Datenschutz

Welche Cookies es gibt und warum Hacker sie so gerne mögen

Wir erklären, wie Cyber-Angreifer Cookies abfangen, welche Rolle die Sitzungs-ID spielt und wie du verhindern kannst, dass Hacker deine Cookies stehlen.

Natalya Zakuskina
9 Sep 2025

Fast egal, welche Website du öffnest, meistens wirst du zuerst gefragt, wie Cookies verwendet werden sollen. Dafür gibt es verschiedene Möglichkeiten: alle Cookies akzeptieren, nur erforderliche Cookies zulassen oder alle „Kekse“ komplett ablehnen. Unabhängig von der ausgewählten Option bemerkst du vermutlich kaum einen Unterschied. Jedenfalls verschwindet aber die Benachrichtigung vom Bildschirm.

Heute nehmen wir diese Cookies ganz genau unter die Lupe: Wozu dienen Cookies, welche Arten gibt es, wie können Angreifer Cookies abfangen, welche Risiken bestehen und wie kann man sich schützen?

Was sind Cookies?

Wenn du eine Website besuchst, sendet die Seite ein Cookie an deinen Browser. Das ist eine kleine Textdatei mit Daten über dich, dein System und die Aktionen, die du auf der Website ausführst. Der Browser speichert diese Daten auf deinem Gerät und sendet sie jedes Mal an den Server, wenn du wieder auf diese Website gehst. Das vereinfacht die Interaktion mit der Website: Du musst dich nicht auf jeder einzelnen Seite anmelden, Websites merken sich die Anzeigeeinstellungen, Online-Shops behalten Artikel im Warenkorb und Streaming-Dienste erinnern sich, welche Folge du noch nicht gesehen hast. Cookies bringen also unzählige Vorteile mit sich.

Cookies können alle möglichen Daten über dich enthalten: Benutzername, Passwort, Sicherheits-Token, Telefonnummer, Wohnanschrift, Bankverbindung und Sitzungs-ID. Sehen wir uns erst einmal die Sitzungs-ID genauer an.

Eine Sitzungs-ID ist ein einmaliger Code, der einem Nutzer bei der Anmeldung auf einer Website zugewiesen wird. Falls es einem Dritten gelingt, diesen Code abzufangen, betrachtet der Webserver ihn als rechtmäßigen Nutzer. Ein einfacher Vergleich: Stell dir vor, du hast eine elektronische Zugangskarte mit einem einmaligen Code für dein Büro. Wenn dein Ausweis gestohlen wird, kann der Dieb alle passenden Türen problemlos öffnen. Es spielt keine Rolle, ob er dir ähnlich sieht oder nicht. Das Sicherheitssystem glaubt, dass du es bist. Das klingt wie aus einer Krimiserie, nicht wahr? Das Gleiche passiert online: Wenn ein Hacker ein Cookie mit deiner Sitzungs-ID stiehlt, kann er sich unter deinem Namen auf einer Website anmelden, auf der du bereits eingeloggt warst. Dazu braucht er keinen Benutzernamen und kein Passwort einzugeben und kann möglicherweise sogar die Zwei-Faktor-Authentifizierung umgehen. Genau mit dieser Methode stahlen Hacker im Jahr 2023 alle drei YouTube-Kanäle des berühmten Tech-Bloggers Linus Sebastian – „Linus Tech Tipps“ und zwei weitere Kanäle der Linus Media Group mit mehreren Millionen Abonnenten. Diesen Fall haben wir schon ausführlich beschrieben.

Welche Arten von Cookies gibt es?

Es gibt eine Menge verschiedener Cookie-Sorten. Sie lassen sich nach bestimmten Merkmalen klassifizieren.

Nach der Speicherdauer

Temporäre Cookies oder Sitzungs-Cookies. Diese werden nur verwendet, während du dich auf der Website befindest. Sobald du die Seite verlässt, werden sie gelöscht. Solche Cookies sind beispielsweise erforderlich, damit du angemeldet bleibst, während du zwischen verschiedenen Seiten navigierst, oder um die ausgewählte Sprache und Region beizubehalten.
Persistente Cookies. Diese verbleiben auf deinem Gerät, nachdem du die Website verlassen hast. Dadurch musst du die Cookie-Richtlinien nicht bei jedem Besuch erneut akzeptieren oder ablehnen. Dauerhafte Cookies werden in der Regel etwa ein Jahr aufbewahrt.

Sitzungs-Cookies können sich auch in dauerhafte Cookies verwandeln. Wenn du auf einer Website beispielsweise ein Kontrollkästchen wie „Merken“ oder „Einstellungen speichern“ aktivierst, werden die Daten in einem haltbaren Cookie gespeichert.

Nach der Quelle

Cookies von Erstanbietern. Diese Cookies werden von der Website selbst generiert. Sie ermöglichen eine reibungslose Funktion der Website und optimieren das Nutzungserlebnis. Außerdem können sie für Analyse- und Marketingzwecke genutzt werden.
Cookies von Drittanbietern. Diese werden von externen Diensten gesammelt. Sie werden unter anderem verwendet, um Werbung anzuzeigen und Werbestatistiken zu erfassen. Zu dieser Kategorie gehören Cookies von Analysediensten (z. B. Google Analytics ) und von Social-Media-Plattformen. Diese Cookies merken sich deine Anmeldedaten. Dadurch kannst du mit einem einzigen Klick Inhalte liken oder in sozialen Medien teilen.

Nach Priorität

Erforderliche Cookies. Diese unterstützen die wichtigsten Website-Funktionen, z. B. den Verkauf von Produkten über eine E-Commerce-Plattform. In diesem Fall hat jeder Nutzer ein individuelles Konto, und Benutzername, Passwort und Sitzungs-ID werden in Cookie-Dateien gespeichert.
Optionale Cookies. Mit diesen wird das Benutzerverhalten verfolgt und Werbung wird präzise angepasst. Die meisten optionalen Cookies gehören externen Anbietern und haben keinen Einfluss darauf, ob du alle Funktionen der Website nutzen kannst.

Nach der Speichertechnologie

Standardmäßige Cookies. Diese Cookies werden als Textdateien im Standardspeicher des Browsers aufbewahrt. Wenn du deine Browserdaten löschst, werden sie entfernt. Danach erkennen die Websites, von denen die Daten gesendet wurden, dich nicht mehr automatisch.
Spezielle Cookies. Hier gibt es zwei Kategorien: Supercookies und Evercookies, die Daten auf nicht standardmäßige Weise speichern. Supercookies sind in die Kopfzeilen von Websites eingebettet und werden an nicht standardmäßigen Speicherorten abgelegt. Deshalb greift hier die Bereinigungsfunktion des Browsers nicht. Evercookies können mithilfe von JavaScript auch nach dem Löschen reanimiert werden. Sie ermöglichen permanentes und schwer zu kontrollierendes Benutzer-Tracking.

Ein Cookie kann gleichzeitig zu mehreren Kategorien gehören: Die meisten optionalen Cookies sind beispielsweise Drittanbieter-Cookies. Dagegen gehören zu den erforderlichen Cookies auch temporäre Cookies, die für die Sicherheit einer bestimmten Browsersitzung sorgen. Wie und wann die verschiedenen Arten von Cookies verwendet werden, erfährst du im vollständigen Bericht auf Securelist.

So werden Sitzungs-IDs durch Session-Hijacking gestohlen

Cookies, die eine Sitzungs-ID enthalten, sind die verlockendsten Ziele für Hacker. Der Diebstahl einer Sitzungs-ID wird auch Session-Hijacking genannt. Hier sind einige der interessantesten und populärsten Methoden.

Abhören von Sitzungen (Session-Sniffing)

Beim Session-Hijacking wird der Internetverkehr zwischen einem Nutzer und der Website überwacht oder „ausgeschnüffelt“. Diese Art von Angriffen droht auf Websites, die nicht das sichere HTTPS-Protokoll verwenden, sondern das lückenhafte HTTP. Bei HTTP werden Cookie-Dateien im Klartext in den Headern von HTTP-Anfragen übertragen und sind nicht verschlüsselt. Hier kann ein Angreifer problemlos den Datenverkehr zwischen dir und einer besuchten Website abfangen und Cookies abschöpfen.

Diese Angriffe treten häufig in öffentlichen WLAN-Netzen auf, insbesondere wenn diese nicht durch das WPA2-oder WPA3-Protokoll geschützt sind. Darum unser Tipp: Höchste Vorsicht bei öffentlichen Hotspots! Mobile Daten sind wesentlich sicherer. Wenn du ins Ausland reist, ist eine eSIM empfehlenswert.

Cross-Site-Scripting (XSS, webseitenübergreifendes Skripting)

Cross-Site-Scripting gehört nicht zufällig zu den häufigsten Schwachstellen bei der Internetsicherheit. Mit solchen Angriffen können Hacker auf die Daten einer Website zugreifen und auch Cookie-Dateien stehlen, die die begehrten Sitzungs-IDs enthalten.

Das geht so: Der Angreifer findet eine Schwachstelle im Quellcode der Website und injiziert ein schädliches Skript. Sobald der Nutzer die infizierte Seite aufruft, werden seine Cookies gestohlen. Das Skript erhält vollständigen Zugriff auf die Cookies und sendet sie an den Angreifer.

Cross-Site-Request-Forgery (CSRF/XSRF, websiteübergreifende Anfragenfälschung)

Cross-Site-Request-Forgery funktioniert anders: Das Vertrauensverhältnis zwischen einer Website und dem Browser wird ausgenutzt. Ein Angreifer bringt den Browser eines authentifizierten Nutzers dazu, heimlich eine unbeabsichtigte Aktion auszuführen, z. B. ein Passwort zu ändern oder hochgeladene Videos zu löschen.

Dazu erstellt der Hacker eine Webseite oder E-Mail, die einen bösartigen Link, HTML-Code oder ein Skript mit einer Anfrage an die anfällige Website enthält. Sobald die Seite oder die E-Mail geöffnet oder auf den Link geklickt wird, sendet der Browser die bösartige Anfrage automatisch an die Ziel-Website. Alle deine Cookies für diese Website werden der Anfrage beigefügt. Die Website nimmt an, dass du beispielsweise die Änderung des Kennworts oder die Löschung des Kanals angefordert hast, und führt die bösartige Anfrage in deinem Namen aus.

Hier lautet unser Rat: Öffne keine Links, die du von Fremden erhalten hast, und installiere eine zuverlässige Sicherheitslösung, die dich auf bösartige Links oder Skripte aufmerksam machen kann.

Vorhersehbare Sitzungs-IDs

Manchmal benötigen Angreifer gar keine komplexen Schemata – sie können die Sitzungs-ID einfach erraten. Auf einigen Websites werden Sitzungs-IDs durch leicht durchschaubare Algorithmen generiert und können Informationen wie deine IP-Adresse sowie eine leicht reproduzierbare Zeichenfolge enthalten.

Für einen solchen Angriff müssen Hacker nur genügend Beispiel-IDs sammeln, die IDs analysieren und den Algorithmus herausfinden, mit dem die IDs generiert werden.

Es gibt noch andere Möglichkeiten, eine Sitzungs-ID zu stehlen, z. B. Session-Fixierung, Cookie-Tossing und Man-in-the-Middle-Angriffe (MitM). In diesem Securelist-Beitrag erfährst du mehr über solche Methoden.

So kannst du dich vor Cookie-Dieben schützen

Für die Cookie-Sicherheit sind in erster Linie die Website-Entwickler verantwortlich. Wertvolle Tipps für Entwickler findest du in unserem ausführlichen Bericht auf Securelist.

Es gibt jedoch einige Maßnahmen, mit denen jeder Nutzer die Online-Sicherheit verbessern kann.

Personenbezogene Daten nur auf Websites eingeben, die das HTTPS-Protokoll verwenden. Wenn „HTTP“ in der Adressleiste steht, akzeptiere keine Cookies und übermittle keine vertraulichen Informationen (z. B. Benutzernamen, Passwörter oder Kreditkartendaten).
Browser-Benachrichtigungen beachten. Wenn du eine Website besuchst und vor einem ungültigen oder verdächtigen Sicherheitszertifikat gewarnt wirst, schließe die Seite sofort.
Deine Browser regelmäßig aktualisieren oder automatische Updates aktivieren. Dies bietet Schutz vor bekannten Schwachstellen.
Alle Cookies und den Browser-Cache regelmäßig löschen. Dadurch wird verhindert, dass alte und möglicherweise durchgesickerte Cookie-Dateien und Sitzungs-IDs ausgenutzt werden. Die meisten Browser bieten eine Option, mit der solche Daten beim Schließen automatisch gelöscht werden.
Nicht auf verdächtige Links klicken. Dies gilt insbesondere für Links, die du per Messenger oder E-Mail von Unbekannten erhältst. Es kann schwierig sein, legitime Links von Phishing-Links zu unterscheiden. Deshalb solltest du eine Sicherheitslösung installieren, die dich rechtzeitig vor bösartigen Websites warnt.
Zwei-Faktor-Authentifizierung (2FA) möglichst überall aktivieren. Kaspersky Password Manager bietet eine praktische Möglichkeit, 2FA-Token zu speichern und Einmalcodes mit einem Authentifikator zu generieren. Deine Anmeldedaten werden auf allen deinen Geräten synchronisiert. Das macht es für Angreifer nach dem Ende einer Sitzung erheblich schwieriger, auf dein Konto zuzugreifen – selbst wenn sie deine Sitzungs-ID stehlen.
Das Akzeptieren aller Cookies auf allen Websites ablehnen. Es ist nicht die beste Strategie, alle Cookies von beliebigen Websites zu akzeptieren. Viele Websites ermöglichen es inzwischen, entweder alle oder nur erforderliche Cookies zu akzeptieren. Wähle möglichst die Option „Nur erforderliche Cookies“. Diese Cookies werden benötigt, damit eine Website wie vorgesehen funktioniert.
Öffentliche WLAN-Netzwerke nur verwenden, wenn es gar nicht anders geht. Solche Netze sind oft schlecht gesichert, und Angreifer nutzen dies aus. Wenn du dich unbedingt mit einem öffentlichen Wi-Fi verbinden musst, melde dich nicht bei sozialen Medien oder Messaging-Konten an, verwende kein Online-Banking und greife nicht auf andere Dienste zu, die eine Authentifizierung erfordern.

Möchtest du noch mehr über Cookies erfahren? Hier sind weitere interessante Artikel:

So blockieren Sie Cookies in Ihrem Browser

Technologie zur Wahrung der Privatsphäre von Mozilla

Wie kann ich feststellen, ob mein Browser-Fingerabdruck von einer Webseite erstellt wird?

Cookies verwalten: ein Experiment in der realen Welt

Online-Tracker machen Geräusche

So löschst du deine personenbezogenen Daten aus den Datenbanken von Brokern

Warum Datenbroker Dossiers über dich erstellen und was du dagegen tun kannst

Tausende von Unternehmen existieren nur zu einem Zweck: um Informationen über jeden von uns zu sammeln und weiterzuverkaufen. Wie funktioniert das, wie kann man die Datenerfassung einschränken und wie kann man bereits erfasste Daten löschen lassen?

Tipps

Pixnapping-Schwachstelle: Erzwungene Screenshots auf Android-Smartphones

Forscher haben eine Android-Schwachstelle entdeckt: Mit Pixnapping können Apps Passwörter, Einmalcodes und andere vertrauliche Informationen vom Bildschirm stehlen, ohne über spezielle Berechtigungen des Betriebssystems zu verfügen. Wie funktioniert das und wie kannst du dich schützen?

E-Mail-Betrug mit Drohungen und Erpressung

Nehmen wir an, du hast eine E-Mail mit Drohungen erhalten. Was ist dein nächster Schritt?

Black Friday: LLMs helfen beim Sparen

Eine neue Art der Schnäppchenjagd mit KI-Unterstützung. In diesem Artikel findest du Beispiele für effektive Prompts.

Privatsphäre in sozialen Medien – Stand 2025

In welchen sozialen Netzwerken bleiben deine Beiträge vorwiegend deinen Freunden vorbehalten? Welche Netzwerke verwenden deine Postings für KI-Training und gezielte Werbung? Wir untersuchen das aktuelle Privatsphäre-Ranking für populäre Social-Media-Plattformen.

KOSTENLOSE TOOLS

Welche Cookies es gibt und warum Hacker sie so gerne mögen

Was sind Cookies?

Welche Arten von Cookies gibt es?

Nach der Speicherdauer

Nach der Quelle

Nach Priorität

Nach der Speichertechnologie

So werden Sitzungs-IDs durch Session-Hijacking gestohlen

Abhören von Sitzungen (Session-Sniffing)

Cross-Site-Scripting (XSS, webseitenübergreifendes Skripting)

Cross-Site-Request-Forgery (CSRF/XSRF, websiteübergreifende Anfragenfälschung)

Vorhersehbare Sitzungs-IDs

So kannst du dich vor Cookie-Dieben schützen

Sicherheit und Datenschutz im Garmin-Ökosystem einrichten

Datenschutzrisiko: Zwei Drittel der Zugpendler sind Voyeure

Warum Datenbroker Dossiers über dich erstellen und was du dagegen tun kannst

Tipps

Pixnapping-Schwachstelle: Erzwungene Screenshots auf Android-Smartphones

E-Mail-Betrug mit Drohungen und Erpressung

Black Friday: LLMs helfen beim Sparen

Privatsphäre in sozialen Medien – Stand 2025

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie