Metadaten von Dokumenten beinhalten für Angreifer hoch interessante Informationen. Zugleich übersehen viele Unternehmen das Risiko von Metadaten: Missbrauch personenbezogener Daten, Social Engineering oder das gezielte Ausnutzen bekannter Schwachstellen in bestimmten Software-Stacks. Doch wie lässt sich das in der Praxis wirksam vermeiden?
Was sind Metadaten von Dokumenten – und was steht darin?
Metadaten sind die unsichtbaren Begleitinformationen einer Datei. Sie entstehen automatisch, sobald Dokumente erstellt, bearbeitet, gedruckt, exportiert oder geteilt werden. Metadaten sind strukturierte Eigenschaften, die Betriebssysteme, Anwendungen und Geräte in oder neben einer Datei speichern. Je nach Dateityp können sie sehr unterschiedlich ausfallen.
Microsoft 365 (vormals MS Office)
Bei Microsoft-365-Dateien (Word, Excel, PowerPoint) finden sich häufig Angaben wie Autor bzw. Ersteller, letzte Bearbeiter, Zeitstempel (Erstellung, Änderung, Druck), Dokumenttitel oder Betreff.
In Unternehmensumgebungen kommen oft weitere Spuren hinzu: Vorlageninformationen, teils inklusive interner Template-Namen oder Pfade, Hinweise auf eingesetzte Add-ins, sowie Inhalte, die nicht als Metadaten wahrgenommen werden, aber in der Datei stecken bleiben können – etwa Kommentare, Änderungsverfolgung, frühere Textstände, ausgeblendete Passagen oder Notizen in Präsentationen.
Genau diese Mischung aus klassischen Eigenschaften und versteckten Dokumentbestandteilen ist in der Praxis besonders heikel, weil sie beim Export oder Versand unbeabsichtigt mitgesendet werden.
PDF-Dateien
PDFs enthalten typischerweise Metadatenfelder wie Titel, Autor, Stichwörter und Zeitstempel, häufig ergänzt um „Creator“ und „Producer“ – also die Information, womit das PDF erzeugt wurde (z. B. Office, Acrobat, ein bestimmter Druckertreiber oder eine PDF-Library). Je nach Entstehungsprozess können darüber hinaus Kommentare, Review-Notizen, Formularfelder oder Workflow-Artefakte enthalten sein.
Bilddateien
Bei Bildern (JPEG/HEIC etc.) ist die Lage noch sensibler, weil EXIF/IPTC/XMP-Daten neben Aufnahmezeit und Kameramodell oft auch GPS-Koordinaten, Blickrichtung und weitere Aufnahmedetails beinhalten. Gerade Smartphone-Fotos sind deshalb eine häufig unterschätzte Quelle für Standort- und Kontextlecks.
Wie können Angreifer Metadaten ausnutzen?
Für Angreifer sind Metadaten ein ideales Material: Sie liefern präzise, maschinenlesbare Hinweise, die sich in großem Umfang auswerten lassen. Aus Autoren- und Bearbeiternamen lassen sich reale Personen, Namensschemata und Rollen ableiten – ein Steilpass für Spear-Phishing. Wenn in Dokumenteigenschaften Projektnamen, Kunden, Systembezeichnungen oder interne Abteilungsstrukturen auftauchen, kann ein Angreifer seine Ansprache deutlich glaubwürdiger machen und die Wahrscheinlichkeit erhöhen, dass eine Zielperson öffnet, klickt oder Informationen herausgibt.
Tipp: Lesen Sie dazu auch unsere Ratgeber zur Abwehr von Phishing sowie zum Umgang mit Phishing-Angriffen.
Daneben sind Metadaten auch technisch verwertbar. Angaben wie „Producer/Creator“ in PDFs oder Hinweise auf Office-Versionen, Exportpfade oder Vorlagen können helfen, den eingesetzten Software-Stack zu „fingerprinten“. Das ist besonders relevant, wenn ein Angreifer entscheiden will, welche Exploits, Makro-Kampagnen oder Payloads am ehesten passen.
In manchen Fällen verraten Metadaten sogar interne Pfade, Share-Namen oder verknüpfte Ressourcen. Das ist zwar nicht automatisch eine direkte Schwachstelle, aber es reduziert die Unsicherheit des Angreifers – und damit Aufwand und Kosten eines Angriffs.
Aus Datenschutzperspektive kommt hinzu, dass Metadaten häufig personenbezogene Daten enthalten und bei Bildern sogar Standortdaten. Je nach Kontext kann das nicht nur unangenehm, sondern melde- und haftungsrelevant werden. Kommt es dadurch zu einer unbefugten Offenlegung, kann dies als Datenschutzverletzung zu bewerten sein. Je nach Risiko für die betroffenen Personen entstehen daraus Meldepflichten nach Art. 33 DSGVO gegenüber der Aufsichtsbehörde sowie gegebenenfalls Informationspflichten nach Art. 34 DSGVO gegenüber Betroffenen. Neben dem administrativen Aufwand drohen Reputationsschäden, Bußgelder und zivilrechtliche Haftungsansprüche, insbesondere wenn organisatorische oder technische Schutzmaßnahmen als unzureichend bewertet werden.
Vor diesem Hintergrund sind Metadaten nicht als rein technisches Detail zu betrachten, sondern als integraler Bestandteil der Datenschutz- und Sicherheitsbewertung. Organisationen sind gut beraten, den Umgang mit Metadaten explizit in Richtlinien und Freigabeprozessen zu berücksichtigten – etwa durch automatisches Entfernen vor externer Weitergabe, klare Verantwortlichkeiten und Sensibilisierung der Mitarbeitenden. Andernfalls entsteht ein vermeidbares Risiko, das in keinem Verhältnis zum tatsächlichen Nutzen der enthaltenen Zusatzinformationen steht.
Wie lassen sich Metadaten eines Dokuments abfragen?
Unter Windows lassen sich viele Metadaten direkt über den Datei-Explorer einsehen: Rechtsklick auf die Datei, dann „Eigenschaften“ und der Reiter „Details“. Dort erscheinen je nach Dateityp Autorenangaben, Titel, Änderungs- und Erstellungszeiten sowie bei Bildern häufig EXIF-Daten.
Auf macOS ist der Einstieg ähnlich: Im Finder Datei auswählen und per „Informationen“ (oder ⌘I) die Eigenschaften öffnen.
Zusätzlich zeigen Anwendungen selbst oft weitere Metadaten an – in Office etwa über „Datei > Informationen“, PDF-Reader über „Datei > Eigenschaften“.
Wichtig ist: Nicht alles, was riskant ist, steht immer in diesen Oberflächen: Kommentare, Track Changes oder ausgeblendete Inhalte sind oft nur in der jeweiligen Anwendung zuverlässig sichtbar.
Wie lassen Metadaten aus Dokumenten entfernen?
Windows
Unter Windows gibt es eine eingebaute Funktion, die zumindest klassische Dateieigenschaften bereinigen kann: In „Eigenschaften > Details“ findet sich „Eigenschaften und persönliche Informationen entfernen“.
Sinnvoll ist meist, eine bereinigte Kopie zu erzeugen, statt am Original zu arbeiten – schon um interne Nachvollziehbarkeit und Beweissicherung nicht zu gefährden. Allerdings gilt auch hier: Diese Funktion entfernt nicht automatisch alle sicherheitskritischen Inhalte, die in Office-Dateien stecken können. Wer beispielsweise Änderungsverfolgung oder Kommentare wirklich eliminieren will, muss das innerhalb von Office tun (z. B. über Dokumentprüfung/Inspektor-Funktionen, je nach App-Version und Unternehmenskonfiguration).
Apple
Auf macOS hängt die Bereinigung stärker vom Format und vom Tool ab. Bei Bildern lassen sich Standortdaten in vielen Export- und Teilen-Workflows deaktivieren oder entfernen; bei PDFs kann ein erneuter Export oder „Drucken als PDF“ Metadaten reduzieren, ist aber keine Garantie für eine vollständige Bereinigung und kann Struktur/Qualität verändern.
All diese technischen Details zeigen jedoch, dass immer Handarbeit notwendig ist. Und genau hier passieren unserer Erfahrung nach häufig Fehler.
Empfehlungen für Unternehmen
Verantwortlichen für Informations- und Datensicherheit in Unternehmen empfehlen wir, sich grundsätzlich zu überlegen, wie sie einen sicheren Output von Dokumenten standardisieren können. Denn ein kontrollierter Exportprozess, feste Freigabewege oder zentrale Tools sind meist zuverlässiger als manuelle Einzelschritte.
In der Praxis funktioniert Metadaten-Sicherheit unserer Erfahrung nach am besten, wenn sie als Bestandteil des Veröffentlichungs- und Versandprozesses gedacht wird – nicht als nachträglicher Trick.
Entscheidend ist dafür, dass Unternehmen zunächst klar definieren, welche Dateiarten typischerweise nach extern gehen (Office, PDF, Bilder) und welche Metadatenklassen dort kritisch sind (Personenbezug, interne Struktur, Standorte, technische Fingerprints).
Anschließend sollte die Organisation einen Standard etablieren, wie weitergabefähige Dokumente entstehen: idealerweise durch definierte Exportwege, geprüfte Vorlagen und eine Freigabe, die explizit auch Metadaten und nicht sichtbare Inhalte umfasst.
Mitarbeiter sind über diese Prozesse zu informieren bzw. dazu zu schulen. Denn die beste Methode nützt nichts, wenn sie nicht angewendet wird, weil Mitarbeiter nicht (mehr) wissen, wie es funktioniert.
Fazit
Metadaten sind unverzichtbar und enthalten oft auch für das Unternehmen wichtige Informationen, etwa wer die Bearbeiter eines Dokumentes waren. Zugleich sind Metadaten ein Einfallstor insbesondere für Phishing-Angriffe. Hier gilt es abzuwägen, welche Metadaten zumindest bei Dateien, die das Unternehmen verlassen bzw. die öffentlich verfügbar sind, zu entfernen sind.
Neben standardisierten Prozessen gilt es vor allem Awareness für das Thema bei Mitarbeitern zu schaffen, auch zu ihrem eigenen Schutz.
