Risiken von Metadaten - und wie Sie diese mit imperia CMS schützen

Die Suche nach bestimmten E-Mails, Datenordnern oder Bildmaterial, das zu einem bestimmten Zeitpunkt aufgenommen wurde: Für diese Such- und Kategorisierungsprozesse werden Metadaten benötigt. Metadaten sind deshalb ein essenzieller Teil des eigenen Datenmanagements und erleichtern dieses durch die Fülle ihrer vielschichtigen Informationen über die Daten selbst. Metadaten stellen strukturierte Informationen, etwa zum verwendeten Dateiformat, dem Erstellungszeitpunkt oder auch dem Autor bzw. Urheber von Daten bereit und werden, meist auf den ersten Blick nicht sichtbar, mit in die Dateien geschrieben.

Auch außerhalb der expliziten Datenverwaltung sind Metadaten allgegenwärtig. Fotos auf dem eigenen Smartphone oder der Kamera enthalten automatisch Daten wie Aufnahmezeitpunkt, Geodaten oder entsprechende Kameraeinstellungen. Auch im E-Commerce zählen Kaufhistorie und -verhalten zu den wichtigsten Parametern für personalisierte Werbeanzeigen. Selbst moderne Suchmaschinen wie Google sind auf Metadaten angewiesen, um standortbezogene und relevante Suchergebnisse zu liefern.

Im Zuge der Digitalisierung gewinnt das Thema Metadaten nun zusätzlich an Fahrt. Stichwort Big Data: Daten fallen zunehmend in immer größeren Mengen und in immer vielfältigeren Formaten an. Ohne den Einsatz von Metadaten lässt sich eine solche Datenflut nicht mehr organisieren. Auch Streaming-Dienste und soziale Netzwerke arbeiten verstärkt mit Metadaten, um persönlichere und nahbare Nutzererfahrungen zu generieren. Gleichzeitig stellt sich damit vermehrt die Frage, inwiefern Metadaten selbst ein Sicherheitsrisiko darstellen können, gerade hinsichtlich der Einhaltung von Datenschutzvorgaben (z.B. DSGVO). 

Metadaten können nach verschiedenen Kategorien unterschieden werden, wie zum Beispiel:

Deskriptive Metadaten
Sie beschreiben den Inhalt einer Ressource bzw. Datei und helfen dem Benutzer, diese besser zu identifizieren und auszuwählen. Typische Beispiele sind: Titel, Autor, Zusammenfassung, Themen, Sprache, Datum, Genre, Quelle, Format, Verlag.

Strukturelle Metadaten
Sie beschreiben die Organisation einer Ressource bzw. Datei, wie zum Beispiel Kapitel, Abschnitte, Seitenzahlen, Diagramme und Grafiken, sowie Verweise und Hyperlinks.

Administrative Metadaten
Sie beschreiben den Zustand einer Ressource bzw. einer Datei. Typische Beispiele sind: Dateiformate, Dateigrößen, Erstellungsdatum, Eigentumsrechte, Zugriffsrechte, Lizenzrechte/Urheberrechtsinformationen, Informationen zur Wederherstellung (Backup), Speicherort

Rechte- und Nutzungsbedingungen
Sie stellen wichtige Aspekte von Metadaten dar, die angeben, wie eine Ressource bzw. Datei verwendet werden kann und welche Einschränkungen es gibt. Typische Beispiele sind: Copyright, Creative Commons, urheberrechtliche Einschränkungen, Patente, Marken, Datenschutz, geistige Eigentumsrechte, Lizenzbedingungen, Informationen zur freien Nutzung

Kontextinformationen bzw. ergänzende Metadaten
Sie beinhalten Informationen über die Benutzer oder Kunden, die mit der Ressource oder der Datei im Zusammenhang stehen. Sie werden hauptsächlich dafür verwendet, um personalisierte Empfehlungen oder Suchergebnisse zu generieren, die auf den Vorlieben oder dem Verhalten des Benutzers basieren. Typische Beispiele sind: Name, E-Mail-Adresse, Geschlecht, Alter, Standort bzw. GPS-Koordinaten, verwendete Geräte und Technologien, Transaktionsdaten (z.B. Bestellnummer, Zahlungsarten, etc.)

Jetzt kostenlosen Newsletter abonnieren und keinen Blogbeitrag mehr verpassen!

Metadaten können in verschiedenen Formaten gespeichert werden, je nach Art der Anwendung und Zweckmäßigkeit: Typische Formate sind:

EXIF (Exchangable Image File Format): Für Metadaten von digitalen Bildern
IPTC (International Press Telecommunication Council): Für Metadaten von Bildern, die in der Presse verwendet werden
ID3: Für Metadaten von Musikdateien wie MP3s
Dublin Core: Für allgemeine Metadaten wie Titel, Autor und Veröffentlichungsdatum von Dokumenten
XML (Extensible Markup Language): Für strukturierte Metadaten von Webinhalten
JSON (JavaScript Object Notation): Für strukturierte Metadaten in Webanwendungen und APIs
RDF (Resource Description Framework): Für semantische Metadaten (beinhalten Informationen über die Bedeutung und die Beziehungen zwischen Daten) von Webinhalten und anderen Dokumenten
PDF (Portable Document Format): Für Metadaten von PDF-Dokumenten

Wenn das Metadatenaufkommen weiterwächst und Formatstandards dabei helfen diese Daten auszulesen und zu nutzen, können sich Metadaten zu einem enormen Sicherheitsrisiko für Fotografen, Redaktionen und sogar für Privatpersonen entwickeln, die als Teil eines Unternehmens beruflich mit dem Datenmanagement betraut sind.

Eine im März 2018 veröffentlichte Studie mit dem Titel „You are your Metadata: Identification and Obfuscation of Social Media Users using Metadata Information“ analysierte Metadaten aus tausenden, typischerweise 140 Zeichen umfassenden Twitter-Feeds. Das Ergebnis: 144 Datenfelder, die den Twitter-Nutzern nicht bekannt sind, werden dabei ebenfalls ausgefüllt. Anhand dieser Datenfelder waren Forscher in der Lage jeden der rund 10.000 analysierten Nutzer mit einer Genauigkeit von 96,7% eindeutig zu identifizieren. Die viel beschworene Anonymität, auf die sich etwa auch politisch engagierte Journalistinnen und Journalisten bei ihrer Arbeit verlassen, ist damit kein zuverlässiger Datenschutz. Das gilt gleichermaßen für Privatpersonen, die beispielsweise Instant-Messaging Dienste wie „WhatsApp“ nutzen. Schon 2014 konnte ein Forscherteam der Universität Ulm in einer populären Studie nachweisen, dass die erfassten Metadaten-Informationen ausreichen, um die Nutzungsdauer der App präzise nachverfolgen zu können.

Bedenkt man nun, wie vernetzt die Nutzung von sensiblen Plattformen wie Online-Banking und Co. mittlerweile stattfindet, ergeben sich eine Reihe von denkbaren Bedrohungsszenarien:

1. Offenlegung von persönlichen Informationen
Werden durch Metadaten GPS-Informationen erfasst, können Angreifer in Kombination mit ebenfalls ausgelesenen Namen und Zeiterfassungen weitere Rückschlüsse auf persönliche Informationen ziehen und so etwa Identitätsdiebstahl betreiben.

2. Standortbasierte Angriffe
Die Rekonstruktion von physischen Bewegungsmustern wird zwar auch von Sicherheitsbehörden angewendet, um Straftaten besser aufklären zu können. Sie kann jedoch auch von Nichtbefugten zur Verfolgung von Privatpersonen genutzt werden, wodurch ein hohes persönliches Risiko entsteht.

3. Vulnerable IT-Strukturen  
In Metadaten können auch Angaben zu der Art der verwendeten digitalen Geräte, Betriebssysteme und Software-Versionen enthalten sein. So können Schwachstellen identifiziert werden, die gezielte Angriffe ermöglichen.

Es gibt verschiedene Möglichkeiten, den Schutz von Metadaten zu verbessern, insbesondere innerhalb von Unternehmen. Eine denkbare Maßnahme ist die Festlegung entsprechender Richtlinien für den grundsätzlichen Umgang mit Metadaten, insbesondere bei digitalen Dateien wie Office-Dokumenten oder Bildern, die das Unternehmen verlassen. Bei der Speicherung von Office-Dokumenten in Microsoft ist es etwa möglich, direkt zu überprüfen und einzustellen, welche Metadaten vorhanden sind. Microsoft Office kann vorhandene Metadaten prüfen und den Nutzern die Option geben, alle persönlichen Informationen zu entfernen, um so den Schutz der Metadaten zu gewährleisten.

Ein anderer Weg setzt auf das Vermischen von akkuraten und falschen Informationen, das sogenannte Metadaten-Shredding. Hierbei handelt es sich um eine Software-Lösung, die beispielsweise für den Versand von E-Mails oder Direktnachrichten entwickelt wurde. Beim Metadaten-Shredding werden die tatsächlichen Metadaten mit zufällig generierten Informationen vermischt. Durch diesen Prozess ist nicht mehr nachvollziehbar, welche Person zu welchem Zeitpunkt von welchem Computer eine bestimmte Nachricht verschickt hat. Wenn zusätzlich eine Ende-zu-Ende-Verschlüsselung eingesetzt wird, ist auch der Inhalt der Nachricht geschützt.

Zusammenfassend ist das Arbeiten mit Metadaten sehr effizient, gleichzeitig müssen Sicherheitsrisiken vermieden werden. Richtlinien und Shredding mögen eine erste Hilfe sein, der korrekte software-seitige Umgang mit Metadaten ist jedoch eine Langzeitherausforderung. Gerade in Fällen, in denen festgelegte Workflows mit eingespielten Arbeitsabläufen so wenig wie möglich verändert werden dürfen, ist eine integrative Lösung gefragt.

Das Metadatenmanagement in imperia CMS denkt diesen Ansatz weiter, indem es das Auslesen von Metadaten, etwa beim Bild-Upload, automatisiert und durch Upload-Templates weiter individualisiert. Bei der Verwendung von einer Vielzahl von Bildmaterialien können so ganz gezielt Datenfelder, wie zum Beispiel der Name eines Fotografen oder Autors, erfasst und auf alle entsprechenden Datenfelder angewandt werden. Unabhängig vom vorliegenden Datentyp lassen sich zudem ausgelesene Informationen transparent zu einem bestimmten Metadaten-Standard zurückverfolgen, womit ein Übersehen von hinterlegten Metadaten vermieden wird. Die Metadaten können dann für das Asset Management weiterverwendet werden, während sie aus den einzelnen Assets bei der Veröffentlichung von Inhalten gelöscht werden. Damit werden die Vorteile von Metadaten für die Content-Verwaltung genutzt und gleichzeitig alle möglicherweise sensiblen Informationen sicher entfernt.

Sie möchten das imperia CMS live erleben? Buchen Sie gerne Ihre persönliche und unverbindliche Online-Demo. Unsere Experten demonstrieren Ihnen, wie wir Ihre Anforderungen bei ähnlichen Kundenprojekten erfolgreich umgesetzt haben.