2024

Google Chrome und das Ende der Drittanbieter-Cookies

Bei den meisten Browsern sind Drittanbieter-Cookies kein Thema mehr. Anbieter wie Apple blockieren sie im Safari bereits seit mehreren Jahren und im Firefox sind sie ungefähr ebenso lange untersagt. Nur Google tat sich bislang recht schwer mit einer Änderung im hauseigenen Browser Chrome. Schließlich basiert der gesamte Geschäftsbetrieb von Google darauf, möglichst viele Daten zu sammeln und diese auch auszuwerten.

Dumm nur, dass Sicherheit und Privatsphäre in den vergangenen Jahren zunehmend ein Thema wurden, welches die Nutzer immer stärker beschäftigte. Dem konnte sich auch Google nicht länger entziehen und muss nun ebenfalls aktiv werden, also endlich handeln. Angekündigt war das lange, jetzt setzt Google die bekannten Maßnahmen jedoch endlich konkret um.

Das geschieht auf Basis der großangelegten Privacy Sandbox Initiative von Google. Doch wir möchten nicht schon am Anfang alles vorwegnehmen. Vielmehr werden wir Ihnen hier aufzeigen, was Google in Hinblick auf Drittanbieter-Cookies plant und warum 2024 tatsächlich das Jahr werden könnte, in dem Google Ernst macht.

Die Google Privacy Sandbox für das Web

Google wird als Unternehmen seit Anbeginn kritisiert, für eine ganze Menge an datenschutzrelevanten Problemen verantwortlich zu sein. Auch die Sammlung und Auswertung persönlicher Informationen ohne ausreichende Zustimmung seitens der Nutzer wurde immer wieder negativ angeführt. Doch Google konnte nicht anders, schließlich basiert das eigene Geschäftsmodell darauf, dass Daten gesammelt, ausgewertet und mit Werbeeinblendungen nutzbar gemacht, also weiterverkauft werden. Daten sind somit die Geschäftsgrundlage des Internetgiganten, und Chrome liefert sie in großer Menge frei Haus.

Aufgrund all dieser Kritik und der Tatsache, dass Apple inzwischen extrem viel Wert auf den Datenschutz legt und dieses Thema in den eigenen Ads geradezu als eine Art von Selling Point vermarktet, geriet Google nun zunehmend unter Druck. Also brachten sie eine Initiative mit dem Namen Privacy Sandbox an den Start. Diese soll die Privatsphäre der Nutzer im Internet verbessern und gleichzeitig gewährleisten, dass dennoch personalisierte Werbung geschaltet werden kann. Eigentlich paradox, doch Google möchte es möglich machen.

Kein Wunder also, dass die Privacy Sandbox Initiative so lange auf sich warten ließ und die Entwicklung geeigneter technischer Maßnahmen ein wenig andauerte. Es ist schließlich gar nicht so einfach, Tracking ohne klassisches Tracking zu ermöglichen und eine geeignete Alternative zu entwickeln, die privat wirkt und dennoch genug Daten zur Verfügung stellt, um von Nutzen zu sein. Genau das scheint Google inzwischen jedoch gelungen zu sein, weshalb 2024 das Jahr werden könnte, in dem auch Google erstmals tatsächlich mehr auf Privatsphäre setzt als jemals zuvor.

Wie Google Cookies vollständig ersetzt

Google kann also keine Cookies mehr verwenden und musste demnach Techniken entwickeln, die das Sammeln von Daten erlauben, ohne jedoch allzu Privates zu beinhalten. Ziel war also eine Art Anonymisierung der Datensätze, bei denen dennoch verwertbare Informationen gesammelt werden konnten. Dazu hat Google innerhalb der Privacy Sandboy Initiative insgesamt drei Techniken entwickelt, die genau das gewährleisten sollen. Wie privat das schlussendlich ist, muss jeder für sich selbst entscheiden. Doch lassen Sie uns Ihnen die Systeme mal etwas genauer erklären.

Differential Privacy: Mit dem Differential Privacy getauften Datensatzverfahren lassen sich Verhaltensmuster ermitteln, ohne diese bestimmten Einzelpersonen zuordnen zu können. Gespeichert werden sie vielmehr in Gruppen, die über die K-Anonymität definiert werden.

K-Anonymität: Diese soll innerhalb der gesammelten Datensätze aus dem Differential Privacy Datensatzverfahren dafür sorgen, dass die Anonymität weithin erhalten bleibt. Der Wert »k=1000« bedeutet beispielsweise, dass eine Person sich nicht von 999 anderen Personen in dem Datensatz unterscheiden lässt. Allerdings ist unklar, wie weit sich die Zahl herunterregeln lässt.

Verarbeitung auf dem Gerät: Die Verarbeitung der benötigten Daten erfolgt auf dem Gerät des Nutzers, sodass kein Kontakt zu Drittanbietern oder externen Servern stattfinden muss. Heutzutage ebenfalls ein Muss und etwas, was auch Apple bei fast all seinen Diensten so handhabt.

Diese drei Techniken werden in der Kombination dafür sorgen, dass der Datenschutz geachtet werden kann. Trackingmethoden wie Fingerprinting oder das Sammeln und Speichern personenbezogener Daten sollen damit also nicht länger notwendig sein. Die Privacy Sandboy Initiative schafft also Daten, die verwertbar sind, aber immer noch anonym genug bleiben, um die Privatsphäre der Besucher und Nutzer aufrechtzuerhalten.

Google Chrome verändert sich vollständig

Im Zuge der Privacy Sandboy Initiative hat Google bereits mehrere Änderungen an dem hauseigenen Chrome Browser vorgenommen. Diese bisherigen und kommenden Änderungen möchten wir Ihnen einmal vor Augen führen und auflisten. Immerhin handelt es sich um Bemühungen der Privatsphäre, die mitunter kompliziert sein können,

Umgesetzte Maßnahmen: Partitionierung des Netzwerkstatus, Reduzierung des User-Agents, User-Agent Client Hints API, automatische Umstellung auf DNS-over-HTTPS, Speicherpartitionierung, Pläne zur Eindämmung von Bounce-Tracking

Kommende Maßnahmen: IP-Schutz, Privacy Budget

Damit wurde im Chrome Browser bereits viel für die vermeintliche Privatsphäre getan. Vermeintlich deshalb, weil vieles davon seine Schattenseiten besitzt. Die Einführung von DNS-over-HTTPS sorgt beispielsweise dafür, dass Google Chrome unter MacOS einen anderen DNS-Server nutzt, als im DNS-Profil des Systems angegeben wurde. Es umgeht also die interne DNS-Einstellung und kann in der Theorie einen weniger auf die Privatsphäre bedachten DNS-Server einsetzen. Wie viel hat das also noch mit der Privatsphäre zu tun? Eine berechtigte Frage, die sich bei Google und Google Chrome aber auch einfach schon grundsätzlich stellt.

Privatsphäre und Google passen nicht zusammen

Wir dürfen hier nichts durcheinanderbringen. Für Chrome geht es in erster Linie erst einmal darum, dass Drittanbieter-Cookies, also sogenannte Third-Party-Cookies, verbannt werden. Das ist gut, denn Dritte sollten keine Cookies auf einer Website setzen dürfen, die der Nutzer besucht. Dass so etwas überhaupt möglich gemacht wurde, zeigt aber schon, wie absurd die Privatsphäre im Internet gehandelt wird.

Bislang war es im Grunde so, dass jede Website, die sich durch Werbung finanzierte, unterschiedliche Scripte für Werbepartner einbauen musste. Die wiederum setzten häufig Cookies. Mal nur deshalb, um einen Betrug bei den potenziellen Klicks zu vermeiden, mal aber auch definitiv, um Daten abzugreifen und alles zu sammeln, was ihnen irgendwie möglich war.

Auch Google sammelte, was immer möglich war. Bis die Privatsphäre in den Fokus der Öffentlichkeit rückte und wichtiger für den einzelnen Nutzer wurde. Browser wie Safari und Firefox machten es vor und Google benötigte dringend Alternativen, bevor die Third-Party-Cookies vollständig abgeschaltet werden konnten. Denn ohne Tracking gäbe es auch kein Google.

Diese Alternativen sind nun da und das Tracking dieser Alternativen scheint für Google zuverlässig genug zu sein, um Cookies von Drittanbietern blockieren zu können. Klar sollte dabei jedem sein, dass Google geschäftlich Daten sammelt, vermarktet und für seine Suchmaschine weiterverwertet. Wer glaubt, im Chrome Browser herrsche jetzt plötzlich die totale Privatsphäre, der sollte sich das Ganze vielleicht noch einmal überlegen und darüber nachdenken, wem er hier genau vertraut.

Cookies und die Privatsphäre im Allgemeinen

Third-Party-Cookies sind in Zeiten von Fingerprinting und Co gar keine so große Sache mehr. Als große Anbieter wie Apple damit anfingen, Drittanbieter-Cookies zu blockieren, waren schnell die Alternativen da. Privatsphäre wird es also nur dann geben, wenn die Websitebetreiber selbst darauf achten und Werbung oder Tracking nur unter bestimmten Voraussetzungen zulassen. Solange ihnen dies nicht wichtig ist und sie ihre Plattformen nicht überwachen, wird Tracking immer auf verschiedenste Art und Weise stattfinden.

Seit Januar 2024 hat Google nun damit begonnen, die Drittanbieter-Cookies zu verbannen. Bis Ende 2024 soll es dann final so weit sein, dass dies überall im Google Chrome Browser der Standard ist. Viel Zeit, wenn man bedenkt, dass andere Browserhersteller ihre Pläne dazu bereits 2019 umgesetzt haben.

Die erste Phase, die inzwischen bereits angelaufen ist, soll dabei einfach sehr langsam und vorsichtig umgesetzt werden. Googles Ziel ist es, dass kein Nutzer negative Erfahrungen sammelt, sobald die Drittanbieter-Cookies gesperrt werden. Um das zu ermöglichen, werden nur sehr wenige für die ersten Tests freigeschaltet und es gibt auch Ausnahmeeinstellungen per Website, um Störungen vollständig zu vermeiden. All das wird bei Google also sehr defensiv ausgeführt. 

Sobald Google die Drittanbieter-Cookies deaktiviert hat, erwartet das Unternehmen von Werbetreibenden, dass diese die Privacy Sandbox APIs von Google verwenden. Damit lässt sich Werbung zielgerichtet und auf Grundlage eines berechtigten Interesses ausspielen. Aus Nutzersicht wird sich somit wenig ändern. Im besten Fall wird die Privatsphäre gewahrt, in der Realität werden wohl aber lediglich andere Methoden zum Tracking verwendet, da Cookies dafür nicht mehr zwingend notwendig sind. Der Illusion einer Privatsphäre bei Google sollte daher niemand verfallen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.