Profiling – Was Metadaten verraten

Metadaten können hoch sensibel sein. In nicht wenigen Fällen erlauben sie die Identifizierung einer Person und Analyse derer Verhaltensweisen. Auch Unternehmen können so durchleuchtet werden.

Metadaten haben es in sich: sie enthalten Informationen über Merkmale anderer Daten, aber nicht die entsprechenden Daten selbst. So enthalten die Metadaten von Mails bspw. Absender, Empfänger, Uhrzeit und Betreff – nicht aber den Inhalt der jeweiligen Nachricht.

Metadaten – alles halb so wild?

Was sich zunächst harmlos anhören mag ist tatsächlich brisant. Aus Metadaten lassen sich sehr umfangreiche Profile einer Person erstellen: Geschlecht, Alter, Gesundheitszustand, soziales Netzwerk, finanzielle Situation und Kaufkraft, politische, religiöse und weltanschauliche Ansichten, Beruf, Wohnort und Bewegungsmuster sowie dergleichen mehr. Dabei sind oftmals keine weiteren oder zusätzlich nur öffentlich zugängliche Informationen notwendig. Wer ein umfassendes Profil erstellen will, der braucht weder außergewöhnliche Technik noch komplexe Software.

Das „Siedsma-Experiment“ – Metadaten verraten de facto alles

Einige Experimente haben dies in jüngster Vergangenheit bestätigt. Erwähnenswert ist das Experiment der Universität Gent, in dem die gesammelten Metadaten einer Woche des niederländischen Bürgerrechtsanwalts Ton Siedsma (der sich hierzu freiwillig bereit erklärte) erhoben, gespeichert und ausgewertet wurden. Mittels dieser Daten konnte nach nur einer Woche ein umfangreiches Profil des Anwalts erstellt werden:

Berufsleben

Die Forscher konnten das Alter und den Bildungsstand ermitteln. Durch die Metadaten der Mails erfuhren sie, wo und für wen (die Bürgerrechtsorganisation „Bits of Freedom“) Siedsma arbeitet, wann er dies tut und welche öffentlichen Verkehrsmittel er für seinen Arbeitsweg nutzt. Kurz gesagt: es wurde nicht nur sein Arbeitstag erfasst, sondern auch sein Arbeitsverhalten – denn zuhause arbeitete der Anwalt noch bis spät in die Nacht weiter. Auch die beruflichen Kontakte, u.a. Politiker und Ministeriumsbeamte, ließen sich so ermitteln. Zudem ließ sich ermitteln, welche Position er innerhalb der Organisationshierarchie einnimmt und wie gut er in das Informationsnetzwerk eingebunden ist.

Privatleben

Neben der Arbeit wurde auch das Privatleben durchleuchtet: die Metadaten des Browsers enthielten die besuchten Websites und Suchanfragen von z.B. Google. Daraus ließen sich Hobbies, Kaufkraft, sportliche Aktivitäten (und damit zumindest indirekt der Gesundheitszustand) und hauptsächlich genutzte Informationsquellen – sowie die Themenschwerpunkte, auch seiner Arbeit und persönlichen Interessen – ermitteln.

Durch die Metadaten der drei genutzten Email-Konten wurde das soziale Netzwerk rekonstruiert – Arbeitskollegen, Verwandte, Freunde und Familie (hierbei sogar Studiengang und Studienfortschritt einer Schwester). Auch die politische Einstellung und die Partei, mit der er vermutlich sympathisiert, gaben die Metadaten der Emailkonten preis. Mittels einer profanen Verhaltensanalyse – seiner Lieblingsmusik – und einem Datensatz geleakter Passwörter wurde das Passwort für seine Onlinekonten ermittelt: Twitter, Amazon und Google.

Durchleuchtung von Unternehmen – BYOD als Risiko

An dieser Stelle stellt sich die Frage, was diese Erkenntnisse konkret für Unternehmen bedeuten?

Mittels den oben genannten Verfahren lassen sich ebenso gezielt Mitarbeiter eines Unternehmens überwachen: vom Angestellten bis zur Unternehmensleitung. Besonders relevant sind die Analyse und die Prognose des Verhaltens. Mit der Erfassung und Analyse weltanschaulicher, religiöser und politischer sowie persönlicher Einstellungen – bspw. dem Risikoverhalten, lassen sich Aussagen zu anstehenden geschäftlichen Verhandlungen, wirtschaftlichen Unternehmensstrategien und Finanzsituationen des Unternehmens treffen. So wie beim Endverbraucher die Passwörter für seine Online-Konten ermittelt werden können, kann dies auch mit den Passwörtern für den Arbeitsplatz geschehen. Große Unternehmen oder spezialisierte KMU könnten mittels Metadaten-Analyse so das Ziel von Industriespionage werden. Auch rechtlich relevante Verstöße ließen sich so ermitteln.

Die Problematik wird verschärft, wenn im Unternehmen „bring your own device“ (BYOD) praktiziert wird. In den meisten Fällen werden hierbei private Daten und Unternehmensdaten nicht sauber getrennt. Zwar müsste bei der Metadaten-Analyse erst privates und berufliches Verhalten ermittelt werden. Ist dies aber erst einmal gemacht, lässt sich durch die Auswertung der Daten nur eines Gerätes sowohl ein persönliches als auch ein berufliches Profil erstellen, wobei für die Prognose beruflicher Handlungen die Erkenntnisse aus dem persönlichen Profil ergänzend hinzugezogen werden können.

Entwicklung steht noch am Anfang

Schon im Jahr 2014 war nach Verfassungsschutzberichten jedes zweite(!) deutsche Unternehmen einem Angriff ausgesetzt, der mit dem Ziel der Wirtschaftsspionage einherging. Ein Blick auf das „Siedsma-Experiment“ zeigt was technisch bereits jetzt ohne großen Aufwand möglich ist. Da aus Sicht der TMC Datenschutz durchaus auch bedeutet, Geschäftsgeheimnisse effektiv zu schützen, sollte die Entwicklung der Metadaten-Analyse über Unternehmen und deren Entscheidungsträger ein Thema der Compliance- und Datenschutzverantwortlichen sein, da die Nutzung von Daten als Wirtschaftsgut noch immer eher am Anfang der Entwicklung steht.