30.09.2021 – Kategorie: Technologie

Metadaten: Wie sich dadurch Messenger-Dienste absichern lassen

Metadaten Dokumentenaufbewahrung – datenschutzkonform, verschlüsselt & rechtssicherQuelle: ZinetroN/shutterstock
Krimi-Fans kennen die Szene aus vielen Filmen: Tatverdächtige werden mit der Rückverfolgung von Telefongesprächen überführt. Die Ermittler nutzen dafür Metadaten, die darüber Auskunft geben, wer wann mit wem kommuniziert. Warum…

Metadaten sind strukturierte Daten, die andere Daten beschreiben – gewissermaßen Daten über Daten. Sie enthalten wichtige Informationen über Webseiten oder auch Bilder sowie Videos, darunter den Ort und den Zeitpunkt einer Aufnahme. Metadaten kommen beispielsweise auch in der Softwareentwicklung zum Einsatz. Dort können sie verschiedene Verarbeitungsregeln und Programmieranweisungen beschreiben, mit denen wiederum komplexere Anwendungen realisiert werden. Beim Beispiel der Telefonnutzung beschreiben Metadaten, wer wann mit wem kommuniziert hat. Wichtig ist dabei: Sie allein liefern keine Hinweise zu den ausgetauschten Inhalten.

Kein Schutz durch Ende-zu-Ende-Verschlüsselung

Je nachdem, um welchen Anwendungsbereich es geht, kann es durchaus sinnvoll sein, Metadaten zu erfassen. Im Falle von Messaging-Diensten sichern sie unter anderem die Funktionsweise ab. Viele gehen daher davon aus, dass die Dienste sich in einem ähnlichen Maß verschlüsseln und somit schützen lassen wie die Nachrichteninhalte selbst. Dies ist allerdings oftmals ein Trugschluss, da die häufig genutzte Ende-zu-Ende-Verschlüsselung Metadaten nicht abdeckt. Daher können sowohl Messaging-Anbieter als auch in manchen Fällen Dritte diese auslesen und analysieren.

Solche Analysen lassen sich vielfältig interpretieren, wie beispielsweise zum Rekonstruieren von Freundes- und Bekanntenkreisen. Es lassen sich auch Tagesabläufe nachvollziehen. Der Zeitpunkt der ersten verschickten Nachricht eines Tages gibt Aufschluss über den Zeitpunkt des Aufstehens. Meldet sich ein Messenger von Montag bis Freitag über die IP-Adresse ein und desselben Unternehmens, ist dies mit ziemlicher Sicherheit der Arbeitgeber. Dies ist keine Schwarzmalerei, sondern mit wissenschaftlicher Evidenz belegt: In einer Untersuchung haben Ulmer Forscher allein aus dem Anwesenheitsstatus bei WhatsApp Tagesabläufe inklusive Abweichungen rekonstruiert und gleichzeitig offengelegt, wer zu welchem Zeitpunkt mit wem in Kontakt war.

Die offensichtliche Frage dabei: Wie lassen sich solche Rückschlüsse von vornherein verhindern? Gewisse Eckdaten im Chat-Nachrichtenverkehr sind unerlässlich. Dazu gehören Absender, Empfänger und die Zeitpunkte für Versand und Empfang. Kann hier auf Metadaten verzichtet werden? Nein, allerdings lässt sich die Anzahl an Metadaten reduzieren. Des Weiteren können sowohl der Zugriff auf sie begrenzt als auch die Kombination mit anderen (Meta-)Daten verhindert werden.

Ansätze für den Schutz von Metadaten

Ansätze, Metadaten zu schützen, existieren einige. An erster Stelle sei hier „Sealed Sending“ genannt. Nachrichten können hierbei versandt werden, ohne dass der Absender klar identifiziert werden kann – praktisch ein digitales Äquivalent zum Brief mit einer leeren Absenderadresse. Auch bei dieser Methode können jedoch unter gewissen Umständen Metadaten ausgelesen werden – Rückschlüsse zur Person sind also nicht komplett ausgeschlossen. Wird die IP-Adresse ausgelesen, kann nachvollzogen werden, wer mit wem kommuniziert. Ein Beispiel: Verschickt IP 1 5.372 Bytes an einen Messenger-Server und dieser leitet direkt am Anschluss 5.372 Bytes an IP 2 weiter, ist es sehr wahrscheinlich, dass IP 1 mit IP 2 in Kontakt steht.

Doch IP-Adressen sind nicht nur aus diesem Grund problematisch. Sie können darüber hinaus häufig einem festen geografischen Gebiet zugeordnet werden und somit den potenziellen Aufenthaltsort in gewissem Maße beschränken. Messenger-Dienste geben diese Informationen dem Anbieter weiter – eventuell auch Dienstleistern.

Wenn der durch „Sealed Sending“ hergestellte Schutz der Metadaten nicht ausreicht, können weitere Maßnahmen ergriffen werden. Darunter zählen Messenger-Dienste, die beim Nachrichtenaustausch die involvierten IP-Adresse anonymisieren. Doch auch diese Variante birgt keine absolute Sicherheit, sondern beeinträchtigt die User Experience stattdessen negativ. Der Grund? Um miteinander zu kommunizieren, müssen bei dieser Methode sowohl der Absender als auch der Empfänger gleichzeitig online sein.

Der Schlüssel: Shredding von Metadaten

Sollen weder Inhalte noch Metadaten erkannt werden, ist das sogenannte Metadaten-Shredding zu empfehlen. Diese Vorgehensweise schützt durch das Mischen von Metadaten in „Anonymitäts-Sets“ und macht diese unkenntlich. Folglich können Diensteanbieter und Dritte weder Aktivitätsmuster analysieren noch Sender mit den jeweiligen Empfängern in Verbindung setzen.

Auf diese Weise wird die Privatsphäre von Sender und Empfänger vollumfänglich geschützt. Rückschlüsse über die jeweiligen Personen sind durch die Anonymitäts-Sets nicht mehr möglich. Bisher implementieren Anbieter dieses Konzept hauptsächlich bei Messenger-Diensten. Potenzielle zukünftige Anwendungsszenarien können darüber hinaus Bezahlsysteme sein. In jedem Fall hat diese Technologie das Potenzial, Rückschlüsse über Metadaten endgültig zu verhindern.

Lesen Sie auch: Data Automation bei der Dokumentation: Höhere Agilität für Datenarchitekturen

Metadaten XX Network
William Carter ist CTO bei xx network.

Über den Autor: William Carter ist CTO bei xx network. Er arbeitet seit 2013 für das Unternehmen und leitete die Entwicklung von xx Consensus. Außerdem ist er verantwortlich für den Launch von xx Quantum-sicherer Blockchain. Zuvor leitete er Ingenieursprojekte für Kunden wie Raytheon oder die Air Force bei der Parsons Corporation.


Teilen Sie die Meldung „Metadaten: Wie sich dadurch Messenger-Dienste absichern lassen“ mit Ihren Kontakten:

Scroll to Top