Google Ads Full Service: +49 30 920 38 34 466

Chrome Update 80 – So retten Sie Ihre Cookies

Ab dem 4. Februar 2020 rollt Google für den Browser Chrome das Update 80 aus. Wenn Sie im Marketing – oder generell – mit Cookies arbeiten, ist Ihnen dieses Update sicherlich ein Begriff. Wenn nicht, dann aufgepasst. 

Denn Google ändert grundlegende Einstellungen im Umgang mit sogenannten SameSite-Cookies. Wenn Sie (oder Ihr Webmaster) nicht auf diese Umstellung reagieren, könnten Ihre Third Party Cookies nicht mehr funktionieren. Diese Cookies werden für das Tracking über verschiedene Seiten hinweg genutzt um z.B. Remarketing im über Google Display Ads zu betreiben.

Wir zeigen Ihnen was sich genau an den SameSite-Cookie Attributen ändert und was Sie unbedingt tun sollten, damit Ihre Website genauso funktional ist, wie vor dem Update. 

Außerdem erfahren Sie, warum Google die Änderungen durchführt und wie Sie Ihre Website sonst noch auf das große Update des Browsers vorbereiten.

Das “SameSite” Attribut für Cookies

Um die Änderungen des Updates besser zu verstehen, müssen wir zuerst einmal klären, was das Attribut “SameSite” überhaupt bedeutet.

Mit dem SameSite-Attribut eines Cookies legen Sie fest, ob ein Cookie als “First-Party-Cookie” oder als “Third-Party-Cookie” genutzt wird. Mit dem neuen Chrome 80 Update können Sie Cookies mit dem SameSite-Attribute nun drei Werte zuweisen:

  • SameSite=Strict
  • SameSite=Lax
  • SameSite=None

Der Wert “SameSite=Strict” ist, wie der Name schon vermuten lässt, der strikteste Wert. Hier fungiert der Cookie als “First-Party-Cookie” und wird nur dann gesendet, wenn die URL im Browser mit der hinterlegten URL im Cookie übereinstimmt. 

Mit dem neuen Update setzt Chrome alle SameSite-Cookie Attribute standardmäßig auf den Wert “SameSite=Lax” – außer der Cookie hat bereits einen von Ihnen definierten Wert erhalten. 

“SameSite=Lax” lässt den Cookie ebenfalls nur als “First-Party-Cookie” arbeiten – also ohne Tracking für Marketingzwecke. Der Wert eignet sich dafür, wenn der Cookie bei der Weiterleitung z.B. über Links innerhalb Ihrer Website weitergegeben werden soll.

SameSite Cookie erklärt: None, Lax und Strict

Abb. 1: SameSite Attribute erklärt – None, Lax und Strict (Quelle: https://web.dev/samesite-cookies-explained/)

Beispiel – “SameSite=Strict” vs. “SameSite=Lax”

Der Login-Cookie einer Bank sollte das Attribut “SameSite=Strict” verwenden, denn der Nutzer erwartet hier, dass er sich erneut einloggen muss. “SameSite=Strict” gibt absolut keine Informationen über den Login weiter.

Bei einer weniger sensiblen Webseite erwartet der Nutzer, dass er (wenn vorher gewünscht) bereits eingeloggt bleibt, wenn er über einen Link auf die Website navigiert. Hier eignet sich das weniger strenge Attribut “SameSite=Lax”.

Sie als Betreiber einer Website sollten sich also klarmachen, welcher Wert für das SameSite Attribut an welcher Stelle überhaupt benötigt wird.

Das Attribut für’s Marketing: “SameSite=None”

Wie bereits erwähnt gibt es nun einen neuen dritten Wert, welcher für Cookies mit dem SameSite-Attribut gesetzt werden kann, nämlich “SameSite=None”. Bisher war es nicht nötig diesen Wert zu definieren. War kein Wert angegeben, hat Chrome dieses automatisch als “Third-Party-Cookie”, also für eine Weiterleitung zu anderen Websites, erkannt.

Damit ist jetzt Schluss. Wenn Sie den Cookie weiterhin als  “Third-Party-Cookie” nutzen wollen, muss nun manuell das Attribut “SameSite=None” gesetzt werden.

Aber das Attribut alleine reicht nicht aus, damit der Cookie seinen Zweck erfüllt. Wenn Sie den Cookie selber setzen, müssen Sie zusätzlich den Cookie als “sicher” markieren. Damit können nur Websites die bereits auf HTTPS migriert sind den Cookie auch auslesen – und für Ihr Marketing funktional machen.

Wie genau Sie diese Änderungen vornehmen, erfahren Sie in den Handlungsempfehlungen am Ende des Artikels. Vielleicht fragen Sie sich aber warum Google diese Änderungen durchführt?

Die Antwort: Cross-Site-Request Forgery.

Warum das Chrome 80 Update nötig ist

Cross-Site-Request Forgery

Vereinfacht gesagt ist “Cross-Site-Request-Forgery” (CSRF) eine Methode wie Dritt-Webseiten in Ihrem Namen Anfragen (Requests) an eine andere Website stellen können. 

Stellen Sie sich vor, Sie sind auf einem Social Media Kanal unterwegs und einige Ihrer Daten sind in einem Cookie gespeichert. Nun klicken Sie auf einen Link, der zu einer weiteren Website führt. Den Cookie der auf dem Social Media Kanal gesetzt wurde nehmen Sie anschließend auf die neue Website mit, da Ihr Browser diesen Cookie speichert. 

Angenommen es gibt keine Sicherheitsmaßnahmen und Ihr Cookie kann von der dritten Website ausgelesen werden, kann die verlinkte Website nun eine Anfrage an die vorherige Website, in dem Fall das Social Media Portal, senden. So kann die Website ohne Ihr Wissen Aktionen ausführen, oder sensible Daten auslesen. In unserem Fall wären das zum Beispiel Posts oder andere Interaktionen mit Ihrem Social Media Profil.

Die Dritt-Website hat die Anfrage “(ge)forged”, also künstlich erschaffen.

Das Problem von CSRF ist nicht neu, daher gibt es mittlerweile schon einige Sicherheitsmaßnahmen. Ein Beispiel dafür sind zufällig generierte Token-Codes, die es der Dritt-Website nicht erlauben die genaue URL zu replizieren. 

Auch Banken setzen deswegen, neben anderen Mechanismen, eine Zwei-Faktoren-Authentifizierung ein. Somit kann beispielsweise eine Überweisung nicht getätigt werden, solange nicht beide Faktoren stimmen.

Und obwohl CSRF eine relativ alte und bekannte Betrugsmethode ist, findet man auf einigen Websites im Internet immer wieder Schwachstellen. Der Grund weshalb Google mit dem neuen Chrome Update nun darauf reagiert.

Fehlende SSL-Sicherheitsverschlüsselung auf Websites

Ein weiterer Grund für die Änderungen ist, dass einige Webseitenbetreiber immer noch nicht auf das Website-Protokoll HTTPS umgestellt haben. Insbesondere für Betreiber von Online-Shops ist das Sicherheitsprotokoll ein Muss. Andernfalls könnten Nutzerdaten im Checkout-Prozess ausgelesen werden und für anderweitige Zwecke verwendet werden.

Google hat bereits in seiner Richtlinie für den sicheren Kaufprozess festgelegt, dass die Erfassung personenbezogener Daten nur über eine SSL-Verschlüsselung mit gültigem Zertifikat erfolgen darf. Jedoch kommt es vereinzelt noch vor, dass Shops diese Richtlinie missachten und unsichere Kaufprozesse anbieten.

Auch damit räumt das Google Chrome Update 80 in Zukunft auf.

Handlungsempfehlungen: So sollten Sie auf Chrome 80 reagieren

Sicherlich möchten Sie weiterhin Ihren Nutzern bestmögliche Angebote anzeigen lassen und Ihre Marketingaktivitäten nicht einschränken. Damit Ihr Tracking nach Chrome Update 80 nicht komplett zusammenbricht, haben wir für Sie diese Handlungsempfehlungen zusammengestellt.

Überprüfen Sie alle SameSite-Attribute

Da nach dem Chrome Update 80 alle Cookies mit dem SameSite-Attribut, denen Sie kein Wert zugewiesen haben, standardmäßig auf “SameSite=Lax” gesetzt werden, würde Ihr Tracking auch nicht mehr funktionieren.

Gehen Sie daher alle Ihre Cookies durch und setzen die passenden Attribute. Ganz nebenbei beschäftigen Sie sich dabei auch mit der Sinnhaftigkeit der Attribute für Ihre Cookies – ein weiterer Grundgedanke hinter den Änderungen seitens Google.

Setzen Sie Cookies, die Sie für Marketingzwecke benötigen auf “SameSite=None; Secure”. Für alle weiteren SameSite-Cookies müssen Sie zwischen “Strict” und “Lax” entscheiden. 

Überprüfen Sie die Secure Flags Ihrer Cookies

Das neue Attribut “SameSite=None” ist nur wirksam, wenn dazu die Markierung “sicher” deklariert wird. Vielleicht haben Sie es beim vorangegangenen Beispiel schon bemerkt, als wir Ihnen zum “SameSite=None; Secure” Attribut für Ihr Marketing geraten haben.

Schauen Sie bei der Vergabe der Werte also auch darauf, dass alle “SameSite=None” Cookies den entsprechenden Zusatz “secure” bekommen. Ohne diesen Zusatz funktioniert Ihr Cookie nicht – und Sie gehen leer aus. Natürlich ist dies nur für die Cookies notwendig, die Sie selbst setzen. Wird das Secure Flag von einer anderen Website gesetzt, ist es nicht nötig, dass Sie die zusätzliche Sicherheitsmarkierung angeben.

Migrieren Sie Ihre Website auf HTTPS

Eine wirklich dringende Empfehlung ist die Migration Ihrer Website auf HTTPS. Die “SameSite=None; Secure” Cookies funktionieren nur, wenn sie an eine sichere Website – also mit SSL-Verschlüsselung – gesendet werden. 

Wenn Sie einen Online-Shop betreiben, dann ist HTTPS für Sie bereits Pflicht. Denn ohne Verschlüsselung können personenbezogene Daten ausgelesen werden und missbraucht werden. Ein unsichere Verbindung würde ebenfalls gegen die Google Richtlinie für sichere Kaufprozesse verstoßen. 

Ganz nebenbei bietet eine Website mit HTTPS noch einen weiteren Vorteil. In den Suchergebnissen bevorzugt das Google Ranking jene Websites mit dem Sicherheitsprotokoll. Und auch der Performance Ihrer Google Ads Werbeanzeigen kommt eine sichere Verbindung zu Gute. 

Teilen Sie Ihre “First-Party” und “Third-Party” Cookies

In einigen Fällen wurden nicht-definierte Cookies sowohl als “First-Party-Cookie” sowie “Third-Party-Cookie” eingesetzt. Um die Sicherheitsvorteile eines First-Party-Cookies nun weiterhin zu behalten und an anderer Stelle noch die Marketingfunktionen aufrecht zu erhalten, empfehlen wir die Trennung des Cookies.

Setzen Sie also einen Cookie auf “SameSite=Lax” oder “SameSite=Strict” und einen anderen auf “SameSite=None; Secure” um in den Genuss beider Welten zu kommen.

Ausblick und Fazit

Das Chrome Update 80 wird nicht der Untergang des Marketing Cookies sein, zumal Google sich mit drastischen Änderungen selbst ein Bein stellen würde.

Es ist zu begrüßen, dass die Privatsphäre von Nutzern in den Fokus rückt und mit den Änderungen weiter gestärkt wird. Dies ist auch im Sinne jedes Werbetreibenden, denn Vertrauen ist für jeden Kunden enorm wichtig.

Wichtig ist nun, dass Sie Ihre Website einmal komplett durchleuchten und auf die Änderungen reagieren. Denn auch in Zukunft werden Änderungen eher in Richtung von strengeren Cookie Richtlinien gehen. Strukturieren Sie daher jetzt schon Ihre Cookies und überlegen sich, an welchen Stellen die gegebenen Attribute wichtig sind.

Zum Zeitpunkt der Implementierung des “SameSite=None; Secure” Attributs müssen Sie sich dennoch auf Komplikationen einstellen. Denn mit einigen Browser- und Web-Anwendungen kann es anfangs zu Problemen kommen. Allerdings haben Mozilla und Microsoft für die Browser FireFox und Edge bereits angekündigt, das neue Attribut auch in den eigenen Quellcode mit aufzunehmen.

Wenn Sie sich unsicher sind, ob Ihre Google Ads Anzeigen noch so funktionieren wie vor dem großen Chrome Update, dann kontaktieren Sie uns gerne. 

Wir beraten Sie gerne zu Ihrem Konto und bieten Ihnen unsere Hilfe an.

Auch auf Ihre Kommentare freuen wir uns – wie reagieren Sie auf das Update und die verschärften Richtlinien?

Lust auf noch mehr Cookies? Jetzt den Podcast zum Artikel hören!