Metadata

Metadata is letterlijk "data over data". Het beschrijft de eigenschappen, context en structuur van andere gegevens zonder de inhoud zelf weer te geven. Denk aan de bestandsnaam, aanmaakdatum, auteur en bestandsgrootte van een document, of de afzender, ontvanger, het tijdstip en de locatie van een e-mail. De inhoud van het bericht is data, maar alles eromheen is metadata.

In cybersecurity is metadata bijzonder relevant omdat het vaak meer onthult dan organisaties beseffen. Volgens Netkwesties vormt metadata een onbekend risico voor zowel criminaliteit als privacy. Aanvallers kunnen metadata analyseren om communicatiepatronen, organisatiestructuren en kwetsbare punten in kaart te brengen, zonder ooit de inhoud van berichten te hoeven lezen.

Metadata komt in verschillende vormen voor. Beschrijvende metadata bevat informatie zoals titels, auteurs en trefwoorden. Structurele metadata beschrijft hoe gegevens zijn georganiseerd, bijvoorbeeld de paginavolgorde in een document of de relatie tussen tabellen in een database. Administratieve metadata omvat technische details zoals bestandsformaat, aanmaakdatum en toegangsrechten. In een beveiligingscontext is vooral administratieve metadata van belang, omdat deze informatie direct inzicht geeft in wie wat wanneer heeft gedaan binnen een systeem.

Waarom is metadata belangrijk?

Metadata speelt een cruciale rol in cybersecurity en privacy om drie redenen. Ten eerste onthult metadata patronen die waardevoller kunnen zijn dan individuele berichten. Wie communiceert met wie, hoe vaak en op welk tijdstip vertelt veel over de structuur en werkwijze van een organisatie. Aanvallers gebruiken deze informatie voor gerichte spear phishing-aanvallen.

Ten tweede valt metadata onder de AVG wanneer het herleidbaar is tot personen. De Autoriteit Persoonsgegevens beschouwt alle informatie die direct of indirect naar een persoon verwijst als persoonsgegevens, en dat omvat ook metadata zoals IP-adressen, locatiegegevens en inlogmomenten.

Ten derde is metadata essentieel voor digitaal forensisch onderzoek. Na een beveiligingsincident zijn het juist de metadata van logbestanden, netwerkverkeer en bestanden die onderzoekers helpen om de tijdlijn van een aanval te reconstrueren en de bron te achterhalen.

Daarnaast speelt metadata een steeds grotere rol bij het detecteren van geavanceerde dreigingen. Moderne aanvallers vermijden opvallende payloads en proberen onder de radar te blijven door legitieme protocollen te gebruiken. In die gevallen is het juist de metadata van netwerkverkeer, zoals ongebruikelijke communicatiefrequenties, afwijkende datavolumes of connecties naar onbekende externe servers, die een Security Operations Center in staat stelt om verdachte activiteiten te identificeren zonder deep packet inspection toe te passen.

Hoe pas je metadata toe?

In de praktijk werk je op meerdere manieren met metadata. Voor beveiligingsmonitoring verzamel je metadata van netwerkverkeer, zoals bron- en doeladressen, protocollen en datavolumes. Een SIEM-systeem analyseert deze metadata om afwijkende patronen te detecteren zonder de inhoud van het verkeer te inspecteren.

Voor data-classificatie gebruik je metadata om bestanden te labelen met vertrouwelijkheidsniveaus, eigenaarschap en retentietermijnen. Dit maakt het mogelijk om automatisch beleid toe te passen, zoals het blokkeren van het versturen van bestanden met het label "vertrouwelijk" naar externe ontvangers.

Bij het publiceren van documenten en afbeeldingen moet je bewust omgaan met metadata. Documenten kunnen verborgen metadata bevatten zoals de naam van de auteur, revisiegeschiedenis, GPS-coordinaten van foto's en netwerk-paden. Voor publicatie verwijder je deze metadata met speciale tools om informatielekken te voorkomen.

Vanuit compliance-perspectief documenteer je welke metadata je verzamelt, met welk doel en hoe lang je het bewaart. De AVG vereist een verwerkingsregister waarin ook metadataverwerking wordt opgenomen.

In cloudomgevingen is metadatabeheer extra complex. Elke actie in een cloudomgeving genereert metadata: wie heeft welke resource aangemaakt, gewijzigd of verwijderd, vanaf welk IP-adres en op welk tijdstip. Cloudproviders bieden logging-diensten zoals audit trails die deze metadata automatisch vastleggen. Voor organisaties die aan compliance-eisen moeten voldoen, is het configureren en bewaken van deze logging een basisvereiste. Zonder adequate metadata-logging in de cloud ontbreekt de audittrail die nodig is om aan te tonen dat je voldoet aan regelgeving zoals NIS2 of ISO 27001.

Metadata in de praktijk

Een veelvoorkomend scenario: een medewerker verstuurt een intern document naar een externe partij. Het document bevat metadata met de interne netwerknaam, de volledige naam van de auteur, de revisiegeschiedenis met opmerkingen van collega's en het pad naar de netwerkshare. Een aanvaller die dit document onderschept, leert hieruit de interne structuur van je organisatie, namen van medewerkers en mogelijk zelfs technische details over je netwerkomgeving.

Een ander praktijkvoorbeeld is e-mailmetadata. Zonder de inhoud te lezen, kan een aanvaller uit metadata afleiden welke medewerkers veel extern communiceren (interessant voor social engineering), op welke tijdstippen het kantoor actief is, welke e-mailservers worden gebruikt en welke externe partijen betrokken zijn bij projecten. Dit maakt metadata tot een krachtig hulpmiddel voor de verkenningsfase van een cyberaanval.

In forensisch onderzoek na een datalek zijn het de metadata van logbestanden die aantonen welk account toegang had tot welke systemen op welk moment. Zonder goed beheerde metadata is het vrijwel onmogelijk om een incident volledig te reconstrueren. Nederlandse organisaties die onder de meldplicht datalekken vallen, moeten bij een incident aan de Autoriteit Persoonsgegevens kunnen aantonen welke data is geraakt en welke maatregelen zijn genomen. Die bewijsvoering steunt vrijwel volledig op correct beheerde metadata.

Veelgestelde vragen over metadata

Is metadata persoonsgebonden informatie?

Ja, als metadata herleidbaar is tot een persoon valt het onder de AVG. IP-adressen, locatiegegevens, inlogtijden en apparaat-ID's zijn voorbeelden van metadata die als persoonsgegevens worden beschouwd. Je moet deze data daarom net zo zorgvuldig behandelen als namen of e-mailadressen.

Hoe verwijder je metadata uit bestanden?

De meeste besturingssystemen bieden een optie om eigenschappen en persoonlijke informatie uit bestanden te verwijderen. Daarnaast zijn er gespecialiseerde tools zoals ExifTool voor afbeeldingen en documentinspectors in kantoorpakketten. Stel een beleid op dat metadata wordt verwijderd voor externe publicatie.

Kunnen hackers metadata misbruiken?

Ja, aanvallers gebruiken metadata tijdens de verkenningsfase van een aanval. Door metadata van publiek beschikbare documenten, e-mails en netwerken te analyseren, bouwen ze een beeld op van de organisatiestructuur, gebruikte software en communicatiepatronen. Dit maakt gerichte aanvallen effectiever. Tools zoals Maltego en FOCA zijn specifiek ontworpen om metadata uit publieke bronnen te extraheren en te visualiseren. Een aanvaller kan hiermee binnen enkele minuten een gedetailleerd profiel van je organisatie opbouwen.

Wat is het verschil tussen data en metadata?

Data is de inhoud zelf, bijvoorbeeld de tekst van een e-mail of de inhoud van een bestand. Metadata beschrijft de context van die data, zoals wanneer het is aangemaakt, door wie, hoe groot het is en in welk formaat. Beide vereisen bescherming, maar metadata wordt vaak over het hoofd gezien.

Hoe helpt metadata bij incidentonderzoek?

Na een beveiligingsincident zijn logbestanden en hun metadata essentieel om te achterhalen wat er is gebeurd. Tijdstempels, IP-adressen, gebruikers-ID's en sessie-informatie helpen om de tijdlijn van een aanval te reconstrueren en de omvang van een incident vast te stellen.

Meer weten over databeveiliging? Bekijk Data Loss Prevention (DLP) op IBgidsNL.