Das Cookie-Banner ist wohl eines der hartnäckigsten Ärgernisse des Internets. Weil Nutzer:innen ohne ihr Einverständnis nicht getrackt werden dürfen, bombardieren Websites und Werbefirmen sie mit den Einwilligungsanfragen. Oft sind diese manipulativ gestaltet und häufig werden sie weggeklickt. Echte Selbstbestimmung für Nutzer:innen ist so nicht möglich. Die EU-Kommission hat deshalb einen Vorschlag gemacht, der die Banner weitgehend abschaffen könnte.

Im Rahmen des Digital-Omnibus-Gesetzespakets sollen Diensteanbieter nach dem Willen der Kommission verpflichtet werden, automatische Signale zu Tracking-Präferenzen zu beachten. Solche Signale könnten Nutzer:innen etwa über ihren Browser senden. Dagegen wenden sich seit längerem nicht nur Lobby-Organisationen der Tracking-Wirtschaft, sondern auch mehrere Länder wie Deutschland und Frankreich.

Ein kürzlich von Politco geleaktes Dokument aus dem Rat der EU-Mitgliedstaaten zeigt: Die Gegenwehr war erfolgreich. Der jüngste Kompromissvorschlag der zypriotischen Ratspräsidentschaft sieht eine vollständige Streichung des von der Kommission vorgeschlagenen Artikel 88b vor, in dem die Cookie-Revolution stattfinden sollte.

„Das muss man sich auf der Zunge zergehen lassen: Die EU-Kommission will endlich die Cookie-Banner abschaffen, aber Google und einige EU-Mitgliedsstaaten wollen sie nun unbedingt behalten“, kommentiert Datenschutz-Aktivist Max Schrems von der Organisation noyb den Vorgang. „Jahrzehntelang wurde sich über EU-Bürokratie beschwert, aber in Wirklichkeit fürchtet sich die Tracking-Industrie dermaßen vor einer Möglichkeit, dass Verbraucher:innen einfach ‚Nein’ sagen können, dass nach etwas Lobbying alle umfallen.“

So könnte eine Zukunft ohne Cookie-Banner aussehen

Die Idee der EU-Kommission ist schnell erklärt: Einwilligungen oder Ablehnungen zum Online-Tracking sollen künftig nicht mehr über individuell gestaltete Banner auf den jeweiligen Websites abgegeben werden, sondern standardisiert und automatisiert durch maschinenlesbare Signale, die sogenannten Privacy Signals.

Praktisch hieße das etwa, dass Nutzer:innen ihre Präferenzen über Einstellungen im Browser, im Betriebssystem oder über spezialisierte Programme, sogenannte Einwilligungs-Agenten, festlegen könnten. Betreiber:innen von Websites und Werbefirmen müssten diese Signale laut Entwurf der Kommission „respektieren“. Sie dürften sie also nicht mehr ständig erneut nach Einwilligungen fragen. Ausnahmen sollen für journalistische Medien gelten, deren Werbefinanzierung man aufgrund ihrer Bedeutung für die Demokratie nicht gefährden wolle.

Die Idee hinter den Privacy Signals ist nicht neu, schon vor mehr als 15 Jahren implementierten einige Browser den „Do Not Track“-Standard. Mit dessen Hilfe konnten Nutzer:innen über einen einzigen Klick signalisieren, dass sie nicht getrackt werden wollen. Die Werbeindustrie ignorierte den Standard jedoch. Versuche des Europäischen Parlaments, Ende der 2010er-Jahre im Rahmen der ePrivacy-Reform ein ähnliches Signal verbindlich einzuführen, scheiterten am massiven Widerstand der Industrie.

In Deutschland schuf deshalb zuletzt die Ampel-Regierung einen rechtlichen Rahmen für „Dienste zur Einwilligungsverwaltung“, mit denen Nutzer:innen ihre Zustimmung oder Ablehnung für einzelne Websites managen können. Im letzten Moment verließ Digitalminister Volker Wissing jedoch der Mut und sein Ministerium sorgte mit einer Verordnung dafür, dass die Signale der Einwilligungsmanager nicht bindend sind, sondern von Trackern ignoriert werden können. Bislang hat die Bundesdatenschutzbeauftragte einen einzigen Einwilligungs-Manager zertifiziert.

Zuspruch aus Wissenschaft und Zivilgesellschaft

Die EU-Kommission entschied sich bei ihrem Vorschlag für den neuen Artikel 88b für einen Mittelweg: Eine pauschale Ablehnung jeglichen Trackings ist nicht vorgesehen, stattdessen ein Management für jede einzelne Website. Dafür sollten die Signale verbindlich sein, die Tracking-Industrie hätte sie – mit der Ausnahme bei journalistischen Medien – nicht weiter ignorieren dürfen.

Dieser Ansatz stieß auf breite Zustimmung in Forschung und Zivilgesellschaft. Anfang Juni veröffentlichten zahlreiche Wissenschaftler:innen von europäischen Universitäten einen offenen Brief, in dem sie die Notwendigkeit einer derartigen Regelung betonten. „Das derzeitige Einwilligungssystem der EU versagt in demokratischer, sozialer und marktwirtschaftlicher Hinsicht – und es versagt beim Schutz genau jener Menschen, denen es eigentlich dienen sollte“, heißt es darin.

Artikel 88b biete „eine einmalige Chance“. Er könne das digitale Ökosystem der EU „von endlosen Pop-ups hin zu einer interoperablen, maschinenlesbaren Rechteinfrastruktur verändern, die einfach und reibungslos funktioniert“. Die Implementierung von Privacy Signals sei nicht nur technisch machbar, sondern passe auch gut zum Ansatz der EU, die seit Jahrzehnten Gelder für die Forschung an Privatsphäre-schützenden Technologien bereitgestellt.

Der Vorschlag könne zudem nicht nur Nutzer:innen das Leben leichter machen, sondern könne auch Unternehmen erleichtern, sich an geltendes Recht zu halten. Allerdings schlugen die Wissenschaftler:innen mehrere Nachbesserungen vor, damit die Regelung die erwünschte Wirkung erziele.

Auch der Verbraucherzentrale Bundesverband hatte mehrere Vorschläge unterbreitet, wie der neue Ansatz wirksamer werden könne. Anbieter sollten etwa die Signale nicht nur „respektieren“, sondern auch umsetzen müssten.

Mitgliedstaaten kritisieren fehlende Folgenabschätzung

„Artikel 88b im Digital-Omnibus könnte die kaputte Einwilligungspraxis im Datenschutz reparieren“, findet auch Jan-David Franke von Wikimedia Deutschland im Gespräch mit netzpolitik.org. Wo Cookie-Banner Verantwortung auf einzelne Nutzende abwälzen würden, würde ein verbindliches Privacy Signal sie wieder dort verorten, wo sie hingehört: bei den Unternehmen, die mehr als das Nötige an Daten wollten. Franke warnt: „Wer das aus dem Digital-Omnibus streicht, baut nicht Bürokratie ab, sondern schwächt das Vertrauen in europäischen Datenschutz insgesamt.“

Doch genau danach sieht es gerade aus. Seit Monaten berät der Rat der Mitgliedstaaten über seine Position zum Daten-Omnibus und die Cookie-Regelung ist einer der umstrittenen Punkte. Mächtige Länder wie Deutschland, Frankreich und Polen haben sich immer wieder vehement gegen die Privacy Signals ausgesprochen. Dabei führten sie Ratsdokumenten zufolge mögliche negative Konsequenzen für die europäische Wirtschaft ins Feld. Die EU-Kommission habe die Maßnahme ohne Folgenabschätzung vorgeschlagen, das sei problematisch.

Mit ihrem Drängen haben die Staaten offenbar Erfolg: Der jüngste Kompromissvorschlag der zypriotischen Ratspräsidentschaft sieht eine vollständige Streichung von Artikel 88b vor. Die Initiative für Privacy Signals wäre damit einmal mehr Geschichte – jedenfalls dann, wenn sich der Rat bei den anstehenden Verhandlungen mit dem EU-Parlament und der Kommission durchsetzen würde. Bereits am Freitag könnte der Rat seine Position beschließen.

Kritik an Verhalten der Bundesregierung

Daran gibt es scharfe Kritik aus der Zivilgesellschaft. „Die Bundesregierung betreibt in Brüssel offenbar gezielte Interessenvertretung zugunsten der Adtech- und Verlagsindustrie und auf Kosten der Verbraucher:innen“, schreibt auf Anfrage etwa Florian Glatzner vom Verbraucherzentrale Bundesverband. „Ausgerechnet die Regelung, die Nutzer:innen endlich eine einfachere Kontrolle über Tracking und Profilbildung ermöglichen würde, soll gestrichen werden.“

Besonders sauer stößt dem Verbraucherschützer die Begründung der Bundesregierung auf, mit der sie sich gegen Artikel 88b ausgesprochen hat: eine fehlende Folgenabschätzung für digitale Geschäftsmodelle. Gleichzeitig fordere sie bei anderen, deutlich weiterreichenden Änderungsvorschlägen wie einer Neudefinition personenbezogener Daten keine Folgenabschätzung. Das wirke wenig konsistent, so Glatzner. „Vielmehr entsteht der Eindruck, dass hier ein Vorwand genutzt wird, um die einzige verbraucherfreundliche Maßnahme im gesamten Paket zu verhindern.“

Auch Max Schrems von noyb hält nicht mit Kritik hinter dem Berg: Cookie-Banner seien keine Erfindung des Datenschutzes, sondern der Tracking-Industrie, denn ohne Einwilligung gebe es kein Online-Schnüffeln. „Jetzt hat man Angst, dass eine einfachere Möglichkeit, ‚Ja’ oder ‚Nein’ zu sagen, Umsatzeinbußen bei Google und Co zur Folge hat.“ Daher lobbyiere die Tracking-Industrie, „was das Zeug hält“, um das Cookie-Banner zu behalten.

Google warnte vor Folgen

Besonders einflussreich war offensichtlich ein Lobby-Papier von Google, das unter der Überschrift „Verschwunden mit einem Klick“ vor drastischen Folgen der Privacy-Signal-Lösung für die Online-Wirtschaft warnte. Ausgehend von der Erkenntnis, dass deutlich weniger Menschen ihre Zustimmung zum Tracking geben, wenn sie einfache Einstellungsmöglichkeiten haben, zeichnete der US-Konzern das Bild von einer Regelung, die Europa mindestens 40 bis 50 Milliarden Euro kosten würde.

Dies nicht etwa, weil weniger Geld für Werbung ausgegeben würde, sondern weil die Werbung ohne Tracking-Cookies weniger effizient sei und deshalb weniger Umsatz für die Werbekunden generieren würde. Mal abgesehen davon, dass dies eine hochgradig spekulative Schätzung ist, dürfte das Unternehmen dabei vor allem sein eigenes Geschäftsinteresse im Blick haben: Google ist der größte Werbekonzern der Welt. 132 Milliarden Dollar Gewinn machte er in 2025, so viel wie kein US-Unternehmen je zuvor, den Großteil davon mit Werbung.

Unterstützung erhielten Googles Lobbyist:innen erneut von Verbänden der Deutschen Digitalwirtschaft wie Bitkom und dem Bundesverband Digitalwirtschaft (BVDW). Auch deutsche Handels- und Werbeorganisationen wie der Deutsche Handelsverband, der E‑Commerce-Verband oder der Markenverband unterzeichneten einen offenen Brief des BVDW und sprachen sich mit drastischen Worten gegen die Regelung aus.

Zum wiederholten Male stellten sich im Kampf gegen Datenschutz und für Tracking auch deutsche Medienverbände an die Seite von Google, namentlich der Bundesverband Digitalpublisher und Zeitungsverleger sowie der Medienverband der freien Presse.

Deutsche Datenschutz-Forscher:innen haben den Aussagen der Werbe-Industrie in einem offenen Brief an die Bundesregierung vehement widersprochen. Es sei nicht haltbar, dass die Einführung von Privacy Signals automatisch zu wirtschaftlichen Verlusten führe. Vielmehr könne Artikel 88b dazu führen, dass Nutzer:innen mehr Informationen hätten und sie deshalb sowohl Risiken als auch Vorteile besser einschätzen können. Die Einwilligungsrate könne für vertrauensvolle Dienste dadurch sogar steigen.

Der digitale Omnibus als „Geschenk an Big Tech“

Bereits an diesem Freitag könnte der Rat seine Position zum Daten-Omnibus beschließen. Dabei steht noch bei mehreren kritischen Punkten eine Einigung aus. So hat die EU-Kommission beispielsweise vorgeschlagen, klarzustellen, dass Unternehmen personenbezogene Daten ohne Einwilligung der Betroffenen für das Training von KI-Modellen nutzen dürfen. Zudem sollen pseudonymisierte Daten unter Umständen von der DSGVO ausgenommen werden.

Beides hatte – anders als der Vorschlag zu Privacy Signals – massive Kritik von Datenschutzbehörden und Zivilgesellschaft ausgelöst. Die EU-Kommission betont, sie wolle mit dem Omnibus-Paket lediglich ihre Digitalgesetzgebung harmonisieren und vereinfachen. Kritiker:innen sprechen von einer De-Regulierungsagenda und einem Angriff auf Grundrechte.

Dass sie den digitalen Omnibus insgesamt als problematisches Vorhaben sehen, zeigte gestern erneut eine Veranstaltung von Digital-Rights- und Verbraucherschutz-Organisationen in Brüssel und Berlin. „Der Schutz von Grundrechten durch bestehende EU-Digitalgesetze muss jetzt verteidigt und durchgesetzt werden, statt sie auszuhöhlen“, sagte etwa Konstantin Macher von der Digitalen Gesellschaft. „Wir fordern, dass die EU-Kommission für die Menschen in der EU kämpft und nicht für die Interessen von US-amerikanischen Big-Tech-Unternehmen.“

Nach Analysen von Anti-Lobby-Organisationen stammen zahlreiche Vorschläge im Omnibus von dem Wunschzettel der großen US-Tech-Konzerne. Von „Vereinfachung” und „Bürokratieabbau” zu sprechen, lenke deshalb von der Realität ab, so Macher. „In Wirklichkeit erleben wir gerade den bislang größten Rückbau von Digitalrechten in der EU. Dieses Geschenk an Big-Tech-Unternehmen ist gleichzeitig ein Einknicken vor dem Druck der US-Regierung.“

Postman, Hersteller des gleichnamigen API-Entwicklungs-Tools, führt mit Passport ein sicheres Zugangssystem für APIs ein. Es basiert nicht mehr auf Zugangsschlüsseln (API-Keys, Credentials), die jeder verwenden kann, der sie besitzt – also auch Einbrecher. Sondern es führt eine Zugangskontrolle mit individuellen Zertifikaten ein.

API-Nutzer sind dabei kryptografisch eindeutig identifiziert und bekommen Zugänge von Postman granular und kontrolliert freigeschaltet. Der private Schlüssel verbleibt jeweils beim Nutzer, sodass niemand anderes die zugehörigen Zugangsschlüssel verwenden kann. Die Zugangsprüfung findet in einem speziellen Postman-Proxy innerhalb des Kundennetzwerks statt.

Postman prüft das Zertifikat des Kunden und erteilt dauerhaften oder temporären Zugang zu API-Endpunkten. Agenten können Zugänge an Unteragenten weitergeben, aber nur kurzzeitig im zertifizierten Bereich. Unternehmensweite Access Points lassen sich ebenfalls in das System integrieren.

Ein Zugriff am Proxy vorbei ist nicht möglich. Über die Zertifikate lassen sich auch feingranulare Zugriffsmodelle auf Endpunkte umsetzen.

Immer mehr API-Aufrufe durch Agenten

Postman reagiert damit auf die zunehmende und unkontrollierte Verbreitung von API-Credentials, die oft nur in Profilen, Textdateien oder YAML-Konfigurationen vorliegen und von Entwicklern im Alltag oft schnell hin- und herkopiert werden, gerne auch über Git, MS Teams oder Slack. Während eines Einsatzes findet sich ein Schlüssel laut Postman an acht Plätzen in einem Rechner und wird so zur leichten Beute für Angreifer.

Der zunehmende Einsatz von KI-Agenten im Entwicklungszyklus von Software erhöht diese Risiken noch, da Agenten selbsttätig mit den Schlüsseln umgehen und diese eventuell in der Infrastruktur oder an Unteragenten weitergeben.

Das neue System von Postman erhöht durch den Proxy zwar den Aufwand im Unternehmen, löst aber eine Reihe von Sicherheitsproblemen.

(who)

Seit Ende Mai 2026 sind kritische Sicherheitslücken in Ubiquiti UniFi OS bekannt. Der Hersteller hat dort aktualisierte Software bereitgestellt, um die Lecks abzudichten. Das nehmen einige Admins offenbar nicht ernst, denn nun wurden Angriffe in freier Wildbahn auf die Schwachstellen beobachtet.

Davor warnt die US-amerikanische Cybersicherheitsbehörde CISA nun. Sie hat die drei kritischen Sicherheitslücken im Ubiquiti-Betriebssystem in den „Known Exploited Vulnerabilities“-Katalog aufgenommen, was heißt, dass die Behörde Kenntnis von darüber attackierten Installationen hat. Es handelt sich gleich um drei kritische Sicherheitslücken in Ubiquiti UniFi OS, die nun angegriffen werden.

Drei kritische Sicherheitslücken

Angreifer mit Zugriff auf das Netzwerk können etwa an einer unzureichenden Zugriffskontrolle von UniFi-OS-Geräten ansetzen und unbefugt Änderungen daran vornehmen (CVE-2026-34908, CVSS 10.0, Risiko „kritisch“). Eine Path-Traversal-Schwachstelle ermöglicht bösartigen Akteuren zudem, auf Dateien aus dem zugrundeliegenden Betriebssystem zuzugreifen und diese zu manipulieren, um so Zugriff auf das Konto im System zu erlangen (CVE-2026-34909, CVSS 10.0, Risiko „kritisch“). Angreifer können zudem eine unzureichende Eingabevalidierung ausnutzen, um Befehle einzuschleusen (CVE-2026-34910, CVSS 10.0, Risiko „kritisch“).

Die Sicherheitsmitteilung von Ubiquiti weist noch keine Informationen zu den beobachteten Angriffen aus. IT-Verantwortliche sollten prüfen, ob ihre Ubiquiti-UniFi-OS-Instanzen bereits auf Version 5.1.12 oder neuer respektive Version 5.0.8 für UniFi OS Server aktualisiert wurden oder ob das Update noch fällig ist – und dieses gegebenenfalls umgehend installieren. Die CISA nennt keine Details zu den Angriffen, sodass Art und Umfang unbekannt bleiben. Es gibt daher auch keine Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOC), mit denen Admins die Systeme auf Einbruchsspuren untersuchen könnten.

Die CISA warnt noch vor einer weiteren angegriffenen Schwachstelle in Lantronix EDS5000. Das HTTP-RPC-Modul protokolliert mittels Shell-Befehlen mit, wenn Login-Anfragen fehlschlagen. Durch den Nutzernamen-Parameter können Angreifer Befehle einschleusen, die mit root-Rechten ausgeführt werden (CVE-2025-67038, CVSS 9.8, Risiko „kritisch“). Betroffen ist die Version EDS5000 2.1.0.0R3, wer die Server einsetzt, sollte nach Aktualisierungen Ausschau halten und diese installieren.

(dmk)