[datensicherheit.de, 09.06.2025] Eine neue Untersuchung von NordVPN offenbart demnach eine alarmierende Entwicklung im Bereich der Cybersicherheit: Weltweit seien fast 94 Milliarden sogenannte Cookies durch Malware gestohlen worden – dies sei ein Anstieg von 74 Prozent im Vergleich zum Vorjahr. Auch Deutschland sei betroffen: Über 1,3 Milliarden Cookies deutscher Nutzer seien im sogenannten Darknet entdeckt worden – mehr als 109 Millionen davon seien noch aktiv und könnten als digitale Zugangsschlüssel missbraucht werden. Die Daten wurden von „NordStellar“, einer Plattform für das Management von Bedrohungsrisiken, analysiert. Die Untersuchungen fanden zwischen dem 23. und 30. April 2025 statt. „Grundlage war öffentlich zugängliches Material aus Telegram-Kanälen, in denen Hacker gestohlene Daten zum Verkauf anbieten. Das entstandene Datenset umfasste Informationen zu 93,76 Milliarden Cookies.“ Analysiert worden seien u. a. deren Aktivitätsstatus, Herkunftsland, eingesetzte Malware, Betriebssysteme der Nutzer sowie enthaltene Metadaten. „NordVPN hat keine gestohlenen Cookies gekauft oder auf deren Inhalt zugegriffen, sondern lediglich untersucht, welche Arten von Daten darin enthalten waren.“

Cookies in den falschen Händen sind digitale Schlüssel zu unseren sensibelsten Informationen

Die aktuelle Untersuchung von NordVPN zeigt: „Der Diebstahl von Cookies hat weltweit massiv zugenommen – von 54 Milliarden im Vorjahr zu fast 94 Milliarden. Deutschland belegt im globalen Vergleich Platz 19 von 253 Ländern.“ Über 1,3 Milliarden Cookies deutscher Nutzer seien im „Darknet“ entdeckt worden, wovon noch mehr als 109 Millionen aktiv und mit realen Nutzeraktivitäten verknüpft seien.

„Cookies mögen harmlos erscheinen, aber in den falschen Händen sind sie digitale Schlüssel zu unseren sensibelsten Informationen“, warnt Adrianus Warmenhoven, Cybersicherheitsexperte bei NordVPN. Er erläutert: „Was einst zur Verbesserung des Surferlebnisses gedacht war, hat sich zu einer Schwachstelle entwickelt, die Cyberkriminelle weltweit gezielt ausnutzen können.“

Bequemlichkeit mit hohem Preis – die unsichtbare Gefahr beim alltäglichen Surfen

Unter „Cookies“ werden kleine Textdateien verstanden, welche von Websites im Browser gespeichert werden, um etwa Anmeldedaten, Einstellungen oder Warenkörbe zu hinterlegen. Sie ermöglichen so ein komfortableres Surferlebnis, etwa durch schnellere Ladezeiten und personalisierte Inhalte. Cookies könnten jedoch auch von Hackern ausgenutzt werden, um persönliche Daten zu stehlen und auf sichere Systeme zuzugreifen.

Cyberkriminelle könnten also Cookies gezielt nutzen, um Sitzungen zu kapern, Identitäten zu stehlen und Sicherheitsmechanismen zu umgehen. „Viele verstehen nicht, dass ein gestohlener Cookie genauso gefährlich sein kann wie ein gestohlenes Passwort“, stellt Warmenhoven klar und gibt zu bedenken: „Ein kompromittierter Cookie kann es Angreifern ermöglichen, ganz ohne Anmeldung direkten Zugriff auf Konten und sensible Daten zu erlangen.“

Gezielte Malware-Kampagne nimmt personenbezogene Daten ins Visier

Diese Untersuchung von NordVPN habe eine massive Malware-Kampagne aufgedeckt, bei der fast 94 Milliarden Cookies gestohlen worden seien – ein Anstieg von 74 Prozent gegenüber dem Vorjahr (54 Milliarden). Besonders alarmierend sei: 20,55 Prozent dieser Cookies seien noch aktiv und stellten damit ein anhaltendes Risiko für die Privatsphäre der Nutzer dar. Der Großteil der gestohlenen Cookies stamme von großen Plattformen wie „Google“ (4,5 Mrd.), „YouTube“ (1,33 Mrd.), sowie „Microsoft“ und „Bing“ (jeweils über 1 Mrd.).

Auch die Zahl der offengelegten personenbezogenen Daten sei drastisch gestiegen: „2024 wurden 10,5 Milliarden zugewiesene IDs, 739 Millionen Sitzungs-IDs, 154 Millionen Authentifizierungstoken und 37 Millionen Anmeldedaten entdeckt. 2025 schnellten die Zahlen stark nach oben: Es wurden 18 Milliarden zugewiesene IDs und 1,2 Milliarden Sitzungs-IDs offengelegt.“ Diese Datentypen seien für die Identifizierung von Nutzern und die Sicherung von Online-Konten von entscheidender Bedeutung und daher für Cyberkriminelle äußerst wertvoll.

Anzahl der Malware-Varianten verdreifacht

Die betreffenden Cookies seien mithilfe von 38 verschiedenen Malware-Typen entwendet worden – mehr als dreimal so viele wie noch 2024. Am aktivsten waren laut NordVPN: „Redline“ (41,6 Milliarden „Cookies“), „Vidar“ (zehn Milliarden „Cookies“) und „LummaC2“ (neun Milliarden Cookies).

Diese Malware-Familien seien dafür bekannt, von Cyberkriminellen eingesetzt zu werden, um Anmeldedaten, Passwörter und andere sensible Daten zu stehlen. Zusätzlich seien 26 neue Malware-Typen wie etwa „RisePro“ und „Stealc“ entdeckt worden, „die 2024 noch nicht aufgetreten waren – ein deutlicher Hinweis auf die rasante Weiterentwicklung von Cyberkriminalität“.

Cyberrisiko in Deutschland höher als oftmals vermutet: Über 109 Millionen real genutzte Cookies

Die gestohlenen Cookies stammten von Nutzern aus 253 Ländern weltweit. Deutschland verzeichne von über 1,3 Milliarden zwar nur 8,25 Prozent aktive Cookies, doch das entspreche über 109 Millionen real genutzter Cookies, welche Kriminellen als digitale Zugangsschlüssel dienen könnten. „Das sind Millionen Menschen, die potenziell von Cyberkriminalität betroffen sind“, verdeutlicht Warmenhoven. Um sich eben gegen Datenlecks und Malware zu wappnen, sollten Nutzer einige grundlegende Sicherheitsmaßnahmen beachten:

• Starke, individuelle Passwörter verwenden!
• Zwei-Faktor-Authentifizierung (2FA) aktivieren!
• Persönliche Informationen nur mit Bedacht weitergeben!
• Keine verdächtigen Links anklicken und keine unbekannten Dateien herunterladen!
• Regelmäßig Website-Daten löschen und Geräte aktualisieren!

„Normalerweise schließen Nutzer den Browser, aber die Sitzung bleibt weiterhin gültig. Der Cookie bleibt gespeichert. Wenn die Daten dieser Website nie gelöscht werden, bleibt die Sitzung so lange gültig, wie es der Website-Betreiber für sicher hält“, erläutert Warmenhoven. Schon einfache Maßnahmen könnten das Risiko eines unbefugten Zugriffs deutlich verringern. „Es ist nur ein geringer Zeitaufwand, der vor großen Bedrohungen schützen kann!“

Weitere Informationen zum Thema:

NordVPN, Werner Beckmann, 27.05.2025
Die Cookie-Monster sind los: Studie zeigt die Risiken von Web-Cookies auf

NordStellar
Know what hackers know / Full cyber threat visibility for business

datensicherheit.de, 06.12.2022
Cookie-Blocker technisch möglich – Datenschutz sollte gewährleistet werden / Websites vorgeschalteten Cookie-Banner in Verruf geraten

datensicherheit.de, 12.07.2020
Cookie-Einwilligung: Vorangekreuzte Check-Boxen unzulässig / Mareike Vogt erklärt, worauf Unternehmen jetzt achten sollten

datensicherheit.de, 28.05.2020
eco-Kommentar zum BGH-Urteil: Mehr Rechtssicherheit im Umgang mit Cookies / Einwilligungserfordernis vor der Verarbeitung von personenbezogenen Daten notwendig

datensicherheit.de, 01.10.2019
EuGH-Urteil: Werbe-Cookies nur bei Einwilligung / Grundsatzentscheidung vom 1. Oktober 2019 erschwert laut MITTELSTANDSVERBUND das Online-Geschäft

datensicherheit.de, 03.02.2019
Neue Mac-Malware stiehlt Cookies von Kryptowährungsbörsen / Palo Alto Networks entdeckt „gefährliches Cyber-Krümelmonster“

[datensicherheit.de, 06.12.2022] Vor 50 Jahren seien „Cookies“ noch mit einem liebenswerten blauen Monster verbunden gewesen – heute seien diese negativ konnotiert durch Websites vorgeschaltete Cookie-Banner. Nahezu jede setze auf diese Technik, um deren Nutzung unter anderem sicherer zu machen, beispielsweise beim Online-Banking. „Manche Website aber will einfach nur mehr erfahren als notwendig“, warnt die TÜV NORD GROUP in ihrer aktuellen Stellungnahme.

Mit PIMS könnten Nutzer ihre Cookie-Einstellungen zentral im eigenen Rechner oder in Online-Speichersystemen verwalten

Auf jeder Website den Cookie-Hinweis zu bearbeiten sei mühsam, insbesondere dann, „wenn man jeder Website die gleichen Dinge erlaubt – oder eben untersagt“. Da stelle sich die Frage nach einer Lösung, „beispielsweise ein Add-On im Browser, der die eigenen Präferenzen speichert und jeder besuchten Website mitteilt“. Tobias Mielke, Datenschutz-Experte bei TÜVIT, kommentiert: „Das soll kommen.“ Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sehe einen solchen „Dienst zur Einwilligungsverwaltung“ ausdrücklich vor – PIMS sei die Fachabkürzung: „Personal Information Management Services“.

Mit PIMS könnten Nutzer ihre Cookie-Einstellungen z.B. zentral im eigenen Rechner oder in Online-Speichersystemen verwalten. Ein Problem jedoch sei: „Was, wenn derartige PIMS selbst Cookies nutzen, Nutzerverhalten ausspionieren und diese Daten weitergeben?“ Mielke führt aus: „Aus unserer Sicht sollten PIMS bestenfalls in einem Treuhandmodell von unabhängigen Dritten wie den TÜV-Verbänden erstellt werden.“

Website-Betreiber haben kein ausgeprägtes Interesse daran, dass Cookies per se blockiert werden

Eine weitere Frage sei: „Werden Websites derartige Einstellungen eines Add-ons wirklich übernehmen also akzeptieren?“ Ein solches PIMS würde den meisten besuchten Webseiten die eigenen Präferenzen übermitteln, und diese Präferenzen müssten beachtet werden. Eine Ausnahme gelte für Telemedienanbieter, welche sich ganz oder teilweise durch Werbung finanzieren, also etwa für Newsportale. Diese sollten Nutzer auf kostenpflichtige, aber werbe- und cookiefreie Alternativen verweisen dürfen.

Betreiber von Internetseiten hätten natürlich kein besonders ausgeprägtes Interesse daran, dass Cookies per se blockiert werden. Diese erlaubten es, das Nutzerverhalten zu analysieren. „Also festzustellen, welche Inhalte wie häufig angeklickt wurden und wie lange Nutzende auf dieser Seite verharren, von welchen Seiten man kommt, wohin man entschwindet, welche Werbung man sich angesehen und nach welchen Begriffen man gesucht hat.“ Zu wissen, wie gut die eigene Website funktioniert, sei für Marketing- und Vertriebs-Abteilungen sehr wichtig.
Auf der anderen Seite stehe der Nutzer, „der beim Surfen im Internet persönliche Daten preisgibt“. Wer das nicht will, müsse Cookies ablehnen: „Mit meiner Ablehnung will ich unerwünschte Werbung vermeiden, mein Surfverhalten nicht ausspionieren lassen und auch nicht mit meinen Konten der Sozialen Netzwerke verbinden lassen“, erläutert Mielke.

Betreiber von Webseiten dürfen nicht ohne Einwilligung Cookies ausspielen und personenbezogenen Daten speichern

Auf die Frage, ob man sicher sein kann, dass die Einstellungen auf den Websites dann übernommen werden, erwidert Mielke: „Betreiber von Webseiten dürfen keine Cookies ausspielen und keine personenbezogenen Daten speichern, wenn dies explizit nicht gewünscht ist.“ Dies gelte sowohl für jedes einzelne Cookie-Banner als auch für ein PIMS. „Wer der Website hingegen alles erlaubt, gibt ihr einen Freibrief dafür, das eigene Surfverhalten auszuspionieren und personalisierte Werbung auszuspielen.“ Es gebe außerdem keine Sicherheit dafür, „dass nicht vielleicht irgendwo auf der Welt Daten gesammelt, zusammengeführt, ausgewertet und weiterverkauft werden“.

Mielke erläutert: „Eine PIMS-Lösung ist technisch jedenfalls umsetzbar, sowohl was die Speicherung eigener Präferenzen angeht als auch das Speichern und Verarbeiten von Daten.“ Jedoch müsse klar sein, „dass eine derartige Anwendung wirklich datenschutzrechtlich sauber und sicher arbeitet“. Die Anbieter eines entsprechenden Dienstes müssten sich laut Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) vom Bundesdatenschutzbeauftragten anerkennen lassen und dabei unter anderem ihre Unabhängigkeit belegen. Außerdem sollten sie demnach ein Sicherheitskonzept sowie geeignete technische und organisatorische Maßnahmen des Dienstes vorweisen können.

[datensicherheit.de, 12.07.2020] Das jüngste BGH-Urteil zum Thema Cookie-Banner zeigt laut TÜV SÜD auf, „dass viele Unternehmen noch große Lücken in ihren Datenschutzkonzepten haben“. Mareike Vogt, Datenschutz-Expertin der TÜV SÜD Sec-IT GmbH, erklärt nachfolgend, worauf Unternehmen jetzt achten sollten und welche Folgen das Urteil für Unternehmen und deren Schutz von personenbezogenen Daten hat.

Aktive Cookie-Einwilligung der Besucher erforderlich!

Betreiber von Websites benötigten eine „aktive Einwilligung der Besucher“, wenn sie Cookies setzen wollen. Nicht zulässig seien dabei bereits vorangekreuzte Check-Boxen, um diese einzuholen. Nach dem Europäischen Gerichtshof (EuGH) habe dies nochmals ein Urteil des Bundesgerichtshofes (BGH) bestätigt, das kürzlich mit Begründung veröffentlicht wurde.
„Das Urteil stellt klar: Der Nutzer kann eine aktive Einwilligung nur abgeben, wenn ihm bewusst ist, worin er einwilligt. Nutzerprofile der Webseiten-Besucher dürfen lediglich mit konkreter Einwilligung erstellt werden. Eine vorangekreuzte Einwilligung ist dabei nicht konform“, betont Vogt. Wenn Unternehmen es verpassen, sich mit dem notwendigen Wissen und den Anforderungen der EU-DSGVO zu rüsten, liefen sie Gefahr, angreifbar zu sein oder schwerwiegende Fehler zu machen.

Beim Einsatz von Cookie-Bannern sollten Unternehmen Folgendes beachten:

• Die Cookie-Auswahl sollte sorgfältig überlegt und auf das Nötigste beschränkt sein (Datenminimierung).
• Ist eine Einwilligung notwendig, sollte diese aktiv vom Nutzer bestätigt werden und nicht bereits vorausgewählt sein (Privacy by default).
• Die Einwilligung ist so einfach und verständlich wie möglich, sowohl im Prozess als auch sprachlich, zu gestalten.
• Als Anhaltspunkt sollte eine Einwilligung stets so einfach zu widerrufen sein, wie sie abgegeben wurde – der Betroffene sollte in keinem Fall durch die Auswahl und den Prozess überfordert, bevormundet oder überrumpelt werden.

Auch an einfache Einwilligung über Cookie-Banner sind Voraussetzungen geknüpft

Hintergrund des Prozesses, zu dem das Urteil nun samt Begründung veröffentlicht wurde, war demnach der Rechtsstreit darum, ob der Beklagte für die Verwendungen der von ihm im Internet gesammelten Daten konforme Einwilligungen eingeholt hatte – die Erlaubnis dafür hatte er ursprünglich über ein Cookie-Banner eingeholt. „Nachdem sich der Bundesgerichtshof zur Beantwortung einiger Fragen die Unterstützung des Europäischen Gerichtshofes vorab geholt hatte, steht nun fest: Auch an die vermeintlich einfache Einwilligung über sogenannte Cookie-Banner sind Voraussetzungen geknüpft, die eingehalten werden müssen.“
Ist dies nicht der Fall, so drohten vielfältige Konsequenzen. Vogt warnt: „Neben dem möglichen Reputationsverlust drohen bei Missachtung der datenschutzrechtlichen Anforderungen und Pflichten auch Klagen durch Betroffene oder Bußgelder durch Aufsichtsbehörden.“

Weitere Informationen zum Thema:

Bundesgerichtshof
Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung / Nr. 067/2020 Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II

datensicherheit.de, 28.05.2020
eco-Kommentar zum BGH-Urteil: Mehr Rechtssicherheit im Umgang mit Cookies

[datensicherheit.de, 31.10.2011] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Peter Schaar hat die vom Deutschen Bundestag beschlossene Novellierung des Telekommunikationsgesetzes als unzureichend kritisiert:
Leider sei es versäumt worden, notwendige Änderungen im Gesetzgebungsverfahren aufzugreifen. Insbesondere die sogenannte „Cookie-Regelung“ sei – obwohl es sich hierbei um eine zwingend umzusetzende europäische Vorgabe handele – vom Gesetzgeber ignoriert worden. Dabei werde in Kauf genommen, dass weiterhin ohne Einwilligung der Betroffenen umfangreiche Persönlichkeitsprofile erstellt würden, so Schaar.
Diese „Cookie-Regelung“ sieht vor, dass Nutzer künftig ihre explizite Einwilligung erklären müssen, bevor langfristige Cookies oder andere technische Mittel, mit denen das Surfverhalten von Internetnutzern verfolgt werden kann, auf deren Endgeräten gespeichert werden.
Des Weiteren bemängelt Schaar, dass die Befristung der Speicherdauer von Telekommunikationsverkehrsdaten zur Abrechnung zwischen verschiedenen Telekommunikationsdiensteunternehmen ohne Begründung in letzter Sekunde wieder aus dem Entwurf gestrichen wurde. Dort hätte laut Schaar ein „Schlupfloch“ geschlossen werden müssen, das es Unternehmen ermögliche, Daten sogar länger zu speichern, als es bei der Vorratsdatenspeicherung erlaubt gewesen sei. Eine Frist bei der Abrechnung zwischen unterschiedlichen Netzbetreibern sei auch deshalb dringend erforderlich, um eine Angleichung an die sonstigen gesetzlich vorgesehenen Nutzungsmöglichkeiten für Verkehrsdaten herzustellen, für die konsequent Höchstspeicherfristen vorgesehen seien.
Schließlich äußert der Bundesdatenschutzbeauftragte sein Unverständnis über das Versäumnis des Gesetzgebers, gesetzlich festzulegen, welche Behörde Bußgelder gegen Telekommunikationsunternehmen verhängen kann, die gegen Vorschriften des Bundesdatenschutzgesetzes verstoßen. Seit Jahren stritten Ministerien darüber, wer für die Verfolgung von Ordnungswidrigkeiten zuständig sei – es sei ein „unhaltbarer Zustand“, wenn derartige Verstöße deshalb weiterhin ungeahndet blieben, so Schaar. Im Hinblick auf die europarechtlichen Vorgaben zur Unabhängigkeit der Datenschutzaufsichtsbehörden hatte der BfDI angeregt, die gegenwärtig herrschende Rechtsunsicherheit endlich zu beenden und ihm die Zuständigkeit zu übertragen.