13. Oktober 2014 - Vollständig verschlüsseln

Verschlüsselung: Verräterische Metadaten nicht vergessen

Vertrauliche E-Mails sollten ihrem Schutzbedarf entsprechend verschlüsselt werden. Doch nicht nur der Inhalt und der Anhang einer E-Mail können für Dritte interessant sein, auch die sogenannten Metadaten wie Absender und Empfänger. Leider wird das häufig übersehen.

Zur E-Mail-Verschlüsselung gehören auch die Metadaten Zur E-Mail-Verschlüsselung gehören auch die Metadaten (Bild: h-komm/iStock/Thinkstock)

Metadaten: Wenn Daten über Daten sprechen

Wenn Sie sich bei einem digitalen Foto fragen, von wann die Aufnahme stammt, könnte sich ein Blick in die Dateieigenschaften der Bilddatei lohnen. Dort finden Sie oftmals Informationen über das Aufnahmedatum und sogar das genutzte Kameramodell. Wurde das Foto mit einem Smartphone erstellt, könnten sogar noch weitere Daten zu finden sein: die Positionsdaten der Kamera zum Zeitpunkt der Aufnahme. Dieses Beispiel zeigt, dass es in der Regel Daten über Dateien gibt, die die eigentlichen Daten näher beschreiben. Man spricht hier von Metadaten.

E-Mails: Auch Metadaten geben Auskunft

Bereits das Foto-Beispiel zeigt die Datenschutz-Relevanz von Metadaten. Immerhin kann ein Foto ungewollt Standortdaten übermitteln. Geschieht dies in sozialen Netzwerken, werden die Fotos teilweise sogar Orten auf einer digitalen Landkarte zugeordnet. Aus einer Reihe von Bildern kann so indirekt ein Bewegungsprofil des Fotografen entstehen.

Bei E-Mails und anderen Formen der elektronischen Kommunikation begleiten Metadaten die Nachricht und den möglichen Dateianhang. Dazu gehören die Angaben zum Absender und zum Empfänger, die sich im Kopfbereich (Header) der E-Mail befinden. Besteht eine E-Mail-Verschlüsselung, betrifft dies in der Regel nur die Nachricht und den Anhang, einige Verschlüsselungslösungen betreffen sogar nur den Anhang. Was aber in vielen Fällen ohne Schutz bleibt, das sind die Metadaten wie Absender, Empfänger und die Betreffzeile.

Metadaten liefern Hinweise zu Nutzerprofilen

Experimente und Studien zeigen, wie viele Informationen bereits in den Metadaten stecken können. Für E-Mail gibt es eine eindrucksvolle Demonstration von Immersion, die zeigt, welche Tendenzen sich alleine aus den Metadaten von E-Mails ableiten lassen. Insbesondere lassen sich Beziehungsgeflechte und die Stärke und Regelmäßigkeit von Kontakten ableiten.

Das Projekt MetaPhone zeigt ebenso eindrucksvoll, wie sich aus den Metadaten von Telefonverbindungen Profilinformationen von Nutzern generieren lassen. So lässt sich zum Beispiel aus den gewählten Nummern ableiten, ob jemand insbesondere Gesundheitsdienste, Finanzdienste oder religiöse Vereinigungen anruft. Daraus könnten sich unter Umständen Aussagen zur Gesundheit, zu den Finanzen oder zur Religion entwickeln lassen, also zu sensiblen Angaben über eine Person.

Metadaten brauchen Schutz

Moderne Verschlüsselungslösungen wie zum Beispiel spezielle Verschlüsselungs-Apps für Smartphones sorgen nicht nur für die Verschlüsselung der Inhalte, sondern schützen auch die Metadaten der Verbindungen, gleich ob es sich um Anrufe, E-Mails oder Kurztextnachrichten handelt.

Wichtig ist es aus Sicht des Datenschutzes, dass einerseits die Konsequenzen ungeschützter Metadaten verstanden und andererseits, wo möglich, auch die Metadaten vor unbefugten Analysen geschützt werden, damit nicht nur die Daten verschlüsselt werden, sondern auch die Daten über die Daten.

Die aktuelle Checkliste hilft bei der Prüfung, wie es um den Schutz von Metadaten im Unternehmen steht.


Download:


Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln