lässt sich nur durch manuelles Löschen der office.com-Cookies beheben. Wir haben auch festgestellt, dass die Sitzung eventuell abläuft, was aber erst nach mehreren Stunden geschieht. Daher werden betroffene Nutzer 1.) wahrscheinlich nicht wissen, dass sie nicht richtig abgemeldet sind, weil der Abmeldevorgang erfolgreich zu sein scheint, und 2.) sich ohnehin nicht abmelden können, selbst wenn sie das Problem bemerken.

Weitere Probleme mit Microsoft Office gibt es, wenn man versucht, eine Office-365-Testversion auf products.office.com/try zu kaufen. Diesmal wird die Ursache des Problems erkannt, aber der Nutzer hat keine Möglichkeit, den Vorgang fortzusetzen – außer er lässt Cookies zu und gefährdet so seine Sicherheit und Privatsphäre. Ironischerweise verspricht der Hinweistext sogar „mehr Sicherheit” durch Drittanbieter-Cookies.

Es ist nicht möglich, eine Microsoft-Office-Version zu kaufen, wenn man Drittanbieter-Cookies blockiert.
Es ist nicht möglich, eine Microsoft-Office-Version zu kaufen, wenn man Drittanbieter-Cookies blockiert.

Es ist gängige Praxis, dass E-Commerce-Seiten Zahlungssysteme von Drittanbietern wie Paypal in ihre Checkout-Seiten einbinden. Solche Widgets sollten keine Drittanbieter-Cookies erfordern – in der Regel kann der Benutzer direkt auf die Website des Zahlungsanbieters weitergeleitet werden, um dort zu bezahlen. Diese Methode ist vorzuziehen, da sie die Wahrscheinlichkeit von Phishing-Versuchen reduziert. Zudem hat sich bewährt, dass Nutzer ihre Zahlungsinformationen immer nur auf der Erstanbieter-Website eingeben.

Dennoch haben wir Beispiele entdeckt, bei denen der Bezahlvorgang abbricht, wenn Drittanbieter-Cookies deaktiviert sind. Ein solches Beispiel findet sich im Onlineshop des Musikhauses Thomann.de. Beim Versuch, mit Amazon Pay zu bezahlen, erscheint dort folgende Fehlermeldung:

Tripadvisor signup buttons.
Tripadvisor signup buttons.

Viele Websites verwenden Googles Connect-SDK, damit sich Nutzer mit ihrem Google-Konto anmelden können. Bei Tests mit deaktivierten Drittanbieter-Cookies stellten wir jedoch fest, dass z.B. auf www.tripadvisor.com und www.stumbleupon.com die Schaltfläche „Mit Google anmelden“ nach Anklicken nicht funktioniert. Beide Websites bieten auch Facebook-Login an, das trotz deaktivierter Cookies korrekt arbeitet. Es ist nicht nachvollziehbar, warum die Google-Implementierung verlangt, dass Drittanbieter-Cookies zugelassen sind.

Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Websites, auf denen Drittanbieter-Services Nutzerdaten sammeln, dafür das Einverständnis jedes Users einholen und außerdem eine angemessene Möglichkeit bieten, der Datenerhebung und -verarbeitung zu widersprechen. Während viele Verlage sich auf eine Lösung geeinigt haben, die die Zustimmung zentral als Erstanbieter-Cookie sammelt, das dann an Dritte weitergegeben werden kann, verlassen sich andere noch auf ein älteres System zum Setzen von Opt-out-Cookies für jeden Anbieter. Wenn Drittanbieter-Cookies blockiert werden, funktioniert letzteres Verfahren natürlich nicht. Die Folge sind solche Hinweise wie auf der Website des Telegraph:

"Ihr Browser blockiert derzeit Drittanbieter-Cookies... Sie müssen Drittanbieter-Cookies zulassen, wenn Sie möchten, dass alle Opt-outs auf dieser Seite funktionieren."

In diesem Fall wird Nutzern, die Drittanbieter-Cookies deaktiviert haben, ihr Opt-out-Recht verweigert. (Jedoch verhindert das Blockieren dieser Cookies das Tracking größtenteils.)

Drittanbieter argumentieren gerne, dass dieses Verfahren nötig ist, damit sich die Website an die Einwilligungseinstellungen des Nutzers erinnern kann. Allerdings wurden frühere Versuche, Tracking-Einstellungen mittels des „Do Not Track“-Standards automatisch an Websites zu übermitteln, von denselben Anbietern zunichte gemacht, indem sie geschlossen erklärten, das „Do Not Track“-Signal zu ignorieren.

Alle diese Fälle zeigen, wie das derzeitige Web-Ökosystem verhindert, dass Nutzer das Drittanbieter-Cookie-Dilemma auflösen können. Aber keine Sorge! Es ist dennoch möglich, Drittanbieter-Cookies zu blockieren, ohne Webseitenfunktionen zu beeinträchtigen. Wie das geht, erklären wir im dritten Teil unserer Blog-Reihe.

Dieser Artikel erschien zuerst in einer ungekürzten englischen Fassung auf WhoTracks.me.


CLIQZ FÜR MOBILE