Dokumentdateien können nicht nur Haupttext enthalten, sondern auch Kommentare, Änderungsverlauf, Namen von Bearbeitenden und Arbeitszeiten.
Besonders bei Office-Dokumenten, PDFs und gemeinsam bearbeiteten Dokumenten ist Vorsicht nötig.
Wenn man ein Dokument anonym teilt, reicht es nicht, Namen aus dem Haupttext zu entfernen, solange in Kommentaren oder Änderungsverlauf Erstellende, Bearbeitende, Organisationsnamen oder Spuren der Abstimmung bleiben.
Dieser Artikel ordnet, wie Kommentare und Änderungsverlauf mit Anonymität zusammenhängen und was vor Veröffentlichung zu prüfen ist.
Was Kommentare und Änderungsverlauf sind
Kommentare sind Notizen oder Hinweise, die an bestimmten Stellen im Dokument angebracht sind.
Der Änderungsverlauf ist eine Funktion, die aufzeichnet, wer welchen Teil wann geändert hat.
Art
Verbleibende Information
Hinweis für Anonymität
Kommentar
Kommentartext, Name der postenden Person, Datum
Bearbeitende und Beteiligte werden sichtbar
Änderungsverlauf
hinzugefügter, gelöschter, korrigierter Inhalt
Arbeitsprozess und ursprüngliche Formulierungen werden sichtbar
Erstellerinformation
Benutzername, Organisationsname
nähert sich Person oder Zugehörigkeit
Anmerkung
PDF-Notiz, Hervorhebung
Reviewprozess wird sichtbar
Gemeinsamer Bearbeitungsverlauf
Beteiligte, Bearbeitungszeit
Beteiligte und Arbeitsumgebung werden erkennbar
Diese Informationen können in der Datei bleiben, auch wenn sie auf dem Bildschirm ausgeblendet sind.
„Nicht sichtbar“ und „gelöscht“ sind unterschiedliche Dinge.
Warum das mit Anonymität zusammenhängt
Kommentare und Änderungsverlauf zeigen, wie ein Dokument entstanden ist.
Bei Anonymität wird dieser Entstehungsprozess zu einem starken Hinweis.
Wenn zum Beispiel ein internes Dokument anonym geteilt wird, aber in Kommentaren Namen von Vorgesetzten oder Teams stehen, werden mögliche Quellen eingegrenzt, auch wenn der Abteilungsname aus dem Haupttext entfernt wurde.
Bei Recherchematerial können Kommentare oder Korrekturverlauf Hinweise auf Quelle, Redaktion oder Abstimmungen vor Veröffentlichung liefern.
Besonders gefährlich ist am Änderungsverlauf, dass vermeintlich gelöschte Informationen dort bleiben.
Auch wenn der Name im Haupttext entfernt ist, kann beim Anzeigen des Änderungsverlaufs der ursprüngliche Name sichtbar sein.
Adresse, Abteilungsname, Namen Beteiligter, Zeitlinie und interne Begriffe funktionieren genauso.
Zustand im Haupttext
Möglicher Rest im Verlauf
Name gelöscht
der Name vor der Löschung bleibt im Verlauf
Ortsname verallgemeinert
ursprünglicher Ortsname bleibt
Text verallgemeinert
ursprüngliche fachliche Formulierung bleibt
Kommentar ausgeblendet
Kommentartext bleibt in der Datei
In PDF umgewandelt
Anmerkungen oder Erstellerinformationen können bleiben
Je stärker ein Dokument zur Anonymisierung bearbeitet wurde, desto wichtiger ist der Änderungsverlauf.
Der Bearbeitungsprozess selbst kann genau die Information enthalten, die verborgen werden sollte.
Vor Veröffentlichung prüfen
Vor Veröffentlichung eines Dokuments prüft man folgende Punkte.
Prüfpunkt
Grund
Kommentare
ob Namen Beteiligter oder interne Notizen bleiben
Änderungsverlauf
ob Informationen vor Löschung bleiben
Ersteller
ob Benutzername oder Organisationsname erscheint
Anmerkungen
ob PDF- oder Reviewinformationen bleiben
Ausgeblendete Elemente
verborgenen Text, ausgeblendete Tabellenblätter und eingebettete Informationen prüfen
In Office-Dokumenten kann eine Dokumentprüfung verfügbar sein.
Aber auch nach Nutzung einer Prüffunktion darf man das nicht als vollständig ansehen.
Nach dem Entfernen prüft man auf anderem Weg erneut.
Vorsicht bei gemeinsamen Dokumenten
Bei gemeinsam bearbeiteten Dokumenten geht es nicht nur um die Datei selbst, sondern auch um den Verlauf im Dienst.
Wer bearbeitet hat, wer kommentiert hat, wem geteilt wurde und mit welchem Konto geöffnet wurde, kann auf der Dienstseite bleiben.
Information
Hinweis für Anonymität
Liste der Bearbeitenden
Beteiligte und Kontonamen werden sichtbar
Kommentarverlauf
Abstimmungen und Entscheidungsprozesse bleiben
Freigaberechte
sichtbar, wem geteilt wurde
Zugriffsverlauf
es kann aufgezeichnet werden, wer wann geöffnet hat
Benachrichtigungs-E-Mails
verbinden sich mit Klarnamenmail oder Organisationskonto
Wenn man eine Datei aus einem gemeinsamen Bearbeitungsdienst exportiert, verschwindet der dienstseitige Verlauf dadurch nicht.
Für Anonymität betrachtet man Dateiinhalt und Cloud-Verlauf getrennt.
Kommentare löschen reicht nicht
Auch nach dem Löschen von Kommentaren können Änderungsverlauf, Erstellerinformationen, Dateiname und Cloud-Verlauf bleiben.
Gelöscht
Kann weiter bleiben
Kommentartext
Kommentarautor oder Verlauf
Änderungsverlauf
gelöschte Formulierungen oder korrigierende Person
Erstellerinformation
Name in Dokumenteigenschaften
PDF-Anmerkungen nach PDF-Erstellung
PDF-Notizen oder Erstellungsinformationen
Cloud-Verlauf
Freigebende, Betrachtende, Aktualisierungszeit
Kommentare zu löschen ist nötig.
Aber Dokumentanonymisierung ist Prüfung mehrerer Schichten.
Statt „Kommentare gelöscht, also passt es“ braucht man die Haltung, eine Veröffentlichungskopie des gesamten Dokuments zu erstellen.
Auch nach PDF-Erstellung prüfen
Manchmal wird ein Dokument in PDF umgewandelt, um Kommentare und Änderungsverlauf zu entfernen.
PDF-Erstellung kann in manchen Situationen sinnvoll sein, ist aber nicht allmächtig.
Im PDF können Anmerkungen, Erstellerinformationen, verborgener Text und eingebettete Dateien bleiben.
Außerdem können beim Erstellen neue Angaben zu Anwendung und Erstellungszeit entstehen.
Darum wird auch nach der Umwandlung eines Office-Dokuments in PDF die PDF-Datei selbst erneut geprüft.
Bei Hochrisikodokumenten auch Inhalt prüfen
Auch nach dem Entfernen von Kommentaren und Änderungsverlauf kann der Hauptinhalt die Herkunft zeigen.
Aussagen, die nur Menschen in einer bestimmten Sitzung kennen konnten, Abkürzungen einer bestimmten Abteilung, Unterlagen, die nur an wenige Personen verteilt wurden, und genaue Zeitlinien sind Hinweise unabhängig von Metadaten.
Bei internem Hinweisgeben oder Recherchematerial reicht Metadatenentfernung allein nicht.
Man prüft aus Sicht Dritter, ob aus dem Inhalt erschlossen werden kann, wer die Information kennen konnte.
Veröffentlichungskopie neu erstellen
Bei Dokumenten mit vielen Kommentaren und Änderungsverlauf ist es manchmal sicherer, nicht die Originaldatei zu bereinigen, sondern eine Veröffentlichungskopie neu zu erstellen.
Zum Beispiel übernimmt man nur den notwendigen Haupttext in ein neues Dokument, verallgemeinert Eigennamen und erstellt ein Veröffentlichungs-PDF ohne Kommentare und Verlauf.
Aber auch das neue Dokument bekommt Erstellername und Erstellungszeit.
Darum prüft man nach dem Neuaufbau erneut Metadaten und Dateinamen.
Bei Anonymität wird die Arbeit leichter prüfbar, wenn man Bearbeitung des Originals und Erstellung der Veröffentlichungskopie trennt.
Zusammenfassung
Kommentare und Änderungsverlauf sind Informationen über den Entstehungsprozess eines Dokuments.
Wenn Namen und Orte aus dem Haupttext entfernt sind, aber in Kommentaren, Änderungsverlauf, Anmerkungen oder Erstellerinformationen bleiben, wird Anonymität geschwächt.
Besonders bei internem Hinweisgeben, Recherchematerial und gemeinsam bearbeiteten Dokumenten sind Bearbeitende, Abteilungen, Arbeitszeiten und ursprüngliche Formulierungen starke Hinweise.
Vor Veröffentlichung prüft man Kommentare, Änderungsverlauf, Ersteller, Anmerkungen und ausgeblendete Elemente.
PDF-Erstellung ist nicht das Ende. Auch die PDF-Datei wird danach erneut auf Metadaten und sichtbare Informationen geprüft.
Verwandte Werkzeuge
Anonymous communication
Tor Project
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Kommentare, Änderungsverlauf, Anmerkungen, Erstellerinformationen und gemeinsame Bearbeitungsverläufe können Namen, Abteilungen, alte Formulierungen und Arbeitszeiten offenlegen.