Was sind Metadaten in der Kommunikation – und was geben sie preis?

Autor: Franziska Kliemann
Veröffentlicht am 25. April 2019

Spätestens seit den Snowden-Enthüllungen ist die möglichst sichere Verschlüsselung von Nachrichten in vielen Bereichen zu einer Selbstverständlichkeit geworden – das gilt eingeschränkt für den E-Mail-Verkehr und vollumfänglich für zahlreiche Messenger-Dienste. Doch während sich Inhalte wie Nachrichten, Fotos und Dokumente recht einfach verschlüsseln lassen, können oft noch die Metadaten zu den Kommunikationsabläufen ausgelesen werden. Sie ermöglichen sehr genaue Rückschlüsse zu den betreffenden Personen und können in den falschen Händen ebenso ein Risiko darstellen wie die Inhalte selbst.

Aber was genau sind Metadaten eigentlich, was verraten sie und welche Risiken können daraus in der Unternehmenskommunikation entstehen? Ein Einblick:

Inhalt:

Was sind Metadaten?

„Metadaten oder Metainformationen sind strukturierte Daten, die Informationen über Merkmale anderer Daten enthalten.“

(Wikipedia, Stand: 04.04.2019)

Im Grunde bilden Metadaten all jene Informationen ab, die nicht im eigentlichen Inhalt eines Mediums erfasst sind. Bei einer Datei sind das unter anderem jene Merkmale, die sich über „Eigenschaften“ abrufen lassen: Größe der Datei, Ablageort, Zeitpunkt der Erstellung, Zeitpunkt der letzten Änderung etc. Bei Werken wie Büchern und CDs bilden sie das ab, was zumeist an Katalogdaten erfasst wird: Urheber, Verlag/Label, Veröffentlichungsjahr etc. Zusammengefasst geben uns Metadaten also die Möglichkeit, ein Medium im weitesten Sinne einzuordnen – wodurch auch Rückschlüsse auf den Inhalt und darüber hinaus denkbar sind.

Metadaten in der Kommunikation

In der Kommunikation sind Metadaten im Grunde alles, was über den eigentlichen Inhalt des Gesprächs hinaus erfassbar ist: Wer mit wem kommuniziert und zu welchem Zeitpunkt, die Standortdaten der Gesprächspartner, Zeitintervalle der Gespräche und auch wie häufig miteinander kommuniziert wird. 

Allein aus Verbindungsdaten lässt sich dabei schon sehr viel herauslesen, beginnend damit, wo sich eine Person häufiger aufhält und mit wem sie kommuniziert. Letzteres lässt dann wiederum Rückschlüsse darauf zu, welche Bedürfnisse oder Probleme die betreffende Person hat – beispielsweise, wenn sie eine Hotline kontaktiert, einen Facharzt oder anderweitige Stellen mit thematischem Bezug. Darüber hinaus kann auf lange Sicht das soziale Umfeld der Person erfasst werden, ebenso wie die Hierarchie innerhalb eines Unternehmens, wenn nur ausreichend Metadaten miteinander verbunden werden. Verknüpft man diese Erkenntnisse dann womöglich noch mit Informationen, die sich über Websites und soziale Netzwerke wie Facebook, Instagram und LinkedIn ermitteln lassen, steht ein gewaltiger Informationsschatz zur Verfügung. Plötzlich sind Dritte in der Lage, ein erschreckend genaues Persönlichkeitsprofil zu erstellen und davon ausgehend auch Schwachstellen beispielsweise für Hacking-Angriffe auszumachen. Und das alles, obwohl die Inhalte der abgefangenen Kommunikation sicher verschlüsselt sind.

Im Unternehmenskontext können die Meta-Daten Ihrem Dienstanbieter darüber hinaus verraten, wer Ihre Kunden sind, mit welchen Partnern Sie zusammenarbeiten und welche Personen in Ihren Teams Schlüsselrollen einnehmen.

Wer hat Zugriff auf die Metadaten?

Zuallererst werden Metadaten natürlich vom Anbieter des jeweiligen Kommunikationsdienstes erhoben, der sie beispielsweise nutzt, um seinen Service zu optimieren. Ebenso kann er sie aber auch verwenden, um seine Leistungen besser verkaufen zu können – zum Beispiel über personalisierte Werbung. Oder Daten werden gar an andere Dienste weitergegeben, weswegen es umso wichtiger ist, auf möglichst vertrauenswürdige Anbieter zu setzen und die Geschäftsbedingungen vorab eingängig zu prüfen.

Darüber hinaus sammeln und speichern auch Nachrichtendienste wie die NSA Metadaten für ihre Zwecke. Ebenso können Hacker an diese Daten gelangen – mitunter sogar sehr leicht wie bei der Kommunikation per E-Mail – und so Angriffe ganz gezielt auf die gewünschte Person abstimmen.

Bestehen Risiken für Unternehmen & Einzelpersonen?

Wie groß das Risiko eines Missbrauchs von Metadaten ist, hängt immer vom Einzelfall ab. Das Potenzial ist aber grundsätzlich sehr hoch, denn immerhin geben die Daten bei entsprechender Analyse wertvolle Informationen preis. So kann ein sozialer Graph erstellt werden, um die betreffende Person gezielt zu beeinflussen – häufig über personalisierte Werbung. Doch auch Hacker und andere Angreifer können so viel schneller eine gefährliche Vertrauensbasis aufbauen. Über Einzelpersonen kommen sie dann leicht an vertrauliche Daten des zugehörigen Unternehmens.

Verfügt ein Unternehmen oder eine Organisation über ausreichend Datensätze, ist gar eine Massenbeeinflussung denkbar, die weitreichende politische Folgen haben kann. Ebenso lassen sich aus den Meta-Daten wertvolle Insider-Informationen ableiten – gerade wenn die Meta-Daten verschiedener Kunden über Algorithmen miteinander abgeglichen werden: Kommt es beispielsweise zu Überschneidungen bei den Geodaten zweier Geschäftsführer, lässt sich in Verknüpfung mit weiteren Informationen über die betreffenden Personen rückschließen, ob es sich hier um einen privaten Kontakt handelt oder sich möglicherweise eine Geschäftsbeziehung anbahnt. Im größeren Kontext sind so auch weitreichende Übernahmen vorhersagbar, selbst wenn sie noch so vertraulich behandelt werden. Es ist also sinnvoll, gerade bei wichtigen Geschäften immer im Auge zu behalten, welche Informationen über Metadaten nach außen dringen können.

Was allein die Geodaten einer Person in Kombination mit öffentlich zugänglichen Informationen im Netz verraten, zeigt das Beispiel des Grünen-Politikers Malte Spitz. Vor dem Hintergrund der Vorratsdatenspeicherung ist ein halbes Jahr seines Lebens auf diese Weise erschreckend präzise zusammengefasst.

Wie verhalte ich mich mit diesem Wissen?

Dass Metadaten an vielen Stellen erhoben werden, lässt sich zwar nur bedingt vermeiden, aber gerade bei der Auswahl des passenden Kommunikationsanbieters sollten Sie vorab einige Fragen klären: Welche Daten werden gespeichert und vor allem für wie lange? Ist das wirklich notwendig, um die einwandfreie Funktionalität des Dienstes zu erhalten, oder werden die Daten für andere Zwecke verwendet? Grundsätzlich gilt: Wenn Sie eine Dienstleistung nicht mit Geld bezahlen, zahlen Sie in der Regel mit Ihren Daten. Ob es das wirklich wert ist, sollten Sie sich genau überlegen.

Generell spielt auch Bewusstsein eine große Rolle. Wenn Sie sich regelmäßig vor Augen führen, was andere über Sie wissen könnten, sind Sie aufmerksamer und damit weniger anfällig für gezielte Angriffe. Lesen Sie regelmäßig Fachartikel rund um das Thema, um auf dem Laufenden zu bleiben – und reden Sie im Team miteinander. Denn dann sind immer alle auf dem aktuellen Stand.