Metadaten

Die Metadatenfalle

Die Ebene der Daten, die dein Leben offenbart

Was sind Metadaten, und warum sind sie wichtig?

Jede Nachricht, jeder Standort-Check-in oder jede Blockchain-Transaktion hinterlässt eine Spur aus Metadaten – Daten über deine Daten. Es muss den eigentlichen Inhalt nicht kennen, um zu verraten, wer du bist. Sie können offenlegen, mit wem du sprichst, wann, wo und wie oft – und so ein klares Bild deines Lebens zeichnen. Zum Beispiel verrät ein Foto von dir in einem weißen Raum kaum etwas – bis die Metadaten preisgeben, wo es aufgenommen wurde, wann und mit welchem Gerät.

Die wichtigsten Ergebnisse des Nym-Berichts

Metadaten sind leicht zu sammeln

Das Sammeln von Metadaten ist billiger, schneller und einfacher, als den eigentlichen Inhalt auszuspionieren

Alltags-Apps geben deine Daten preis

Fitness-Apps wie Strava können unbeabsichtigt sensible Standorte und Nutzergewohnheiten preisgeben

Metadaten untergraben unsere Privatsphäre

Aktivist:innen und Journalist:innen sind durch Metadaten besonders gefährdet

Metadaten deanonymisieren Krypto

Blockchain-Metadaten können Wallet-Adressen mit realen Identitäten verknüpfen.

KI beschleunigt die Überwachung von Metadaten

KI-Systeme automatisieren heute die Zielerfassung auf Basis von Metadaten – mit tödlichen Folgen

Das Sammeln von Metadaten ist einfacher als die Überwachung von Inhalten

Inhaltsüberwachung ist teuer und oft verschlüsselt. Metadaten sind es nicht. Geheimdienste bevorzugen seit langem die Überwachung von Metadaten, da sie viele der rechtlichen Schutzmaßnahmen umgeht, die für den eigentlichen Inhalt gelten.

Programme wie PRISM und Stellar Wind der NSA sammelten massenhaft Metadaten (einschließlich Telefonverbindungsdaten, IP-Protokollen und E-Mail-Headern) – und das ohne richterliche Anordnung. Im Gegensatz zu vollständigen Abhörmaßnahmen konnten Zugriffe auf Metadaten unter lockereren Standards autorisiert werden – etwa der Third-Party-Doktrin, die davon ausgeht, dass Nutzer ihre Privatsphäre verwirken, sobald sie Metadaten mit Drittanbietern teilen.

Auch nachdem der USA FREEDOM Act von 2015 die Massenerfassung der NSA unter Section 215 eingeschränkt hat, hat die Überwachung nicht aufgehört - sie hat nur ihre Form geändert. Im Jahr 2024, U.S. Senator Ron Wyden enthüllte, dass die NSA inzwischen routinemäßig Metadaten von kommerziellen Datenhändlern kauft. Diese Käufe umfassen die Browser-Verläufe und Telekommunikationsdaten von Amerikanern, die ohne die Zustimmung der Nutzer oder richterliche Aufsicht erworben wurden.

Strava: Die Fitness-App, die geheime Stützpunkte enttarnt hat

Die Heatmaps eines Fitness-Trackers haben die Trainingsroutinen von Personen sowie geheime Militärstützpunkte enttarnt. Selbst anonymisierte Fitness-Metadaten können private Details preisgeben, wenn sie mit öffentlichen Standortdaten kombiniert werden.

Strava, eine beliebte Fitness-App, sammelt riesige Mengen an GPS-Metadaten, um die Trainingsrouten der Nutzer zu verfolgen. 2017 veröffentlichte das Unternehmen eine globale Heatmap, die auf drei Billionen GPS-Datenpunkten basierte. Analyst:innen stellten schnell fest, dass diese Karte unbeabsichtigt die Grundrisse von US-amerikanischen, russischen und türkischen Militärstützpunkten in Konfliktgebieten wie Syrien und Afghanistan preisgab. Obwohl keine persönlichen Daten direkt offengelegt wurden, machten die aggregierten Metadaten Patrouillenrouten, Stützpunktgrenzen und Operationsgebiete sichtbar.

Journalistinnen und Journalisten von Le Monde zeigten erst vor Kurzem, im Jahr 2022, wie die sozialen Funktionen von Strava als Waffe eingesetzt werden konnten. Indem sie gefälschte Laufrouten in der Nähe israelischer Militärstützpunkte erstellten, lösten sie die Strava-Funktion „Sportler in der Nähe“ aus und griffen die Metadaten der so angezeigten Profile ab. Dies ermöglichte es ihnen, israelische Soldaten zu identifizieren, deren Gewohnheiten zu verfolgen und sogar ihre Bewegungen außerhalb des Stützpunkts im Privatleben zu überwachen.

TraceTogether: Wie eine Corona-App zur Überwachung genutzt wurde

In Singapur wurde die TraceTogether-App, die eigentlich für die COVID-19-Kontaktnachverfolgung gedacht war, später für strafrechtliche Ermittlungen zweckentfremdet. Es ist ein warnendes Beispiel dafür, wie schnell Metadaten zweckentfremdet und als Waffe eingesetzt werden können.

Singapurs TraceTogether-App, die während der COVID-19-Pandemie eingeführt wurde, nutzte ein Bluetooth-basiertes Protokoll namens BlueTrace, um anonym Kontakte zwischen Nutzern zu protokollieren. Während die App durch rotierende IDs und zentralisierte Kontaktspeicherung Privatsphäre versprach, wurde später bekannt, dass Strafverfolgungsbehörden Zugriff auf das System hatten. Im Jahr 2021 gab Singapurs Innenminister zu, dass die Polizei TraceTogether-Daten in mindestens einer strafrechtlichen Untersuchung, darunter ein Mordfall, verwendet hatte.

Diese Enthüllung widersprach früheren Zusicherungen der Regierung, dass die Daten ausschließlich für die öffentliche Gesundheit verwendet würden. Obwohl die Nutzer zur Aktivierung der App persönliche Daten angeben mussten, führte die Annahme von Anonymität dazu, dass viele sie nutzten – nur um später zu erfahren, dass die zentrale Behörde ihre Metadaten deanonymisieren konnte.

Blockchain: Nicht so privat, wie du denkst

Selbst pseudonyme Transaktionen hinterlassen Metadaten. Forensik-Unternehmen nutzen Transaktionsmuster, IP-Leaks und Netzwerkanalysen, um Wallets mit echten Identitäten zu verknüpfen.

Während Bitcoin oft als privat angesehen wird, zeichnet sein öffentliches Kassenbuch jede Transaktion auf und schafft so eine reichhaltige Quelle für Metadaten. Forensik-Tools wie Chainalysis und Bitquery verfolgen Transaktionsmuster, IP-Leaks und Wallet-Verhalten, um pseudonyme Adressen mit echten Identitäten zu verknüpfen. Strafverfolgungsbehörden nutzen sie, um Betrug und Geldwäsche zu untersuchen. Doch dieselben Werkzeuge können auch die Identität von Whistleblower:innen, Aktivist:innen oder allen anderen preisgeben, die für ihre Privatsphäre auf Bitcoin angewiesen sind.

Akademische Forschung zeigt, dass bereits wenige Metadaten-Punkte ausreichen, um Nutzerinnen und Nutzer zu deanonymisieren. In einem Fall identifizierten Forscher Personen, indem sie Bitcoin-Transaktionen mit IP-Adressen und der Wiederverwendung von Wallets in Verbindung brachten. Zusätzliche Schwachstellen entstehen durch Metadaten auf Netzwerkebene: Wenn sich die Wallet eines Nutzers mit einer bekannten Gruppe von Entry-Nodes verbindet oder während der Übertragung IP-Informationen preisgibt, kann der Nutzer selbst ohne namentliche Kennung identifiziert werden. Dies widerlegt die weit verbreitete Annahme, dass die Verwendung neuer Wallet-Adressen echte Anonymität bietet.

KI steuert jetzt die auf Metadaten basierende Zielerfassung

**KI beschleunigt die Metadaten-Analyse und hilft Regierungen sowie privaten Akteuren dabei, Personen schneller als je zuvor zu identifizieren, zu profilieren und ins Visier zu nehmen. Israels Exporte von Überwachungstechnologie bieten einen Einblick in das, was möglich ist und was bereits geschieht.

Israels Exporte von Überwachungstechnologie bieten einen Einblick in das, was möglich ist – und was bereits geschieht.** Lavender verarbeitet Telefonverbindungsdaten, Geolocation-Daten und soziale Graphen, um Personen zu identifizieren, die mit der Hamas in Verbindung stehen. Laut +972 Magazine kann das KI-System „Lavender“ autonom Angriffsziele mit minimaler menschlicher Aufsicht generieren. Dabei stützt sich die Zielerfassung oft auf Metadaten wie Anrufmuster oder Funkzellenverbindungen anstelle von bestätigten Informationen.

The Gospel, ein weiteres metadatenbasiertes Tool, wird verwendet, um zu entscheiden, welche Gebäude ins Visier genommen werden sollen. Dabei werden Heatmaps aus Handydaten erstellt, um die Präsenz von Zivilisten einzuschätzen. Kritiker:innen, darunter Human Rights Watch und UN-Expert:innen, warnen davor, dass diese Art der Automatisierung die Hemmschwelle für den Einsatz tödlicher Gewalt senkt. Wenn Metadaten ohne den vollständigen Kontext oder die Nuancen menschlicher Intelligenz verwendet werden, sind Fehler leicht möglich, und die Folgen können fatal sein.