Office-Dateien und PDFs sind Unterlagen, die beim Whistleblowing häufig vorkommen.
Protokolle, Verträge, Berichte, E-Mail-Anhänge, Tabellen, Präsentationen, gescannte PDFs. Sie alle können als Beweis stark sein, aber zugleich leicht Metadaten und Bearbeitungsverläufe behalten.
Beim Whistleblowing geht es nicht nur um den Dateiinhalt, sondern auch darum, wie die Datei erstellt wurde, wer sie bearbeitet hat und aus welcher Umgebung sie stammt.
Informationen, die in Office-Dateien zurückbleiben
In Word, Excel und PowerPoint können Ersteller, letzte speichernde Person, Firmenname, Kommentare, Änderungsverlauf, ausgeblendete Blätter und eingebettete Objekte zurückbleiben.
Information
Risiko
Ersteller und letzte speichernde Person
Klarname oder internes Konto erscheint
Kommentare
Namen von Beteiligten oder Review-Inhalte bleiben zurück
Änderungsverlauf
Es wird sichtbar, wer wo etwas bearbeitet hat
Ausgeblendete Blätter
Nicht sichtbare Daten bleiben zurück
Eingebettete Dateien
Andere Unterlagen oder interne Informationen sind enthalten
Bei Office-Dateien besteht der Inhalt nicht nur aus den sichtbaren Seiten.
Besonders in Excel achtet man auf ausgeblendete Blätter, Filter, Kommentare, Formeln und externe Links.
Office-Dateien behalten leicht Zwischenschritte der Arbeit. Gemeinsame Bearbeitung, Reviews, Kommentare, Änderungsverlauf, Vorlagen und externe Links bleiben erhalten. Auch wenn ein Dokument oberflächlich fertig aussieht, können im Dateiinneren Bearbeitungsspuren zurückbleiben.
In Excel werden ausgeblendete Blätter und Zeilen, durch Filter verborgene Zeilen, Formeln, Namensdefinitionen und externe Datenverbindungen zum Problem. In PowerPoint achtet man auf Sprechernotizen, ausgeblendete Folien, eingebettete Bilder und Vorlagen. In Word prüft man Änderungsverlauf, Kommentare, Kopfzeilen, Fußzeilen und Dokumenteigenschaften.
Informationen, die in PDFs zurückbleiben
PDFs sehen oft wie fertige Versionen aus und werden deshalb leicht für sicher gehalten.
Aber auch PDFs können Ersteller, Erstellungssoftware, Erstellungszeit, Bearbeitungsverlauf, Anmerkungen, Lesezeichen, eingebettete Dateien und OCR-Text enthalten.
Information
Risiko
Ersteller
Ursprungsdokument oder bearbeitende Person wird sichtbar
Erstellungssoftware
Die Erstellungsumgebung wird vermutbar
Anmerkungen und Kommentare
Review-Verlauf oder Namen bleiben zurück
OCR-Text
Geschwärzte Zeichen können trotzdem zurückbleiben
Eingebettete Dateien
Ursprungsunterlagen oder Anhänge sind enthalten
Eine bloße Umwandlung in PDF macht eine Datei nicht sicher.
Auch Schwärzungen und Mosaike können bei schlechter Verarbeitung ursprüngliche Zeichen wieder auslesbar lassen.
PDFs wirken wie fertige Ausgaben zur Verteilung, was zu Unachtsamkeit führt. Doch auch in PDFs können Erstellerinformationen, Anmerkungen, Lesezeichen, Anhänge, verborgene Ebenen und OCR-Text zurückbleiben. Wenn nur ein schwarzes Rechteck über Text gelegt wird, kann der darunterliegende Text erhalten bleiben. Auch wenn etwas wie ein Bild aussieht, kann dahinter Text verbleiben.
Wenn ein PDF zur Veröffentlichung bestimmt ist, prüft man nicht nur das Aussehen, sondern auch kopierbaren Text, Anmerkungen, Anhänge und Eigenschaften. Bei geschwärzten Stellen prüft man, ob sie auch beim Kopieren, Suchen, Auswählen und Öffnen mit anderen Werkzeugen nicht sichtbar werden.
Was beim Whistleblowing besonders gefährlich ist
Beim Whistleblowing sind Metadaten auch dann gefährlich, wenn sie keinen Namen direkt zeigen.
Wenn Erstellungszeit, Version, Abteilungsname, Dokumentnummer, Namen in Kommentaren oder Spuren der Verteilung vorhanden sind, wird der Weg der Unterlage sichtbar.
Zurückbleibende Information
Was vermutet wird
Version
Wann und an wen die Unterlage verteilt wurde
Dokumentnummer
Zuständiger Verwaltungsbereich oder Dokumentklasse
Kommentierende Person
Beteiligte Abteilungen oder Review-Personen
Ausgeblendete Daten
Informationen, die eigentlich nicht öffentlich sein sollten
Erstellungszeit
Zeitpunkt, zu dem die Unterlage berührt wurde
Wenn die veröffentlichende Seite Unterlagen achtlos herausgibt, werden nicht nur Hinweisgebende, sondern auch Beteiligte und unbeteiligte Beschäftigte hineingezogen.
Beim Whistleblowing gibt es Personen, die nach der Herkunft von Unterlagen suchen. Sie betrachten nicht nur den Text, sondern auch Version, Verteiler, Kommentierende, Dokumentnummer, Vorlage und Erstellungszeit. Wenn zum Beispiel eine Formulierung veröffentlicht wird, die nur in der neuesten Version steht, geraten Personen mit Zugriff auf diese Version in Verdacht. Wenn Namen von Kommentierenden zurückbleiben, werden beteiligte Abteilungen oder Review-Wege sichtbar.
Metadaten betreffen nicht nur die hinweisgebende Person selbst, sondern auch Ersteller der Unterlage, verteilte Abteilungen, Review-Personen und gemeinsam Bearbeitende. Die veröffentlichende Seite trägt Verantwortung, empfangene Unterlagen nicht unverändert herauszugeben.
Vorsicht bei Prüfung und Bearbeitung
Beim Umgang mit Office und PDF trennt man Prüfdateien, Aufbewahrungsdateien und Veröffentlichungsdateien.
Wenn eine Originaldatei, die als Beweis wichtig ist, unbedacht bearbeitet wird, kann das später problematisch werden. Gleichzeitig darf die Veröffentlichungskopie keine unnötigen Informationen enthalten.
Phase
Vorsichtspunkt
Empfang
Originaldatei nicht unbedacht in der Alltagsumgebung öffnen
Prüfung
Eigenschaften, Kommentare, Änderungsverlauf und verborgene Elemente ansehen
Aufbewahrung
Originaldatei und Veröffentlichungskopie trennen
Bearbeitung
Methode für Schwärzung, Löschung und Umwandlung prüfen
Erneute Prüfung
Prüfen, ob in der Veröffentlichungskopie Informationen zurückbleiben
Konkrete Werkzeuge zur Prüfung und Entfernung von Metadaten werden in einem anderen Artikel behandelt.
Hier ist wichtig: Eine Formatumwandlung allein macht eine Datei nicht sicher.
Originaldateien können als Beweis wichtig sein. Deshalb kann direktes Bearbeiten und Überschreiben von Originaldateien Beweiswert oder Nachprüfbarkeit beeinflussen. Gleichzeitig dürfen in Veröffentlichungskopien keine unnötigen Informationen verbleiben. Darum trennt man Originaldatei, Arbeitskopie und Veröffentlichungskopie.
Dateityp
Umgang
Originaldatei
Zur Wahrung des Beweiswerts sicher aufbewahren
Arbeitskopie
Für Prüfung und Bearbeitung verwenden
Veröffentlichungskopie
Unnötige Informationen entfernen und erneut prüfen
Beratungskopie
Umfang für Anwältinnen, Anwälte oder Fachleute anpassen
Bei Whistleblowing mit hohem Risiko sollte man nicht nur nach Artikeln entscheiden, sondern auch Beratung durch Anwältinnen und Anwälte, Medien oder vertrauenswürdige Unterstützungsstellen erwägen. Ob Dateien gelöscht oder erhalten werden sollten, betrifft nicht nur Anonymität, sondern auch Beweiswert und rechtliche Risiken.
Check vor der Veröffentlichung
Vor der Veröffentlichung von Office- oder PDF-Dateien geht man in dieser Reihenfolge vor.
Enthält der Dateiname Klarname, Abteilungsname oder Vorgangsname?
Bleiben in Eigenschaften Ersteller, Firmenname oder letzte speichernde Person zurück?
Bleiben Kommentare, Änderungsverlauf oder Anmerkungen zurück?
Gibt es ausgeblendete Blätter, ausgeblendete Folien oder Sprechernotizen?
Bleiben unter PDF-Schwärzungen Zeichen zurück?
Wurde die umgewandelte Datei in einer anderen Umgebung erneut geprüft?
Eine Prüfung ist nicht mit einem Durchgang erledigt. Nach Bearbeitung, nach Umwandlung und unmittelbar vor Veröffentlichung wird erneut geprüft. Besonders nach der PDF-Erstellung behandelt man die Datei als von der Ursprungsdatei getrennt und prüft Eigenschaften, Anmerkungen und kopierbare Zeichen erneut.
Zusammenfassung
In Office-Dateien und PDFs können Ersteller, letzte speichernde Person, Firmenname, Kommentare, Änderungsverlauf, ausgeblendete Blätter, Anmerkungen, OCR-Text und eingebettete Dateien zurückbleiben.
Beim Whistleblowing verbinden solche Informationen Hinweisgebende, Abteilungen, den Weg der Unterlagen und Verteilerbereiche.
Eine bloße Umwandlung in PDF macht eine Datei nicht sicher.
Man trennt Originaldatei, Prüfdatei und Veröffentlichungskopie und prüft vor Veröffentlichung Metadaten und unsichtbare Elemente.
Office und PDF sind als Beweise stark, aber auch Dateiformate, die über ihre Herkunft sprechen.
Verwandte Werkzeuge
Metadata inspection
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Office-Dateien und PDFs können Ersteller, Bearbeitungsverläufe, Kommentare, ausgeblendete Daten, OCR-Text, Anmerkungen und eingebettete Dateien enthalten.