Dazu kommt, dass die Ende-zu-Ende-Verschlüsselung Verbindungsdaten (Metadaten) gar nicht schützt. Mit ihnen lassen sich sensible Beziehungen und Informationen mithilfe automatischer Auswertungen herausfinden. Wie exakt diese Analysen sind, wenn die Daten über Monate hinaus gesammelt und in einem Profil zusammengefasst werden, davon schwärmen Ermittler und Big-Data-Fans. „Was solche Auswertungen in den falschen Händen anrichten, sollte sich jeder Entscheidungsträger ausmalen“, meint Hubert Jäger, Geschäftsführer der Münchner Sicherheitsfirma Uniscon. Zurzeit gibt es wenige Lösungen am Markt, die sich dieser Verbindungsdaten annehmen. Tatsächlich weiß Jäger nur von drei Grundkonzepten: Der Initiative Freenet Project, die den ersten Entwurf zum Schutz der Metadaten vorgestellt hat.

Bei diesem ehrenamtlichen Projekt beruht der Schutz darauf, dass alle Datenpakete an jeweils alle Nutzer verschickt werden. Dadurch verschleiert man die tatsächliche Verbindung nach dem Ende-zu-Ende-Prinzip. So können die Datenpakete jeweils nur von dem Empfänger gelesen werden, der den dazu passenden Schlüssel besitzt: „Ein überraschendes und tatsächlich sehr sicheres Konzept“, sagt Jäger. Allerdings habe es ein Manko: Im großflächigen Einsatz würde der Datenverkehr in einem Maß erhöht, dass dieser mit der heute verfügbaren Infrastruktur nicht mehr zu verarbeiten ist.
Das zweite Prinzip verfolgen Systeme, die über Netzknoten mehrerer Anbieter hinweg den Verkehr so „mischen“, dass die Herkunft der Datenpakete verschleiert wird. Beispiele hierfür sind die Dienste Tor oder Jondonym . Es bleibt bei einer schlichten Übertragung von Daten. Anspruchsvollere Anwendungen wie sie im  Bereich Kommunikation vorkommen, kann man nicht implementieren. Für Unternehmen  sind diese Systeme nach Jägers Ansicht wenig praktikabel.

Das dritte Grundkonzept ist das weltweit patentierte System der von EuroCloud Deutschland ausgezeichneten Sealed Cloud des Kommunikationsdienstes Idgard: Die Technologie wird von Uniscon im Rahmen des Trusted-Cloud-Programms des Bundesministeriums für Wirtschaft und Energie (BMWi) in einem Konsortium mit dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) und dem Unternehmen SecureNet zur Basistechnologie für die deutsche Industrie weiterentwickelt.

In diesem System werden die Benutzerdaten und die Metadaten in einem deutschen Rechenzentrum gespeichert, das gegen Zugriffe auf die Daten durch eine technische Versiegelung geschützt ist. Bei dieser werden die Daten verschlüsselt, so dass nur der Anwender selbst den Schlüssel besitzt. Der innerste Verteidigungsring des Rechenzentrums ist durch Verschlüsselung und weitere technische Maßnahmen abgesichert. So kann man beispielsweise auf die Anwendungsserver, dort, wo in Rechenzentren bekanntlich alle Daten unverschlüsselt verarbeitet werden, nur dann elektronisch oder physisch zugreifen, wenn sich keine Daten mehr darauf befinden. Um das sicherzustellen, werden die Server zehn Sekunden abgeschaltet. Zum Beispiel,  wenn ein Wartungsingenieur seine Arbeit machen will oder aber auch, wenn jemand versucht, unbefugt Daten abzuzapfen. Hierin und in der Kombination mit einer Vielzahl weiterer Sicherheitsmaßnahmen läge die „Originalität des Konzepts“, erklärt Jäger.

Das Sicherheitsniveau, das dieses System bietet, kann seit einiger Zeit auch in eigene Unternehmenslösungen integriert werden:  So hat die Group Business Software AG (GBS), ein internationaler  Anbieter von Software für die IBM- und Microsoft-Collaboration-Plattformen, mit iQ.Suite Watchdog FileSafe eine E-Mail-Lösung  entwickelt, die Anhänge mit vertraulichem Inhalt in den von Uniscon konzipierten Privacy Boxen des Kommunikationsdienstes IDGARD ablegt. Der ursprüngliche – vertrauliche – Anhang wird automatisch aus der E-Mail gelöst und durch einen Link zur Box ersetzt. Weder der Sender  noch der Empfänger brauchen sich um „ein kompliziertes Schlüsselmanagement kümmern“, erklärt Andreas Richter von GBS. Diese Form der sicheren Online-Kommunikation lasse sich sofort über Webbrowser oder Mobile App nutzen. Interessant findet Richter das patentierte und TÜV-zertifizierte Cloud-Konzept der Sealed Cloud deshalb, weil es „die technische Betreibersicherheit gewährleistet.“  Wenn man sich via Einmalpasswörtern anmelde, sei dann zusätzlich noch der Zugang zu den Daten geschützt.

Mittlerweile gibt es in der Sealed Cloud Programmierschnittstellen (API), damit andere Anwendungen und Cloud-Dienste das umfassende Sicherheitskonzept nutzen können.  Auf diese Weise lassen sich Anwendungsbereiche deutscher Clouds und anderer Unternehmen datenschutzkonform erweitern.