Jede Datei, die Sie erstellen, jede E-Mail, die Sie versenden, und jedes Foto, das Sie aufnehmen, erzeugt eine versteckte Informationsebene, die die meisten Benutzer nie zu Gesicht bekommen. Diese unsichtbaren Daten – Metadaten – sind zu einem der wichtigsten Elemente der modernen Cybersicherheit geworden. Für Verteidiger ermöglichen Metadaten die Erkennung von Bedrohungen, ohne auf den eigentlichen Inhalt zugreifen zu müssen. Für Angreifer sind sie eine Fundgrube für Informationen und bieten in cloud einen direkten Weg zum Diebstahl von Anmeldedaten.
Der AT&T-Hack im Jahr 2024 legte die Metadaten von Anrufen und Nachrichten von 110 Millionen Kunden offen und zeigte, dass Metadaten allein schon eine massive Verletzung der Privatsphäre darstellen können. Unterdessen zeigte die EC2-SSRF-Kampagne im März 2025, wie Angreifer systematisch Metadatendienste cloud ausnutzten, um AWS-Anmeldedaten in großem Umfang zu stehlen. Das Verständnis von Metadaten – was sie offenlegen, wie Angreifer sie ausnutzen und wie man sie schützt – ist für Sicherheitsexperten unverzichtbar geworden.
Metadaten sind Informationen, die die Merkmale, Eigenschaften, Herkunft und den Kontext anderer Daten beschreiben – im Wesentlichen „Daten über Daten“, die Struktur und Bedeutung vermitteln, ohne den eigentlichen Inhalt selbst zu enthalten. Laut NIST umfassen Metadaten sowohl strukturelle Informationen (wie Daten organisiert sind) als auch beschreibende Informationen (was Daten darstellen). In der Cybersicherheit umfassen Metadaten Dateieigenschaften, Netzwerkverkehrsattribute, E-Mail-Header und Systemprotokolle, die eine Analyse ermöglichen, ohne Inhalte offenzulegen.
Stellen Sie sich Metadaten wie einen Bibliothekskatalog vor. Der Katalog enthält Angaben zum Titel, Autor, Erscheinungsdatum, Thema und Standort jedes Buches – jedoch nicht den eigentlichen Text des Buches. In ähnlicher Weise geben die Metadaten einer E-Mail Auskunft über Absender, Empfänger, Zeitstempel, Weiterleitungsweg und Serverinformationen, ohne den Inhalt der Nachricht preiszugeben. Die Metadaten eines Fotos enthalten Angaben zum Kameramodell, zu den GPS-Koordinaten und zu den Belichtungseinstellungen, ohne das Bild selbst zu zeigen.
Warum sind Metadaten wichtig? Laut einer Studie von Fidelis Security aus dem Jahr 2024 können Unternehmen, die Metadaten effektiv analysieren, ihre Erkennungsrate von Bedrohungen um bis zu 60 % verbessern. Dennoch bleiben laut IBM 68 % der Unternehmensdaten unanalysiert – was bedeutet, dass die meisten Unternehmen wichtige Sicherheitssignale übersehen, die in ihren Metadaten verborgen sind.
Hier liegt das Paradoxon der Cybersicherheit: Dieselben Metadaten, die es Sicherheitsteams ermöglichen, Bedrohungen zu erkennen, ermöglichen es Angreifern auch, Erkundungen durchzuführen, Personen zu verfolgen und Anmeldedaten zu stehlen. Diese Doppelfunktion macht Metadaten sowohl zu einem defensiven Vorteil als auch zu einem Angriffsvektor.
Daten stellen den eigentlichen Inhalt dar – den Text eines Dokuments, Bildpixel, den Text einer E-Mail oder Datenbankdatensätze. Metadaten beschreiben diesen Inhalt, ohne ihn zu enthalten. Die Daten eines Word-Dokuments sind der von Ihnen verfasste Text; zu den Metadaten gehören der Name des Autors, das Erstellungsdatum, die Anzahl der Überarbeitungen, der Name des Unternehmens und der Dateipfad.
Tabelle 1: Vergleich zwischen Daten und Metadaten mit Auswirkungen auf die Sicherheit
Sicherheitsexperten begegnen sechs primären Metadatentypen, von denen jeder einen unterschiedlichen Wert für Ermittlungen und Abwehrmaßnahmen hat.
Strukturelle Metadaten definieren, wie Daten organisiert sind – Dateiformate, Datenbankschemata, XML-Strukturen und hierarchische Beziehungen. Für Sicherheitsteams offenbaren strukturelle Metadaten Anwendungsabhängigkeiten und Datenflussmuster. Eine fehlerhafte Dateistruktur deutet oft auf Manipulationen oder böswillige Änderungen hin.
Beschreibende Metadaten liefern für Menschen lesbaren Kontext – Titel, Autoren, Tags, Schlüsselwörter und Zusammenfassungen. In der Dokumentenforensik ermöglichen beschreibende Metadaten die Zuordnung. Das Autorenfeld eines durchgesickerten PDF-Dokuments könnte den Insider enthüllen, der es herausgeschmuggelt hat. Tags und Schlüsselwörter in Dokumenten können sensible Projektnamen offenlegen.
Administrative Metadaten regeln den Zugriff und die Verwaltung – Berechtigungen, Zugriffskontrollen, Erstellungsdaten, Änderungszeitstempel und Klassifizierungsbezeichnungen. Diese Art von Metadaten ist für die Compliance-Prüfung unerlässlich, da sie es den Sicherheitsteams ermöglicht, zu überprüfen, wer wann auf welche Daten zugegriffen hat.
Technische Metadaten erfassen Details auf Systemebene – Dateigröße, Auflösung, Codierung, Komprimierungsalgorithmen und EXIF-Daten in Bildern. Technische Metadaten geben oft mehr preis, als den Benutzern bewusst ist. EXIF-Daten in Fotos können GPS-Koordinaten, Seriennummern von Geräten und Softwareversionen enthalten.
Metadaten zur Aufbewahrung gewährleisten die Datenintegrität über einen längeren Zeitraum hinweg – Prüfsummen, Hash-Werte, digitale Signaturen und Formatmigrationsdatensätze. Sicherheitsteams verwenden Metadaten zur Aufbewahrung, um die Dateiintegrität zu überprüfen und Indikatoren für Kompromittierungen (IOCs) mit bekannten bösartigen Hashes abzugleichen.
Provenienz-Metadaten dokumentieren die Herkunft von Daten – Ursprung, Eigentumsverhältnisse, Kontrollkette und Änderungshistorie. Bei forensischen Untersuchungen lassen sich anhand von Provenienz-Metadaten feststellen, wer Daten erstellt, geändert oder übertragen hat – dies ist für Gerichtsverfahren und die Zuordnung von Vorfällen von entscheidender Bedeutung.
Tabelle 2: Metadatentypen und ihre Anwendungen im Bereich Cybersicherheit
Netzwerk-Metadaten – also die Eigenschaften der Netzwerkkommunikation und nicht deren Inhalt – gewinnen mit zunehmender Verbreitung von Verschlüsselungstechnologien immer mehr an Bedeutung. NDR-Plattformen (Network Detection and Response) analysieren diese Metadaten, um Bedrohungen zu erkennen, ohne den Datenverkehr zu entschlüsseln.
Netzwerk-Metadaten umfassen Quell- und Ziel-IP-Adressen, Portnummern, Protokolle, Paketgrößen, Zeitintervalle, Verbindungsdauer und Flussaufzeichnungen. Selbst bei verschlüsselten Nutzdaten können Sicherheitsteams Anomalien erkennen: ungewöhnliche Zielports, Verbindungen zu bekannten bösartigen IPs, abnormale Datenübertragungsvolumina oder Kommunikationsmuster, die mit Command-and-Control-Protokollen übereinstimmen.
NetFlow- und IPFIX-Datensätze aggregieren diese Metadaten in großem Umfang und ermöglichen so eine rückwirkende Analyse von Millionen von Verbindungen. Bei der Untersuchung einer Sicherheitsverletzung decken Netzwerk-Metadaten häufig laterale Bewegungen, Datenexfiltration und Persistenzmechanismen auf, die endpoint nicht erfasst werden.
E-Mail-Metadaten umfassen die Header und Routing-Informationen, die mit jeder Nachricht übertragen werden. Header geben Aufschluss über die Domain des Absenders, die IP-Adressen der Mailserver in der Routing-Kette, Zeitstempel bei jedem Hop und die Authentifizierungsergebnisse von SPF-, DKIM- und DMARC-Prüfungen.
Bei phishing deckt die Analyse von E-Mail-Headern Spoofing-Versuche auf. Eine Nachricht, die angeblich von Ihrem CEO stammt, aber von einem unbekannten Mailserver gesendet wurde – mit fehlgeschlagener SPF-Authentifizierung – ist sofort verdächtig. Bei der Untersuchung von Business Email Compromise (BEC) wird in hohem Maße auf die Analyse von Headern zurückgegriffen, um die Herkunft der Nachricht zurückzuverfolgen und kompromittierte Konten zu identifizieren.
E-Mail-Metadaten geben auch Aufschluss über die Organisationsstruktur. Durch die Analyse von CC-Mustern, Antwortketten und Verteilerlisten können Angreifer wertvolle Ziele und Vertrauensbeziehungen identifizieren, die sie ausnutzen können.
Angreifer nutzen Metadaten für Aufklärung, Verfolgung, Diebstahl von Zugangsdaten und Überwachung. Die Electronic Frontier Foundation warnt davor, dass Metadaten genauso viel über Personen verraten können wie der Inhalt selbst – manchmal sogar noch mehr.
Zu den wichtigsten Angriffsvektoren für Metadaten gehören:
Im Jahr 2012 versteckte sich der Tech-Unternehmer John McAfee vor den Behörden in Belize, als das Magazin Vice ein Interview mit ihm veröffentlichte – einschließlich eines Fotos. Dieses Foto enthielt EXIF-Metadaten mit GPS-Koordinaten, die sofort seinen Aufenthaltsort in Guatemala verrieten. Die Behörden nahmen ihn innerhalb weniger Tage fest.
Dieser Fall verdeutlicht eine grundlegende Tatsache: Selbst erfahrene Personen unterschätzen die Gefahr der Offenlegung von Metadaten. Unternehmen sind ähnlichen Risiken ausgesetzt, wenn Mitarbeiter Fotos aus sensiblen Einrichtungen teilen, Dokumente mit internen Pfaden veröffentlichen oder Dateien mit eingebetteten Standortdaten hochladen.
Die Snowflake-Kunden-Datenschutzverletzungskampagne von 2024 – die dem Bedrohungsakteur UNC5537 zugeschrieben wird – legte Metadaten von 110 Millionen AT&T-Kunden offen. Die Angreifer extrahierten Metadaten zu Anrufen und Nachrichten, darunter Telefonnummern, Anrufdauer und Mobilfunkmast-Identifikatoren.
Obwohl durch den Datenverstoß keine Gesprächsinhalte offengelegt wurden, ermöglichten allein die Metadaten die Verfolgung von Kommunikationsmustern, die Erfassung von Beziehungen und die ungefähre Geolokalisierung. Für Personen in sensiblen Positionen – Journalisten, Aktivisten, Regierungsbeamte – stellte diese Offenlegung von Metadaten ein erhebliches persönliches Risiko dar.
Der Verstoß unterstreicht, dass Metadaten personenbezogene Daten sind. Wenn ransomware und Nationalstaaten gezielt auf Metadaten abzielen, müssen Unternehmen diese genauso streng schützen wie Inhalte.
Metadaten-Dienste Cloud (IMDS) stellen den gefährlichsten Metadaten-Angriffsvektor in modernen Umgebungen dar. Alle großen cloud – AWS, Azure und GCP – stellen endpoint 169.254.169.254 einen endpoint bereit, der Instanzen mit Konfigurationsdaten und temporären Anmeldedaten versorgt.
Wenn Angreifer SSRF-Schwachstellen in Webanwendungen ausnutzen, können sie den Server dazu zwingen, diesen internen endpoint abzufragen endpoint die Antwort zurückzugeben – einschließlich IAM-Anmeldedaten, die Zugriff auf cloud gewähren. Untersuchungen zeigen einen Anstieg der SSRF-Angriffe um 452 % zwischen 2023 und 2024, wobei cloud das primäre Ziel sind.
Der Capital One-Hack von 2019 ist nach wie vor das beste Beispiel für die Ausnutzung von IMDS. Ein Angreifer nutzte eine SSRF-Sicherheitslücke in einer falsch konfigurierten Webanwendungs-Firewall aus, um den endpoint abzufragen. Die zurückgegebenen temporären Anmeldedaten ermöglichten den Zugriff auf S3-Buckets mit 106 Millionen Kundendatensätzen – der bis dahin größte Bankhack der Geschichte.
Die Sicherheitslücke hätte durch die Durchsetzung von IMDSv2 verhindert werden können, das einfache SSRF-Exploits blockiert. Doch auch Jahre später sind viele Unternehmen weiterhin anfällig.
Im März 2025 dokumentierte F5 Labs eine systematische Kampagne, die auf EC2-gehostete Websites abzielte, um AWS-Anmeldedaten über SSRF zu stehlen. Die Angreifer wechselten zwischen sechs Parameternamen (dest, file, redirect, target, URI, URL) und untersuchten vier Unterpfade, um eine maximale Abdeckung zu erreichen.
Alle Angriffe richteten sich gegen den endpoint. Organisationen, die IMDSv2 einsetzten, waren vollständig geschützt. Die Kampagne zeigt, dass Angreifer diesen bekannten Vektor weiterhin ausnutzen, da zu viele Instanzen nach wie vor falsch konfiguriert sind.
Im August 2025 hat Microsoft CVE-2025-53767 gepatcht – eine kritische SSRF-Sicherheitslücke (CVSS 10.0, maximale Schwere) in Azure OpenAI. Der Fehler ermöglichte es nicht authentifizierten Angreifern, auf Azure IMDS zuzugreifen, verwaltete Identitätstoken abzurufen und möglicherweise Mandantengrenzen zu überschreiten.
Diese Schwachstelle macht deutlich, dass selbst cloud KI-Dienste aufgrund unzureichender Eingabevalidierung Metadaten-Endpunkte offenlegen können. Cloud erfordert eine tiefgreifende Verteidigung mit mehreren Ebenen zum Schutz von Metadatendiensten.
Der entscheidende Unterschied zwischen IMDSv1 und IMDSv2 liegt in den Authentifizierungsanforderungen:
IMDSv1 ermöglicht es jedem Prozess, eine einfache GET-Anfrage an den endpoint zu senden endpoint eine Antwort zu erhalten. SSRF-Schwachstellen können dies leicht ausnutzen – die Nutzlast des Angreifers muss lediglich die Antwort einer GET-Anfrage zurückgeben.
IMDSv2 erfordert einen zweistufigen Prozess: Zunächst wird eine PUT-Anfrage mit einem TTL-Header gesendet, um ein Sitzungstoken zu erhalten. Anschließend müssen alle weiteren Anfragen dieses Token enthalten. Dadurch werden die meisten SSRF-Angriffe vereitelt, da Webanwendungen keine PUT-Anfrageantworten zurückgeben oder Sitzungstoken speichern können.
Die derzeitige Akzeptanz ist nach wie vor unzureichend. Etwa 49 % der EC2-Instanzen setzen IMDSv2 ab 2024 durch – das bedeutet, dass die Hälfte aller AWS-Instanzen weiterhin anfällig für genau denselben Angriff ist, der Capital One kompromittiert hat.
Im November 2025 kündigte Microsoft das Metadata Security Protocol (MSP) an – das branchenweit erste standardmäßig geschlossene Sicherheitsmodell für cloud . MSP erfordert HMAC-signierte Anfragen über vertrauenswürdige Delegierte und verwendet eBPF-basierte Durchsetzung auf Prozessebene.
MSP mindert SSRF-Angriffe, Hosted-on-Behalf-of (HoBo)-Umgehungen verschachtelter Mandanten und implizite Vertrauensschwachstellen innerhalb von VMs. Unternehmen, die sensible Workloads auf Azure ausführen, sollten MSP umgehend aktivieren.
Checkliste für defensive Absicherung zum Schutz des IMDS:
Die digitale Forensik stützt sich in hohem Maße auf Metadaten für die Rekonstruktion von Zeitabläufen, die Zuordnung und die Validierung von Beweisen. Laut IBM reduziert die Metadatenanalyse die Untersuchungszeit bei Sicherheitsverletzungen um bis zu 50 % – was sie für eine effiziente Reaktion auf Vorfälle unverzichtbar macht.
Die Rekonstruktion der Zeitachse erfolgt anhand von Datei-Zeitstempeln – insbesondere anhand des MACB-Modells: Modifizierungs-, Zugriffs-, Änderungs- und Erstellungszeitpunkt (Erstellungszeitpunkt). Durch die Korrelation von Zeitstempeln über Dateien, Registrierungseinträge und Protokolle hinweg erstellen die Ermittler eine genaue Abfolge der Aktivitäten des Angreifers. Diese Zeitachse zeigt die ursprünglichen Zugriffsvektoren, Persistenzmechanismen und Exfiltrationsfenster auf.
Die Zuordnung und Herkunftsbestimmung stützt sich auf Dokumenten-Metadaten, um Autoren, verwendete Software und Bearbeitungshistorie zu identifizieren. In Fällen von Diebstahl geistigen Eigentums liefern Metadaten oft die erforderlichen Beweise, um nachzuweisen, wer sensible Dokumente erstellt oder geändert hat.
Hash-Werte – MD5-, SHA-1- und SHA-256-Prüfsummen – ermöglichen den Abgleich von IOCs und die Überprüfung der Integrität. Sicherheitsteams vergleichen Datei-Hashes mit Threat-Intelligence-Feeds, um bekannte malware. Jede Hash-Diskrepanz deutet auf Manipulation hin.
Die Netzwerkforensik nutzt Flussaufzeichnungen, DNS-Abfrageprotokolle und Verbindungsmetadaten für die threat hunting , ohne dass eine vollständige Paketerfassung erforderlich ist. Dieser Ansatz lässt sich auf Unternehmensumgebungen skalieren, in denen die Speicherung aller Paketdaten unpraktisch ist.
Bevor Dokumente extern weitergegeben werden, sollten Unternehmen unnötige Metadaten entfernen, um Informationslecks zu verhindern.
Tabelle 3: Vergleich von Tools zum Entfernen von Metadaten
Für Windows-Benutzer verwaltet die integrierte Funktion „Eigenschaften und persönliche Informationen entfernen“ des Datei-Explorers grundlegende Dokument-Metadaten. macOS Preview kann GPS-Daten aus Bildern über „Extras“ > „Inspektor anzeigen“ entfernen.
Unternehmen sollten Dokumentbereinigung in Workflows zur Verhinderung von Datenverlusten (DLP) implementieren, um Metadaten automatisch zu entfernen, bevor Dateien das Netzwerk verlassen.
Eine wirksame Metadatensicherheit erfordert sowohl defensive Analysen (Verwendung von Metadaten zur Erkennung von Bedrohungen) als auch Schutzmaßnahmen (Verhinderung der Offenlegung von Metadaten).
Die Analyse von Netzwerk-Metadaten ermöglicht es NDR-Lösungen, Bedrohungen im verschlüsselten Datenverkehr ohne Entschlüsselung zu erkennen. Durch die Analyse von Flow-Datensätzen, DNS-Abfragen und HTTP-Headern identifizieren Sicherheitsteams anomale Verbindungen, Command-and-Control-Kommunikationen und Versuche der Datenexfiltration.
SIEM Korrelation aggregiert Metadaten aus Endpunkten, Netzwerkgeräten, cloud und Identitätssystemen. Korrelationsregeln erkennen Anomalien, die einzelne Protokollquellen übersehen würden – beispielsweise wenn sich ein Benutzer gleichzeitig von zwei geografischen Standorten aus authentifiziert.
Identitätsbedrohungserkennung überwacht Authentifizierungsmetadaten auf Anzeichen für Kompromittierungen: ungewöhnliche Anmeldezeiten, unmögliche Reisen, Versuche, die Multi-Faktor-Authentifizierung zu umgehen, und Muster für die Ausweitung von Berechtigungen. Angesichts der Tatsache, dass laut einer Studie von Expel aus dem Jahr 2025 68 % aller Sicherheitsvorfälle identitätsbasiert sind, ist die Überwachung von Identitätsmetadaten unerlässlich.
DLP-Richtlinien sollten ausgehende Dokumente vor der externen Übertragung auf sensible Metadaten – Namen von Autoren, interne Dateipfade, GPS-Koordinaten – überprüfen. Durch automatisierte Bereinigung werden diese Daten ohne manuellen Eingriff entfernt.
Mitarbeiterschulungen befassen sich mit dem menschlichen Faktor. Die Mitarbeiter müssen verstehen, dass Fotos, Dokumente und E-Mails versteckte Daten enthalten können. Die Schulungen sollten spezifische Risiken behandeln: das Posten von Fotos aus dem Büro mit GPS-Daten, das Weiterleiten von Dokumenten mit intakter Bearbeitungshistorie oder das Teilen von Screenshots, die sichtbare Dateipfade enthalten.
Sicherheitsteams sollten metadatenbezogene Bedrohungen auf etablierte Frameworks wie MITRE ATT&CK zuordnen, um eine konsistente Erkennung und Reaktion zu gewährleisten.
Tabelle 4: MITRE-Framework-Zuordnung für Metadatensicherheit
Regulatorische Rahmenbedingungen behandeln Metadaten zunehmend als personenbezogene Daten und verlangen von Organisationen die Implementierung geeigneter Kontrollen.
Die Durchsetzung der DSGVO-Metadaten erreichte im Juni 2025 einen Meilenstein, als die italienische Datenschutzbehörde Garante die erste DSGVO-Geldstrafe speziell für Verstöße gegen die Aufbewahrung von E-Mail-Metadaten verhängte – 50.000 Euro gegen die Regione Lombardia. Die Organisation bewahrte die E-Mail-Metadaten ihrer Mitarbeiter 90 Tage lang auf und verstieß damit gegen das Positionspapier der italienischen IDPA, das eine maximale Aufbewahrungsfrist von 21 Tagen vorschreibt.
Gemäß der DSGVO gelten Metadaten, die mit identifizierbaren Personen in Verbindung gebracht werden können, als personenbezogene Daten. Die Grundsätze gemäß Artikel 5 – Rechtmäßigkeit, Zweckbindung, Datenminimierung und Speicherbegrenzung – gelten uneingeschränkt. Organisationen, die Metadaten von Mitarbeitern zu Überwachungszwecken verarbeiten, unterliegen zusätzlichen Anforderungen gemäß Artikel 88 und den nationalen Arbeitsgesetzen.
HIPAA behandelt Metadaten als Teil der elektronisch geschützten Gesundheitsdaten (ePHI), wenn sie zur Identifizierung von Personen verwendet werden können. Auditkontrollen müssen Zugriffsmetadaten erfassen, und betroffene Einrichtungen müssen Metadaten mit denselben Sicherheitsvorkehrungen wie medizinische Unterlagen schützen.
PCI DSS erfordert Compliance -Kontrollen, einschließlich Audit-Protokollen, die Metadaten über den Zugriff auf die Karteninhaberdatenumgebung enthalten.
Tabelle 5: Regulatorische Anforderungen für Metadaten
Branchenlösungen für die Metadatensicherheit umfassen mehrere Sicherheitsbereiche, die jeweils spezifische Aspekte der Herausforderung behandeln.
Netzwerk-Erkennungs- und Reaktionsplattformen (NDR) analysieren Netzwerk-Metadaten – Datenflussaufzeichnungen, DNS-Abfragen, HTTP-Header –, um Bedrohungen zu erkennen, ohne dass eine Entschlüsselung erforderlich ist. Dieser Ansatz ist unerlässlich, da die Verschlüsselung im Unternehmensdatenverkehr mittlerweile fast 100 % erreicht. NDR-Lösungen legen Verhaltensbaselines fest und warnen bei Abweichungen, die auf eine Kompromittierung hindeuten.
Identitätsbedrohungserkennung und -reaktion (ITDR) korreliert Identitätsmetadaten aus Authentifizierungssystemen, Verzeichnisdiensten und cloud . Durch die Analyse von Anmeldemustern, Berechtigungsänderungen und Zugriffsverhalten erkennen ITDR-Plattformen Kontoübergriffe und Insider-Bedrohungen.
Cloud Posture Management (CSPM) überwacht Metadaten cloud auf Fehlkonfigurationen – darunter IMDS-Einstellungen, zu freizügige IAM-Richtlinien und exponierte Speicher-Buckets. CSPM bietet kontinuierliche Transparenz hinsichtlich Konfigurationsabweichungen, die eine Ausnutzung von Metadaten ermöglichen.
Erweiterte Erkennung und Reaktion (XDR) korreliert Metadaten über Endpunkte, Netzwerk, cloud und Identitätsoberflächen hinweg. Dieser einheitliche Ansatz ermöglicht die Erkennung von Angriffen, die sich über mehrere Domänen erstrecken – wie beispielsweise der Diebstahl von Anmeldedaten über cloud , der zu einer lateralen Bewegung über Identitätssysteme führt.
Vectra AIAttack Signal Intelligence analysiert Metadaten über Netzwerk-, cloud und Identitätsoberflächen hinweg, um das Verhalten von Angreifern statt bekannter Signaturen zu erkennen. Durch die Konzentration auf Metadatenmuster – Authentifizierungsanomalien, ungewöhnliche cloud , verdächtige Netzwerkflüsse – identifiziert die Plattform Bedrohungen im verschlüsselten Datenverkehr und korreliert Signale über Angriffsflächen hinweg.
Dieser metadatengesteuerte Ansatz befasst sich mit der grundlegenden Herausforderung der modernen Sicherheit: Angreifer agieren innerhalb verschlüsselter Kanäle und mit legitimen Anmeldedaten, wodurch eine inhaltsbasierte Erkennung unzureichend ist. Attack Signal Intelligence Sicherheitsteams echte Angriffe gegenüber Störsignalen priorisieren, wodurch die Alarmmüdigkeit reduziert und gleichzeitig komplexe Bedrohungen erkannt werden, die herkömmlichen Tools entgehen.
Metadaten sind Daten, die die Merkmale, Eigenschaften, Herkunft und den Kontext anderer Daten beschreiben – im Wesentlichen also Informationen über Informationen. Im Bereich der Cybersicherheit umfassen Metadaten Dateiattribute (Autor, Erstellungsdatum, Änderungshistorie), Eigenschaften des Netzwerkverkehrs (IP-Adressen, Ports, Protokolle), E-Mail-Header (Absender, Empfänger, Routing) und Systemprotokolle. Im Gegensatz zu Inhaltsdaten beschreiben Metadaten, was Daten sind, und nicht, was sie enthalten. Sicherheitsteams analysieren Metadaten, um Bedrohungen zu erkennen, forensische Untersuchungen durchzuführen und die Einhaltung von Vorschriften sicherzustellen – während Angreifer sie für Aufklärungszwecke und zum Diebstahl von Anmeldedaten ausnutzen.
Es gibt sechs primäre Metadatentypen: strukturelle (Datenorganisation und -format), beschreibende (für Menschen lesbarer Kontext wie Titel und Tags), administrative (Berechtigungen, Zugriffskontrollen, Zeitstempel), technische (Dateigröße, Kodierung, EXIF-Daten), Aufbewahrungs- (Prüfsummen, Hash-Werte, digitale Signaturen) und Herkunfts- (Herkunft, Eigentumsverhältnisse, Änderungshistorie) Metadaten. Jede Art dient unterschiedlichen Sicherheitszwecken. Technische Metadaten geben Auskunft über Geräteinformationen und Standorte. Metadaten zur Aufbewahrung ermöglichen die Überprüfung der Integrität. Metadaten zur Herkunft unterstützen forensische Zuordnungen und Anforderungen an die Aufbewahrungskette.
Angreifer nutzen Metadaten über verschiedene Vektoren aus. Dokument-Metadaten geben Benutzernamen, interne Dateipfade und Softwareversionen für gezieltes phishing preis. EXIF-Daten von Fotos geben GPS-Koordinaten und Geräteinformationen für die Nachverfolgung preis. E-Mail-Header enthüllen Infrastrukturdetails für die Aufklärung. Am kritischsten ist, dass Angreifer SSRF-Schwachstellen nutzen, um cloud (IMDS) abzufragen und temporäre Anmeldedaten zu stehlen, die eine laterale Bewegung ermöglichen. Bei der Capital One-Sicherheitsverletzung im Jahr 2019 wurde AWS IMDS ausgenutzt, um auf 106 Millionen Datensätze zuzugreifen. Bei der AT&T-Sicherheitsverletzung im Jahr 2024 wurden Anrufmetadaten von 110 Millionen Kunden offengelegt.
Cloud (IMDS) unter der IP-Adresse 169.254.169.254 versorgen cloud mit Konfigurationsdaten und temporären IAM-Anmeldedaten. Dieser Dienst ist für cloud unerlässlich, birgt jedoch erhebliche Risiken. Angreifer, die SSRF-Schwachstellen ausnutzen, können IMDS abfragen und Anmeldeinformationen stehlen, um sich Zugriff auf cloud zu verschaffen. AWS IMDSv2 mindert dieses Risiko, indem es Sitzungstoken erfordert, die SSRF-Angriffe nicht ohne Weiteres erhalten können. Allerdings wird dies bei etwa 49 % der EC2-Instanzen noch nicht durchgesetzt. Unternehmen müssen IMDSv2 auf AWS durchsetzen und das neue Metadata Security Protocol (MSP) von Azure aktivieren.
Verwenden Sie spezielle Tools, um Metadaten vor der externen Freigabe zu entfernen. ExifTool bietet plattformübergreifende Befehlszeilenfunktionen für Fotos und Dokumente. MAT2 bietet eine einfache Bereinigung von Metadaten unter Linux. ExifCleaner bietet eine benutzerfreundliche GUI zum Entfernen von Foto-Metadaten. Der Windows-Datei-Explorer enthält die Option „Eigenschaften und persönliche Informationen entfernen“ in den Dateieigenschaften. macOS Preview kann GPS-Daten über „Extras > Inspektor anzeigen“ entfernen. Implementieren Sie auf Unternehmensebene DLP-Richtlinien, die Dokumente automatisch bereinigen, bevor sie das Netzwerk verlassen.
Ja, wenn Metadaten mit identifizierbaren Personen in Verbindung gebracht werden können. Die italienische Datenschutzbehörde Garante verhängte im Juni 2025 die erste Geldstrafe gemäß DSGVO wegen E-Mail-Metadaten – 50.000 Euro für die Speicherung von E-Mail-Metadaten von Mitarbeitern über einen Zeitraum von 90 Tagen statt der maximal zulässigen 21 Tage. Die Grundsätze der DSGVO, darunter Datenminimierung und Speicherbegrenzung, gelten auch für die Verarbeitung von Metadaten. Unternehmen, die ihre Mitarbeiter über E-Mail- oder Web-Metadaten überwachen, unterliegen zusätzlichen Anforderungen gemäß Artikel 88 und den nationalen Arbeitsgesetzen. Für die systematische Verarbeitung von Metadaten kann eine Datenschutz-Folgenabschätzung erforderlich sein.
Sicherheitsteams analysieren Metadaten über mehrere Domänen hinweg, um Bedrohungen zu erkennen. Netzwerk-Metadaten (Flow-Datensätze, DNS-Abfragen) ermöglichen die Erkennung in verschlüsseltem Datenverkehr ohne Entschlüsselung. E-Mail-Metadaten (Header, Authentifizierungsergebnisse) identifizieren phishing Spoofing-Versuche. Identitätsmetadaten (Authentifizierungsprotokolle, Verzeichnisänderungen) decken Kontoübergriffe und den Missbrauch von Berechtigungen auf. Cloud (API-Auditprotokolle, Konfigurationsänderungen) erkennen Fehlkonfigurationen und unbefugte Zugriffe. NDR-, SIEM- und ITDR-Plattformen korrelieren Metadaten aus verschiedenen Quellen, um Angriffe zu identifizieren, die einzelne Protokollquellen übersehen würden.