Sicher haben Sie auch schon im Internet gesurft. Eine großartige Sache. Schnell und bequem kann man weltweit Recherchen durchführen, Kontakte aufnehmen und Meinungen austauschen, Nachrichten übermitteln, einkaufen, Bankgeschäfte tätigen, eigene Präsentationen anbieten und das alles Online über Computer bequem von zu Hause oder mittels Mobiltelefon unterwegs.

Die rasch zunehmende Bedeutung des Internets für alle Bereiche kann nicht hoch genug eingeschätzt werden. Bei aller Euphorie für die hierbei zum Einsatz kommenden Dienste und Techniken sind aber auch für die Benutzer hiermit verbundene Risiken existent.

So berichteten die Medien wiederholt über Attacken, die über das Internet auf hier angeschlossene PC und Rechnersysteme ausgeführt wurden. Im Mittelpunkt dieser Berichterstattung stehen jedoch zumeist nur die spektakulären Ereignisse, die allerdings auch drastisch die Verwundbarkeit der Informationsgesellschaft aufzeigen. Beispielsweise die explosionsartige Verbreitung von Viren über das Netz, das gezielte Eindringen von Hackern in interne Rechnernetze, das Ausspionieren von Passwörtern, Kreditkartennummern und vertraulicher Daten.

Solche brisanten Vorfälle zeigen immer wieder die Gefahren auf, die bei der Nutzung des Internets auftreten können. Aber auch die alltägliche Nutzung dieses beliebten Mediums weist für die Benutzer Risiken auf, wie das umfangreiche Sammeln personenbezogener Daten. Jeder, der im Internet surft, hinterlässt hier seine Datenspuren. Risiken bestehen auch für die über das Internet übertragenen Daten hinsichtlich der Absicherung ihrer Vertraulichkeit, Integrität (Unversehrtheit), Verfügbarkeit und Authentizität (Nachweis ihres Ursprungs). Zum anderen sind ohne zusätzliche Schutzmaßnahmen die Sicherheit der angeschlossenen EDV-Technik und der hier gespeicherten Daten gefährdet. Desweiteren stellen die üblichen Dienste des Internets keine Funktionen für die Absicherung und Beweisführung einer rechtsverbindlichen elektronischen Geschäftstätigkeit zur Verfügung.

Die nachfolgenden Informationen des TLfD möchten Ihnen aus datenschutzrechtlicher Sicht mögliche Risiken bei der Nutzung des Internets aufzeigen sowie grundsätzliche Hinweise und Empfehlungen geben, wie Sie diesen begegnen können.

Über einen Zugangsvermittler (Access-Provider) ist heute die private und kommerzielle Nutzung des Internets weltweit möglich. Das Internet basiert auf einer gemeinsamen Sprache (Protokoll), mit der die hier verbundenen Rechner kommunizieren und auf einem gemeinsamen Adressraum, aus dem jeder angeschlossene Rechner über eine eindeutige Internet-Protokoll (IP)-Adresse verfügt.

Über das Internet können zahlreiche Dienste genutzt werden. Häufige, auch im privaten Bereich benutzte Dienste sind E-Mail (elektronische Post), Usenet-News (öffentliche Teilnahme an Diskussionsforen) und WWW (World Wide Web), oft nur Web genannt.

Dieser Dienst hat das Internet durch seine einfache Handhabung als Massenanwendung so populär gemacht, dass viele Benutzer glauben, das WWW allein sei das Internet. Das WWW ist ein weltweiter Verbund von Internet-Servern, das sind Rechner, die zentrale Dienste für eine Vielzahl von Benutzern anbieten, welche mit einer speziellen Software ausgestattet sind und multimediale Informationen (Text, Bild, Grafik, Ton, Film) sowie Angebote unterschiedlichster Art in so genannten Web-Sites vorhalten. Wobei man unter einer Web-Site die Bezeichnung für das Web-Angebot eines Anbieters versteht, welches zumeist hierarchisch gegliedert ist und ausgehend von einer Ausgangsseite (Homepage) weitere darunter liegende Web-Seiten enthält. Das gesamte WWW funktioniert auf der Basis von Hypertext-Dokumenten, die mittels Hyperlinks (Verbindungen für Querverweise) gezielt Informationen in und zwischen Web-Sites verbinden.

Die Hypertext-Dokumente sind in der einfach strukturierten Befehlssprache HTML (HyperText Markup Language) erstellt. Mittels einer speziellen Software (Browser), die auf dem Rechner des Benutzers (Client) installiert ist, kann dieser komfortabel das Internet durchstöbern, gezielt auf Web-Sites zugreifen und sich von Information zu Information "weiterlinken". Jede Web-Site besitzt eine eindeutige Adresse, die auch den Namen des WWW-Servers beinhaltet und als URL (Uniform Resource Locator) bezeichnet wird. Eine URL, also die Adresse einer Web-Site bzw. einer konkreten Web-Seite dieser, beginnt üblicherweise mit dem Kürzel http: (Hypertext Transfer Protocol), einem Kommunikationsprotokoll, welches den Datentransport im WWW regelt. Durch die Eingabe seiner URL kann zielgerichtet die Web-Site bzw. eine Web-Seite in dieser aufgesucht werden. Ein Beispiel für eine URL ist die Web-Adresse des Thüringer Landesbeauftragten für den Datenschutz:

http://www.thueringen.de/datenschutz

Durch Eingabe dieser URL im Browser lädt dieser die enthaltenen Informationen auf den Rechner des Benutzers herunter und bereitet sie zur Ansicht auf. Desweiteren kann der Benutzer auch über so genannte Suchmaschinen gezielt durch die Eingabe von Suchbegriffen Informationen oder Angebote auf hier vermittelten Web-Sites abrufen, ohne dass er die URL dieser Server bzw. Web-Sites kennen muss.

Beispiele für bekannte Browser sind der Microsoft Internet Explorer und der Netscape Communicator.

Viele der derzeitigen Sicherheitsdefizite beim Nutzen des Internets sind historisch bedingt. Das Internet ist ein Zusammenschluss von vielen unabhängigen Netzen. Es ging aus einem Projekt des amerikanischen Verteidigungsministerium hervor und musste eine dezentrale Struktur aufweisen, um bei einer teilweisen Zerstörung dieses Netzes noch sicherzustellen, dass der Rest noch funktionsfähig ist, um über alternative Wege in diesem Netz weiterhin Nachrichten senden und empfangen zu können. Somit standen bei der Entwicklung des Internet Aspekte der Verfügbarkeit und der Funktionalität des Netzes im Vordergrund. Sicherheitsaspekte für die zu übertragenen Daten wie insbesondere die Absicherung ihrer Vertraulichkeit und Integrität sowie die Authentizität ihres Absenders wurden vernachlässigt. Eine diesbezügliche Sicherheit ist im Internet ohne zusätzliche Schutzmaßnahmen eine Illusion. Erst ein neues Internet-Protokoll soll hier in Zukunft Abhilfe schaffen.

Die Übertragungswege im Internet sind nicht vorhersehbar. So kann eine innerhalb Deutschlands versandte Nachricht über zahlreiche andere Länder auch außerhalb Europas und der USA zugestellt werden. Die Übertragung der Daten erfolgt über spezielle Vermittlungsrechner (Router), die weltweit verteilt und untereinander verbunden sind.

Werden Nachrichten vom Absender unverschlüsselt dem Netz übergeben, so können auf jeden dieser Rechner die Daten ausgespäht und auch manipuliert (gelöscht, verändert, kopiert und wiederholt eingespielt) werden. Es gibt keine zentrale Einrichtung der eine Gesamtverantwortung für das Netz zugewiesen ist oder eine Art Internet-Kontrollinstanz, die eine globale internationale Kontrolle ausübt. Allein aus nationaler Sicht ist das Internet aufgrund seiner Struktur und globalen Ausbreitung nicht zu regulieren und zu kontrollieren. Dem Benutzer fällt es schwer, nachzuvollziehen wer, an welchem Ort und für welche Zwecke seine Daten letztendlich verarbeitet.

Datenschutz, der nach deutschem Recht den Einzelnen davor schützen soll, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird, ist im Internet aufgrund seiner globalen Ausdehnung zumeist nicht oder nur eingeschränkt gewährleistet.

Was also in Deutschland und weiteren EU-Staaten datenschutzrechtlich nicht erlaubt ist, kann in anderen Ländern durchaus normale Praxis sein, da hier oft eine Erhebung, Verarbeitung und unbeschränkte Speicherung personenbezogener Daten gesetzlich nicht geregelt ist. Wo der aufgesuchte Web-Server sich geographisch befindet, weiß der normale Benutzer i. d. R. nicht.

Die Zugangsvermittler zum Internet (Access Provider), die Betreiber von Web-Ser-vern (Service Provider) und die Inhaltsanbieter (Content Provider), die dem deutschen Recht unterliegen, sind gemäß dem hier geltenden Teledienstedatenschutz-gesetz (TDDSG) verpflichtet, den Benutzer vor einer eventuellen Erhebung von personenbezogenen Daten über Art, Umfang, Ort und Zweck der Erhebung sowie Verarbeitung und Nutzung dieser Daten zu unterrichten. Ohne ausdrückliche Einwilligung des Benutzers dürfen nur die so genannten Verbindungsdaten des Benutzers (bspw. Absender, Empfänger, Datum, Dienst) zeitlich beschränkt für Abrechnungszwecke gespeichert werden.

Jeder Benutzer des Internets sollte sich dessen bewusst sein, dass eine Verbindung in das Internet keine Einbahnstraße ist. Ein Zugriff auf seinen Rechner aus dem Internet ist ebenfalls möglich. Zum Abblocken solcher Zugriffe setzen Firmen und Behörden so genannte Firewalls (deutsch: Brandschutzmauern) ein. Das sind Systeme die mit einer speziellen Hard- und Software ausgestattet sind und keinen oder einen nur kontrollierten Zugang aus dem Internet auf die eigenen Rechnersysteme zulassen. Auch für den Heimbereich werden schon solche Systeme preiswert angeboten mit denen der externe Zugang abgesichert werden kann.

Eine nicht zu unterschätzende Gefahr ist auch mit dem Herunterladen von Dateien aus dem Internet verbunden. Hier kann der Benutzerrechner mit schadensstiftender Software in Form von Viren, sogen. Trojanern oder Würmern infiziert werden.

Viren sind nicht selbständige Programmroutinen, die sich selbst reproduzieren und für den Benutzer nicht kontrollierbare Manipulationen am Betriebssystem oder anderen Programmen vornehmen und zusätzlich programmierte Schadensfunktionen ausführen können. Zurzeit sind Makroviren sehr verbreitet, die direkt in den Dokumenten von Microsoft-Office enthalten sein können (z. B. "Melissa").

Trojaner (Trojanische Pferde) sind selbständige Programme ohne eine Selbstreproduktion, die aber eine versteckte Schadensfunktion enthalten. Im Gegensatz zu den Viren verbergen sie sich nicht und offenbaren sich dem Benutzer als angeblich nützliche Helfer (z. B. Bildschirmschoner).

Würmer sind selbständige, sich selbstreproduzierende Trojaner, die sich vor allem in Rechnernetzen ausbreiten, indem sie sich selbst an neue Empfänger verschicken (z. B. "I love you"). Die aus den Medien bekannten Infektionsbeispiele sind durch E-Mail übertragen worden. Neu ist, dass auch schon in der eigentlichen E-Mail-Nachricht und nicht nur wie bisher im Attachment (angehängte Datei) der Mail, ein solches schadensstiftendes Element enthalten sein kann.

Aber auch mit einem normalen Zugriff auf Web-Seiten (mittels Browser) sind solche Infektionsrisiken verbunden. Mit der im Internet üblichen Sprache können Texte aber auch farbliche Darstellungen und unterschiedliche Schriftarten definiert werden. Nur in HTML geschriebene Programme stellen für den Benutzer keine Gefahr dar. Um die Web-Angebote interessanter und attraktiver zu gestalten, werden aber zunehmend in die HTML-Seiten programmtechnische Objekte eingebaut, die auch eine Darstellung multimedialer Informationen und eine Interaktion mit dem Benutzer unterstützen. Solche aktiven Objekte beinhalten sowohl die zu präsentierenden Daten als auch die erforderlichen Instruktionen für eine solche dynamische Präsentation (bewegte Bilder, Grafiken, Showeffekte etc.). Diese Objekte gelangen mit auf den Benutzerrechner und führen hier ihre vorgegebenen Aktivitäten aus. Dabei arbeiten sie autonom, d. h. unabhängig von den Programmwerkzeugen des Rechners. Die Vorgänge sind für den Benutzer nicht transparent. Es ist offenbar, dass mit solchen Programmen aus dem Netz, die ohne bewusstes Tun des Benutzers, aus fremden Quellen und i. d. R. ohne Information und Zustimmung von diesem geladen sowie automatisch aktiv werden, auch potenzielle Gefahren für den Benutzer bei der Sicherheit seines Rechners und den hier abgelegten Daten verbunden sein können. Keiner garantiert, dass solche aktiven Objekte nicht auch missbraucht werden können, um schadensstiftende oder spionierende Aktionen auszuführen. So können Passworte ausgeforscht, schutzwürdige Daten auf der Festplatte ausgelesen und einem "Angreifer" übertragen, Daten gezielt gelöscht oder durch ein Formatieren der Festplatte alle Daten vernichtet werden.

Harmlos sind noch solche Kommandos, die z. B. das CD-Fach automatisch öffnen und schließen oder die die Abarbeitung von Anwendungen auf dem Rechner verlangsamen. Durch den Einsatz solcher aktiven Objekte besitzt der Benutzer letztendlich aber keine absolute Kontrolle mehr über die auf seinem PC abzuarbeitenden Vorgänge.

Techniken zur Erstellung von solchen aktiven Elementen bieten moderne Programmiersprachen wie Java bzw. Java-Script oder die Technologie ActiveX. Die mit der Programmiersprache Java erstellten Anweisungen werden als so genannte Java-Applets vom Browser von einer Web-Seite geladen und gestartet.

Für Java existiert ein Sicherheitskonzept, welches in der Regel sicherstellt, dass das Programm in einem abgeschotteten Speicherbereich (Sandbox) auf dem Nutzerrechner abgearbeitet wird und somit keinen Schaden anrichten kann. Nach diesem Konzept können die Applets nicht auf das lokale Dateisystem des Benutzers zugreifen und nur eine Verbindung zu dem Web-Server aufbauen, von dem sie geladen wurden. Die Sicherheitsumgebung des Web-Browsers ermöglicht zwar den Wirkungsbereich von Java-Applets zu beschränken. Es wurden jedoch im Zusammenhang mit festgestellten Sicherheitslücken in verschiedenen Browsern immer wieder Vorfälle bekannt, die ein Unterlaufen der Sicherheitsmechanismen von Java ermöglichten. Dieses Sicherheitskonzept wurde allerdings dahingehend geändert, dass mit einem Zertifikat (abgesicherter Nachweis darüber, wer das Applet erstellt hat) versehene Applets einen Zugriff auf Systemressourcen besitzen.

Aktuelle Entwicklungen belegen weiterhin, dass die Möglichkeit besteht, in Java-Applets auch Instruktionen einer anderen Programmiersprache (z. B. C++) einzubinden. Hier besteht unter Umständen die Gefahr, dass direkte Zugriffe auf das Betriebssystem des Benutzers möglich sind.

Java-Script ist eine spezielle Programmiersprache, die in HTML eingebettet ist und von den Browsern interpretiert wird. Mit ihrer Hilfe kann der Web-Browser gesteuert werden, z. B. indem er Java-Applets aufruft oder das Aussehen von Web-Seiten verändert. Die Instruktionen dieser Sprache sollen ähnlich wie Java-Applets in einem geschützten Speicherbereich ablaufen. Sicherheitslücken wurden jedoch auch hier in früheren Java-Script Versionen, welche beispielsweise den Cache-Speicher oder die History-Liste des Web-Browsers lesen und die hier enthaltenen Inhalte und aufgerufenen Web-Seiten unbemerkt per Mail an einen Server schicken konnten, festgestellt. Entsprechende Schwächen in älteren Browserversionen wurden beseitigt. Dies ist aber keine Gewähr dafür, dass alle und zukünftige Sicherheitslücken ausgeschlossen sind.

ActiveX verkörpert im Gegensatz zur Programmiersprache Java oder Java-Script eine Reihe von Microsoft-Technologien, die programmtechnische Möglichkeiten zur Verfügung stellen, mit denen gezielt die Kontrolle und die Steuerung von Rechnern und deren Ressourcen möglich ist. Ein wesentlicher Bestandteil dieser Technologie bilden die so genannten ActiveX-Controls. Die ActiveX-Technologie ist im Gegensatz zu Java bewusst so gestaltet, dass mit ihr alle Funktionen realisiert werden können, die der Benutzer ansonsten mit Tastatur und Maus unter Windows ausführt. In der Regel bemerkt der Nutzer jedoch nichts von den durchgeführten Aktionen. Ein AkctiveX-Control hat somit im Gegensatz zu einem Java-Applets/Java-Script vollen Zugriff auf alle Ressourcen des Benutzerrechners und besitzt bei seiner Ausführung genau die Rechte des gerade hier angemeldeten Benutzers. Auch eine Fernsteuerung des Rechners ist damit möglich. Mit dem Einsatz von ActiveX-Controls kann somit ein erhebliches Sicherheitsrisiko mit einem hohen Schadenspotenzial verbunden sein. Der für diese Technologie angebotene Sicherheitsansatz zielt lediglich auf eine Zertifizierung der ActiveX-Programme im Sinne einer eindeutigen Identifizierung mittels Authentifizierung des ActiveX-Control-Entwicklers und den Nachweis der Unversehrtheit (Integrität) des übertragenen Control-Codes. Hierfür wird eine Technologie eingesetzt die auf dem Verfahren der elektronischen Signatur basiert. Das Zertifikat muss der Entwickler bei einer mit Microsoft zusammenarbeitenden US-Zertifizierungsstelle (VeriSign) beantragen. Die ActiveX-Technologie kommt üblicherweise nur beim Microsoft-Internet Explorer zum Einsatz. Standardmäßig startet der Microsoft-Internet Explorer kein ActiveX-Control dessen Prüfung auf Authentizität und Integrität negativ ausfiel. Ob jedoch ein bösartiges ActiveX-Control vorliegt, kann damit nicht festgestellt werden. Das aufgezeigte Verfahren schützt somit nicht gegen Vertrauensmissbrauch seitens des Entwicklers aber auch nicht vor eventuellen Schäden durch immer wieder festgestellte Implementierungsfehler in den Browsern. Damit liegt ein nicht unerhebliches Restrisiko bei der Ausführung von ActiveX-Controls vor. Da diese weiterhin bei der Gestaltung von Web-Seiten eine nur noch geringe Bedeutung aufweisen, sollte deren Einsatz mittels der Browsereinstellungen unterbunden werden bzw. nur mit Erlaubnis des Benutzers ausgeführt werden.

Gefahren für die Sicherheit können auch von so genannten PlugIns ausgehen. Das sind zusätzliche Programme, die von unterschiedlichen Anbietern zur Verfügung stehen und die der Benutzer in den Browser integrieren kann, um dessen Funktionalität zu erweitern, insbesondere für spezielle multimediale Präsentationen. Für solche Programme existieren in der Regel keine Sicherheitsbeschränkungen, sodass auch Zugriffe auf die Betriebssystemebene nicht ausgeschlossen sind.

Einen wesentlichen Aspekt für die Sicherheit der übertragenen Daten zwischen Web-Server und Browser des Benutzerrechners stellt der Einsatz des Verfahrens SSL (Secure Sockets Layer) dar. Mit diesem Verfahren erfolgt eine verschlüsselte Datenübertragung. Bei jeder Online Sitzung wird hier ein Schlüssel für die Codierung der Daten eingesetzt, der nur für diese Sitzung gilt. Insbesondere bei Bestellungen, beim Bezahlen mit Kreditkarte und bei Bankgeschäften über das Internet wird SSL derzeit verstärkt eingesetzt. Die Initiierung dieses Verfahrens setzt allerdings voraus, dass es seitens des Web-Anbieters zur Verfügung gestellt wird. Als kritisch wurde bisher immer die bei SSL zum Einsatz kommende unzureichende Schlüssellänge von 40 Bit für die Codierung der Daten eingeschätzt. Diese Schlüssellänge genügt den heutigen Anforderungen an eine vertrauliche Datenkommunikation nicht mehr. Da die US-Regierung jetzt ihre bisherigen diesbezüglichen Exportrestriktionen gelockert hat, wird diese Sicherheitslücke mit den neuesten Browserversionen hoffentlich der Vergangenheit angehören.

Die Browser verfügen über involvierte Sicherheitsmechanismen die individuell eingestellt werden können (siehe auch Hinweise zu den Sicherheitseinstellungen der Browser).

Nach jedem Surfen im Internet hinterlässt der Benutzer auf seinem Rechner, beim Zugangsvermittler in das Internet und auf den aufgesuchten Web-Servern bestimmte Daten.

So führt jeder Web-Browser auf dem Benutzerrechner eine Art Protokoll über die Aktivitäten seines Benutzers im WWW. Der Browser hält den Inhalt der aufgesuchten Web-Seite während der Online-Sitzung im Arbeitsspeicher vor und speichert diesen zumindest nach Arbeitsende in ein als Cache (Zwischenspeicher) bezeichnetes Verzeichnis auf die Festplatte. Erst wenn dieses Verzeichnis keinen Platz mehr bietet, werden vom Browser automatisch die älteren Inhalte überschrieben. Die Cache-Technologie bietet eine effizientere Arbeitsweise. So wird bei einem erneuten Aufruf der Web-Seite, soweit noch vorhanden, zunächst deren Ablage im Cache genutzt und somit eine wiederholte Übertragungen vom WWW-Server weitestgehend vermieden. Dadurch ist jedoch andererseits auch leicht nachvollziehbar, für welche Web-Inhalte sich der jeweilige Nutzer interessierte. Dies dürfte sicher nicht jedem Benutzer recht sein, insbesondere wenn der Rechner von mehreren Personen genutzt wird. Nur ein Löschen des Caches verhindert eine nicht gewollte Einsichtnahme durch Dritte (siehe auch Hinweise zum Löschen des Caches).

Browser speichern desweiteren auch in einer Verlaufs- oder Historyliste alle aufgerufenen Web-Adressen (URL). Vom Benutzer manuell im Adressfeld des Browsers eingegebene URL werden zusätzlich in einer Adressliste festgehalten. Damit verfügt der Nutzer über die Möglichkeit schnell und gezielt wiederholt Web-Seiten aufzurufen. Allerdings kann auch hier der Weg des Nutzers im Internet auf einfache Art nachvollzogen werden. Wer dies verhindern möchte, muss auch diese Liste löschen (siehe auch Hinweise zum Löschen der URL-Verlaufsliste).

Auch beim Access-Provider, der den Zugang in das Internet bereitstellt und für Abrechnungszwecke die Anschrift des Benutzers kennt, werden bei jedem Einwahlvorgang weitere benutzerbezogene Daten wie Login-Name, IP-Adresse des Benutzerrechners, Datum, Uhrzeit, dynamische zugeordnete IP-Adresse (IP-Adresse, die der Provider dem Benutzerrechner für die Internet-Sitzung zuordnet) zur Abrechnung gespeichert.

Die Interaktionen selbst, welche der Benutzer beim Aufruf einer Web-Seite mit seinem Browser auslöst, sind für ihn aber nicht transparent, weshalb viele Nutzer davon ausgehen, dass sie im WWW anonym bleiben. Der Browser liefert jedoch dem WWW-Server beim Aufruf einer Web-Seite einen Datensatz mit zumeist folgenden Informationen: die aktuelle Internet-Adresse (IP) des Benutzerrechners, die Adresse (URL) der aufgerufenen Web-Seite, den Zeitpunkt des Seitenaufrufs, die Seite, woher der Benutzer kommt und den Browsertyp. Je nach Browser und Betriebssytemeinstellung können weiterhin u. a. auch die Betriebssystemversion des Benutzerrechners, der Benutzerkennname, der identisch mit dem der E-Mail Adresse sein kann, der Windows-Name des Rechners und das Land des Internetzugangs übermittelt werden. Auch können so genannte Cookies (Deutsch: Kekse, Plätzchen) an den WWW-Server übermittelt werden, die dieser beim erstmaligen Zugriff des Benutzers auf dem Server auf der Festplatte des Nutzerrechners ablegte. Was es hiermit auf sich hat, wird später erläutert.

Die o. g. Daten werden vom Web-Server gleichzeitig an zwei Stellen gesammelt. Zum einen speichert das Serverprogramm in einer Kontrolldatei (Log-Datei) zwecks Überprüfung der korrekten Funktionsweise des Systems und zur Erkennung von Angriffen diese Daten ab. Zum anderen werden solche Daten häufig auch zum Anlegen und Aktualisieren von Benutzerprofilen herangezogen. Diese Profile können allerdings, solange sich der Benutzer selbst nicht persönlich identifiziert hat, nur rechnerbezogen geführt werden, um mittelbar auf das Benutzerverhalten schließen zu können. Die eindeutige Identifikation eines Rechners, von dem wiederholt auf eine Web-Seite mittels Browser zugegriffen wird, stellt jedoch in der Regel für den Web-Anbieter ein Problem dar. In den Anfangszeiten des Internet hatte jeder Benutzer noch eine fest zugeteilte IP-Adresse. Diese wurden aber mit der hohen Zunahme der Anzahl der Benutzer knapp, sodass jeder Access-Provider nur noch über einen IP-Adressbereich verfügt, aus dem er bei der Einwahl eines Benutzers dessen Rechner eine "echte" Internet-Adresse zuordnet. Da in der Mehrzahl der Fälle ein Benutzer über einen Access-Provider den Zugang in das Internet erhält, kann die sich für eine Identifikation anbietende originäre IP-Adresse des Benutzerrechners hierzu nicht herangezogen werden. Stets ersetzt der Provider die eigentliche IP-Adresse des Benutzerrechners durch eine echte Internet-Adresse, die er aus seinem IP-Adresspool dynamisch nur für die jeweilige Internet-Sitzung vergibt. Dadurch erhält der Benutzerrechner beim erneuten Zugang jedesmal eine neue Adresse. Um dennoch den Benutzer identifzieren zu können, arbeiten viele Web-Anbieter mit einem Hilfsmittel, nämlich mit den schon erwähnten Cookies, um den Rechner wieder zu erkennen. Ein Cookie ist ein vom Web-Server definierter Datensatz, den dieser dem Browser beim erstmaligen Zugriff auf ein Web-Angebot übergibt und von diesem auf der lokalen Festplatte des Benutzers gespeichert wird. Der Internet Explorer richtet für jedes Cookie eine eigene Datei im Verzeichnis c:\windows(oder winnt)\cookies ein. Der Netscape Communicator sammelt alle Cookies in einer Datei cookie.txt, die im Verzeichnis c:\netscape\navigator oder in dem Benutzer-Unterverzeichnis c:\netscape\users abgelegt ist. Jedes Cookie erhält dabei u. a. eine Kennnummer. Bei einem erneuten Zugriff von dem Benutzerrechner auf die Web-Seite wird dieses Cookie, wie schon erwähnt, auf den Web-Server übertragen, wo der Benutzerrechner als ein schon "Bekannter" identifiziert wird.

Von der Grundidee her sind Cookies eine sinnvolle Technik, damit die einzelnen Aufträge oder Bestellungen eines Benutzers bei einem Web-Anbieter in einem "Warenkorb" gesammelt werden können, um nicht jeden Vorgang einzeln abrechnen zu müssen. Der Benutzer kann somit auch den Bestellvorgang unterbrechen und zu einem späteren Zeitpunkt fortsetzen. Mit Hilfe von Cookies lassen sich aber auch rechnerbezogene WWW Bewegungs- bzw. Nutzungsprofile des nicht notwendigerweise namentlich identifizierten Benutzers erstellen, worüber der Benutzer häufig nicht oder nur unzureichend informiert wird. Aus den so ermittelten Daten lässt sich ein detailgenaues Benutzerprofil erstellen, um dann gezielte Angebote und Werbungen auf dem Bildschirm des Nutzers anzeigen zu können. Solche Werbebanner werden oft von zentralen Servern (Cookie-Server) verwaltet, deren Betreiber mit den Web-Anbietern vereinbart haben, dass diese die Anfragen der Nutzer an einen solchen Cookie-Server weiterleiten, um so auf der Web-Seite des Anbieters gezielt Werbebanner für den betreffenden Benutzer platzieren zu können. In diesem Fall werden die Cookies von dem im Hintergrund arbeitenden Cookie-Server auf den jeweiligen Benutzerrechner gesetzt und bei einem erneuten Zugriff des Benutzers auf alle Web-Angebote die mit den betreffenden Cookie-Server zusammenarbeiten wieder an letzteren durchgereicht. Damit lassen sich in zentralisierter Form umfangreiche detaillierte Benutzerprofile erstellen und nutzen. Offenbart sich der Benutzer mit Namen, E-Mail- oder Wohnadresse z. B. um eine Bestellung zu realisieren, so kann das rechnerbezogene Benutzerprofil ihm personenbezogen zugeordnet werden und der gläserne Nutzer ist somit perfekt. E-Mail-, Telefon- und konventionelle Postwerbung in großem Ausmaß können dann u. a. die Folge sein. Deshalb ist ein gesundes Maß an Vorsicht beim Ausfüllen von Web-Formularen angeraten.

Web-Anbieter, die dem deutschen Recht unterliegen, müssen entsprechend dem TDDSG den Benutzer über den Einsatz von Cookies, die eine spätere Identifizierung des Benutzers ermöglichen und eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten vorbereiten vor Beginn dieses Verfahrens unterrichten. Wie die Praxis jedoch zeigt, erfolgt Letzteres oft nur unzureichend (siehe auch Hinweise zum Umgang mit Cookies).

Die größten Risiken bei der Benutzung des Internet stellen der Verlust der Vertraulichkeit der übertragenen Daten und der Verlust der Integrität durch die Manipulation der Daten dar. Auch Benutzernamen und Passwörter werden von den benutzten Diensten zumeist im Klartext übertragen.

Grundsätzlich gilt es bei der Nutzung des Internets ein gesundes Maß an Vorsicht walten zu lassen. Absolute Sicherheit gibt es nicht. Wer sorglos seinen PC oder sein Netz an das Internet anschließt, geht ein großes Risiko ein. Dieses Risiko kann man aber durch Vorsichtsmaßnahmen und der Beachtung von grundlegenden sowie aktuellen Informationen, Hinweisen und Warnungen, die von den Datenschutzbeauftragten, den Verbraucherorganisationen, dem Bundesamt für Sicherheit in der Informationstechnik, von IT-Dienstleistern etc. veröffentlicht werden, deutlich einschränken. Hinweise dazu kann man auch dem Internet oder aus Informationsbroschüren, Zeitschriften und z. T. auch der täglichen Presse entnehmen.

Zur Vermeidung der Bildung von Benutzerprofilen sollte der Benutzer bei der Nutzung eines Internet-Angebotes folgendes hinterfragen, um möglicherweise einen Wechsel des Anbieters vorzunehmen:

• Welche personenbezogenen Daten werden erhoben und verarbeitet für welchen Zweck?
• Ist dies notwendig?
• Wie lange werden die Daten gespeichert (Löschung)?
• Wird eine Weitergabe der Daten an Dritte ausgeschlossen?
• Wird Verschlüsselung seitens der Anbieter zur Wahrung der Vertraulichkeit der Daten angeboten?
• Werden Verfahren zum Nachweis der Authentizität der Handelnden und der Absicherung der Integrität der übermittelten Daten angeboten?
• Werden pseudonyme oder anonyme Nutzungsmöglichkeiten angeboten?

Insbesondere bei einer Übertragung von Daten in Länder außerhalb der Europäischen Gemeinschaft sollte beachtet werden, dass der gesetzliche Schutz der Daten nicht den hiesigen Regelungen genügt.

Folgende Empfehlungen und Hinweise sollten weiterhin beachtet werden, um Ihre Privatsphäre besser zu schützen sowie einen gewissen Grundschutz für Rechner und Daten zu erreichen:

• Geben Sie so wenig persönliche Informationen wie möglich preis. Seien Sie insbesondere vorsichtig beim Ausfüllen von Fragebögen, z. B. beim Benutzen von Web-Seiten, die Sie zur Angabe personenbezogener Daten, wie Name, Wohnanschrift oder E-Mail-Adresse auffordern.
• Nutzen Sie die Sicherheitseinstellungen des Browsers, um nur in Ihrem Ermessen einen kontrollierten Einsatz von Cookies, Java-Applets, Java-Scripts zu ermöglichen bzw. diese nur im Einzelfall zu aktivieren. Das Ausführen von ActiveX-Controls sollte grundsätzlich unterbunden werden.
• Installieren Sie nach Möglichkeit immer die neueste Browser-Version. Hier sind zwischenzeitlich erkannte neue Sicherheitslücken zumeist behoben worden.
• Wenn Sie mit mehreren Benutzern den gleichen Rechner nutzen und Sie nicht wollen, dass diese Ihre Surfspuren nachvollziehen können, sollten Sie nach Abschluss jeder Internetnutzung die History-Liste oder Verlaufsliste des Browsers, in der die aufgesuchten Web-Adressen gespeichert sind, löschen oder das Verfallsdatum dieser Liste auf Null setzen und den Festplatten-Cache löschen, der die Inhalte aufgerufener Web-Seiten vorhält.
• Wenn Sie anonym bleiben wollen, legen Sie unter einem Pseudonym ein zusätzliches E-Mail-Konto an oder nutzen Sie vorhandene Remailer, welche als Vermittler zwischen Ihnen und den eigentlichen Kommunikationspartner treten und Ihre Absenderinformationen aus der Mail entfernen oder durch ein Pseudonym ersetzen, bevor diese an den Empfänger weitergeleitet wird.
• Sowohl Programme als auch Dokumente können Viren enthalten. Aus dem Internet heruntergeladene oder aus anderen (auch vertrauten) Quellen stammende Dateien sollten deshalb immer mit einem aktuellen Virenscanner auf Viren überprüft werden. Es gilt der Grundsatz "erst scannen, dann starten". Beachten Sie, ein veraltetes Antivirenprogramm täuscht eine falsche Sicherheit vor. Keine Programme aus unsicheren Quellen, bspw. aus E-Mails mit unbekannten Absendern oder von fragwürdigen Web-Seiten, ausführen.
• Im Zweifelsfall gilt: Finger weg von Dateien, deren Ursprung Sie nicht kennen.
• Äußerste Vorsicht ist auch beim Öffnen von E-Mail-Attachments geboten, die keine ausführbaren Programme enthalten. Auch hier können Viren als Makros getarnt enthalten sein. Insbesondere können hiervon Office Dokumente betroffen sein. Der Makro-Virenschutz in Word und Excel (Menü: Extras/Optionen/Allge-mein) sollte also immer aktiv sein. Auch das Öffnen solcher Dateien mit gedrückter [Shift]-Taste verhindert die Ausführung eines eventuellen Virus.
• Erstellen Sie regelmäßig Sicherheitskopien von wichtigen Dateien.
• Schutzwürdige (z. B. personenbezogene oder vertrauliche) Daten sollten über das Internet nur verschlüsselt übertragen werden und wenn erforderlich auch auf dem Benutzerrechner verschlüsselt gespeichert werden. Zur Absicherung der Integrität und der Authentizität zu übertragender Daten sollten Verfahren zur elektronischen Signatur eingesetzt werden. Zur Verschlüsselung von Daten als auch für den Einsatz der elektronischen Signatur werden zahlreiche Programme angeboten. Sehr verbreitet ist das Programm PGP (Pretty Good Privacy), das auch kostenlos aus dem Internet heruntergeladen werden kann. Weiter gehende Informationen zu PGP erhalten Sie beispielsweise unter:
• www.rewi.hu-berlin.de/Datenschutz/DSB/SH/material/themen/safesurf/pgp

Ungeachtet dessen ergeht auch an die Anbieter von Leistungen zur Nutzung des Internets (wie Netzwerk-, Access-, Content-Provider) der Appell, angemessene Schutzmaßnahmen zum Schutz der Privatsphäre einzusetzen und ihre Leitlinien zum Umgang und zum Schutz personenbezogener Daten der Benutzer, die sogen. Privacy Policy, auf ihrer Homepage auszuweisen, sowie auf mögliche Datenschutzrisiken aufmerksam zu machen. Datenschutzfreundliche Systeme sind so gestaltet, dass die Nutzung personenbezogener Daten vermieden oder zumindest minimiert wird. Eine Verarbeitung von Verbindungs- und Benutzerdaten sollte nur mit ausdrücklicher Einwilligung des Benutzer erfolgen.

Der Benutzer selbst muss kritisch entscheiden, inwieweit er die angebotenen Dienste nutzt.

• Für kommerzielle Online-Transaktionen sind Anbieter zu bevorzugen, die hierfür auch Verfahren zur Verschlüsselung der Daten und zur sicheren Authentifizierung der Teilnehmer einsetzen. Teilen Sie beim Online-Shopping Ihre Kreditkartennummer nur einem seriösen Anbieter und nur dann mit, wenn dieser eine verschlüsselte Übertragung anbietet. Dies erkennen Sie i. d. R. daran, dass in der URL statt dem üblichen Protokollkürzel http: das Kürzel https: (s für secure) steht und an einem Symbol in der Statuszeile Ihres Browsers. Der Internet Explorer und der Netscape Communicator zeigen hier jeweils als Symbol ein geschlossenes "Vorhängeschloss" bzw. einen Schlüssel an. Mit einem Doppelklick auf dieses Symbol kann das Zertifikat des Web-Anbieters angezeigt werden. Dabei sollte darauf geachtet werden, dass ein solches Zertifikat von einer hierfür prädestinierten Stelle (z. B. Telesec oder Verisign) ausgestellt wurde.
• Für Homebanking ist eine Absicherung des Rechnerzugangs sinnvoll, damit Unbefugte keinen Zugriff auf Ihre Programme und Daten erhalten. Hierzu bieten sich die im eingesetzten Betriebssystem (z. B. Windows-NT) involvierten Zugangskontrollmechanismen an. Auf dem Markt werden auch entsprechende Zusatzprodukte angeboten, falls das eingesetzte Betriebssystem keine ausreichende Zugangs- und Zugriffskontrolle bereitstellt. Eine zumindest erste und kostenlose Barriere für eine vorbeugende Absicherung des Rechners gegen einen unbefugten ad hoc Zugang bieten ein aktiviertes Boot-Passwort und der Einsatz eines mit Passwort geschützten Bildschirmschoners.
• Außerordentlich wichtig ist der sorgfältige Umgang mit personenbezogenen Passwörtern (PC-Anmeldung, Internetzugang, Homebanking). Keine Preisgabe solcher Passwörter an Dritte. Die Beachtung der gängigen Regeln zur Bildung von sicheren Passwörtern sollte eingehalten werden. Insbesondere sollte der eigene Name nicht hierfür verwandt werden. Passwörter sollten auch nicht auf der Festplatte gespeichert werden. Dies gilt insbesondere auch für die Zugangskennungen von Online-Diensten. Immer Vorsicht walten lassen, wenn Sie zur Nennung bzw. Eingabe Ihres Passwortes, abweichend von der bisherigen Regel, aufgefordert werden.

Sowohl der Netscape Communicator als auch der Internet Explorer bieten Optionen an, mit denen unterschiedliche Sicherheitseinstellungen vorgenommen werden können. Eine gewisse Hilfestellung hierfür bieten auch die jeweiligen Beschreibungen in den Browsern (Hilfefunktion). Leider sind die beim Installieren der Browser erzeugten Standardeinstellungen oftmals unzureichend. Nach der Installation sollten deshalb diese Einstellungen überprüft werden, ob sie dem jeweiligen Sicherheitsbedürfnis entsprechen.

So erreicht man z. B. beim Netscape Communicator 4.x über das Menü Bearbeiten/Einstellungen/Erweitert diese Einstellungen. Hier besteht die Möglichkeit Java und Java-Script zu deaktivieren, wobei zumindest Java-Script für Mail und Diskussionsforen deaktiviert werden sollte, um insbesondere bei empfangenen Nachrichten Risiken auszuschließen. Einstellungen für die Zertifikate werden unter dem Button Sicherheit vorgenommen. Hier sollten alle Warnmeldungen sowie die SSL-Versionen aktiviert werden, um möglichen Angriffen vorzubeugen. Eine erhöhte Sicherheit kann erzielt werden, wenn dem Navigator nicht erlaubt wird, Programme im Hintergrund abzuarbeiten. Hierzu müssen die Funktionen SmartBrowsing und SmartUpdate deaktiviert werden. Ist die erstere Funktion eingeschaltet, werden die Adressen der abgerufenen Web-Seiten an Netscape gemeldet. Um dies zu verhindern ist unter Navigator/SmartBrowsing die Option "Verwandte Objekte" aktivieren zu deaktivieren. Die Funktion SmartUpdate ermöglicht ein automatisches Update (aktualisieren) von Programmmodulen über das Internet. Hier wird angeraten eine solche Installation nur mit Nachfrage und Erlaubnis des Benutzers durchführen zu lassen. Unter Bearbeiten/Einstellungen Erweitert/SmartUpdate ist hierzu SmartUpdate aktivieren zu deaktivieren und Jede Installation manuell bestätigen zu aktivieren.

Der Internet Explorer bietet ab der Version 4 ein neues Sicherheitskonzept an. Er unterscheidet je nach Zuordnung der jeweiligen Web-Sites folgende 4 Zonen: Internet, Lokales Intranet, vertrauenswürdige Sites und eingeschränkte Sites. (Bild 1) Die Zuordnung von Web-Sites für die letzten drei Zonen legt der Benutzer manuell, z. B. im Internet Explorer Version 5.x, unter dem Menü Extra/Internetoptionen/Sicherheit, nach Auswahl der jeweiligen Zone und Anklicken des Button Sites, fest. Alle Web-Sites die nicht so explizit zugeordnet wurden, gehören automatisch der Zone Internet an.

Standardmäßig ist für jede Zone eine Sicherheitsstufe (hoch, mittel, niedrig oder sehr niedrig) festgelegt, die vom Benutzer mittels eines Schiebeschalters verändert werden kann. So ist z. B. für Web-Sites, die der Zone Internet angehören, die Stufe mittel, für vertrauenswürdige Sites die Sicherheitsstufe sehr niedrig und für eingeschränkte Sites dagegen sehr hoch eingestellt. Letztere wird somit sicherheitstechnisch sehr restriktiv vom Browser gehandhabt. Jeder Sicherheitsstufe sind sehr detaillierte konkrete Sicherheitseinstellungen z. B. für Cookies oder ActiveX-Controls zugeordnet, welche unter dem Button Stufe anpassen eingesehen und individuell vom Benutzer verändert werden können. Der Benutzer kann somit für alle o. g. Zonen nicht nur unterschiedliche Sicherheitsstufen vergeben, sondern auch diverse Sicherheitseinstellungen vornehmen und sich somit seine Sicherheitsstrategie selbst definieren.

Die Stufe "Hoch" gewährleistet eine hohe Sicherheit, bringt aber auch gewisse Einschränkungen. (Bild 2) Insbesondere können wiederholt auftretende Meldungen des Browsers lästig werden. Für eine hohe Sicherheit wird deshalb folgende Sicherheitsstrategie empfohlen: Für das Internet ist die Sicherheit auf "Hoch" einzustellen. Damit lassen sich weder ActiveX-Controls noch Cookies nutzen. Java-Applets und Java-Scripts sind noch aktiv. Um diese abzuschalten, kann man Stufe anpassen anwählen und in dem aufgeklappten Fenster neben Zurücksetzen zu den Eintrag Hoch wählen. In der Liste jetzt den Eintrag Java suchen und auf die Option Java deaktivieren drücken. Jetzt die Web-Seiten, die als vertrauenswürdig erachtet werden, der Zone Vertrauenswürdige Sites zuordnen. Diese Web-Sites werden dann ohne lästige Warnmeldungen und Erlaubnisanfragen des Browsers abgearbeitet. Andererseits wird erreicht, dass alle Web-Seiten, denen man misstraut bzw. die diesbezüglich noch nicht eingeschätzt werden können, den höchstmöglichen Sicherheitsvorkehrungen unterfallen. Unabhängig davon, welche Sicherheitsstrategie im konkreten Fall notwendig ist bzw. zum Einsatz kommt, wird angeraten, bei nicht deaktivierten ActiveX zumindest hier mit der Option Eingabeaufforderung zu arbeiten, um im Einzelfall deren Einsatz unterbinden zu können. (Bild 3)

Standardmäßig speichert der Internet Explorer Informationen, die mit Web-Sites ausgetauscht wurden, im Cache auf der Festplatte (Verzeichnis Temporary Internet Files) ab. Darunter sind auch solche sensiblen Daten, wie Kennwörter oder Kreditkartenangaben, die der Benutzer mitgeteilt hat. Auch wenn diese Daten verschlüsselt gespeichert werden, ist damit ein Sicherheitsrisiko verbunden, insbesondere dann, wenn auf den Rechner noch weitere Personen Zugriff haben. Eine solche Speicherung kann ausgeschlossen werden, indem unter Extras/Internetoptionen/Erweitert/Sicherheit die Option Verschlüsselte Seiten nicht auf Festplatte speichern durch Anklicken aktiviert wird.

In diesem Zusammenhang sollte auch die Funktion Auto-Vervollständigen des Internet Explorer Beachtung finden. Mit dieser kann der Internet Explorer beim Aufsuchen von Web-Sites Einträge für angeforderte Benutzernamen vorschlagen und automatisch das dazugehörige Kennwort eintragen, falls dieses zuvor im Internet Explorer gespeichert wurde (siehe zuvor). Um diese Funktion zu deaktivieren, ist folgendermaßen vorzugehen: Unter Extras/Internetoptionen/Inhalt/Persönliche Informationen den Button Auto-Vervollständigen anklicken und hier die Option Benutzernamen und Kennwörter für Formulare deaktivieren. Um auch aus dem Verlaufsordner sämtliche Einträge zu löschen, die zuvor in Web-Seiten eingegeben wurden, sind die Optionen Formulare löschen und Kennwörter löschen anzuklicken. Damit entfernen Sie alle hier gespeicherten Benutzernamen und geheimen Kennwörter.

Der Cache-Bereich, in welchem die Inhalte aufgerufener Web-Seiten abgelegt sind, liegt standardmäßig beim Internet Explorer im Verzeichnis c:\windows (oder winnt)\ temporary internet files; beim Netscape Communicator im Verzeichnis c:\Programme\....\cache auf dem jeweiligen Benutzerrechner. Der vollständige lokale Pfad ist unter Bearbeiten/Einstellungen/Erweitert/Cache im Feld Ordner "Festplatten Cache" aufgezeigt. Bild 4)

Der Netscape Communicator 4.x bietet nicht die Möglichkeit, den Cache automatisch zu löschen. Um den Cache manuell zu löschen, muss unter Bearbeiten/Einstellungen/Erweitert/Cache Speicher-Cache löschen und Festplatten-Cache löschen angeklickt werden.

Ein Löschen des Cache beim Internet Explorer 5.x erfolgt unter Extras/Internetoptionen/Allgemein/Temporäre Internetdateien mit dem Button Dateien löschen. Im Internet Explorer kann auch ein automatisches Löschen des Cache-Speichers nach Beendigung der Arbeit mit dem Browser eingestellt werden. Dazu ist unter Extras/Internetoptionen/Erweitert/Sicherheit die Option Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers durch Anklicken zu aktivieren.

Die URL-Verlaufsliste (History-Liste) in der die aufgesuchten Web-Adressen gespeichert werden, wird im Netscape Communicator unter Communicator/Extras/History aufgerufen und angezeigt. Unter Bearbeiten/Einstellungen/Navigator/History kann die History-Liste über den diesbezüglichen Button gelöscht werden und die Anzahl der Aufbewahrungstage spezifiziert werden. Trägt man hier eine Null ein, bleibt die History-Liste leer. Im gleichen Fenster kann auch die Adressleiste gelöscht werden.

Beim Internet Explorer erhält man über Extras/Internetoptionen/Allgemein/Verlauf Zugriff auf die diesbezüglichen Optionen. Hier kann man die Anzahl der Tage (auch Null) festlegen, für die der Internet Explorer die angezeigten Web-Seiten in der Verlaufsliste speichert.

Die Browser bieten in ihren Sicherheitseinstellungen Optionen an, mit denen man das Setzen von Cookies grundsätzlich verbieten kann oder dies nur mit Erlaubnis des Benutzers durch eine jeweilige Nachfrage des Browsers möglich ist. Die entsprechenden Einstellungen findet man im Internet Explorer unter Extras/Internetoptionen/Sicherheit, indem hier der Button Stufe anpassen angeklickt wird. Es werden zwei Arten von Cookies unterschieden. Unter Cookies annehmen, die gespeichert sind, fallen alle Cookies, die zu einer ständigen Speicherung auf der Festplatte des Benutzerrechners vorgesehen sind, d. h. zur Anlegung von Benutzerprofilen. Wer dieses nicht wünscht, sollte Deaktivieren anklicken oder zumindest die Eingabekontrolle aktivieren, um damit ein kontrolliertes Setzen von Cookies zu ermöglichen. Manche Web-Anbieter gestatten in diesem Fall aber häufig nicht den weiteren Zugriff auf ihr Angebot.

Im Netscape Communicator sind die Einstellungen zum Umgang mit Cookies unter Bearbeiten/Einstellungen/Erweitert zu erreichen. Werden Cookies akzeptiert, ist es angeraten, die Option nur an den ursprünglichen Server zurückgesendete Cookies akzeptieren zu aktivieren, um zumindest zu verhindern, dass gesetzte Cookies auch von Dritten ausgewertet werden können. Versieht man die Datei cookies.txt im Unterverzeichnis c:\netscape\users\(benutzer), in welchem die Cookies abgelegt werden, mit dem Dateiattribut schreibgeschützt, kann man gleichfalls eine Speicherung verhindern.

Schon auf der Festplatte gesetzte Cookies können auch wieder gelöscht werden. Dies kann genutzt werden, wenn man ein kontrolliertes Setzen von Cookies wünscht, sich aber durch die hiermit verbundenen unangenehmen Erlaubnis-Nachfragen des Browsers gestört fühlt. Werden nach jeder Internet-Sitzung die gesetzten Cookies gelöscht, können detaillierte Benutzerprofile gleichfalls nicht erstellt werden.

Darüber hinaus werden spezielle Programme angeboten, die Cookies filtern. Hier kann der Benutzer in jeweiligen Listen festlegen, von welchen Anbietern Cookies akzeptiert werden sollen bzw. abzulehnen sind.