PDFs wirken sicher, weil ihr Erscheinungsbild festgelegt ist.
In PDFs können jedoch Informationen bleiben, die nicht zum auf dem Bildschirm angezeigten Text gehören.
Dazu gehören Erstellername, Erstellungsprogramm, Änderungszeitpunkt, Anmerkungen, eingebettete Dateien, verborgener Text und Spuren des Ursprungsdokuments.
Wenn man Dokumente anonym teilt, ist es gefährlich zu denken: „Ich habe es in PDF umgewandelt, also ist es in Ordnung.“
Dieser Artikel ordnet unsichtbare Risiken in PDFs und Punkte, die vor der Veröffentlichung geprüft werden sollten.
PDFs lassen sich nicht nur nach dem Aussehen beurteilen
PDF ist ein praktisches Format, das sich wie Papier anzeigen lässt.
In einer PDF-Datei können jedoch Informationen enthalten sein, die über die angezeigten Seiten hinausgehen.
Information
Inhalt
Hinweis für Anonymität
Ersteller
Benutzername oder App-Informationen der Person, die das Dokument erstellt hat
Führt näher an Person oder Organisation
Erstellungszeit
Zeitpunkt von Erstellung oder Änderung
Verbindet sich mit Handlungs- oder Abgabezeitpunkt
Anmerkungen
Kommentare, Markierungen, Notizen
Bearbeitungsprozess oder Beteiligte werden sichtbar
Einbettungen
Anhänge, Schriftarten, Bilder
Ursprungsdaten oder Arbeitsumgebung bleiben erhalten
Verborgener Text
OCR, Text zum Kopieren
Angeblich geschwärzte Informationen können erhalten bleiben
Auch wenn ein PDF sauber aussieht, ist die interne Information nicht unbedingt sauber.
Bei Anonymität prüft man angezeigte Seiten und interne Dateiinformationen getrennt.
Was bei PDF-Umwandlung verschwindet und was bleibt
Wenn Office-Dokumente oder Bilder in PDF umgewandelt werden, ändern sich manche Informationen.
Das bedeutet jedoch nicht, dass alle Risiken verschwinden.
Was sich durch Umwandlung ändert
Was möglicherweise bleibt
Ein bearbeitbares Dokument wird zu einer festen Anzeige
Ersteller, Erstellungsprogramm, Erstellungszeit
Bilder werden eingebettet
Text im Bild, Hintergrund, Reflexionen
Schriftarten und Layout werden festgelegt
Eingebettete Schriftarten und App-Informationen
Kommentare verschwinden manchmal
Anmerkungen oder Änderungsverläufe können in anderer Form bleiben
Es sieht aus wie eine Schwärzung
Darunterliegender Text kann bleiben
PDF-Erstellung kann in bestimmten Situationen sinnvoll sein.
„In PDF umgewandelt“ ist aber nicht dasselbe wie „Anonymität geprüft“.
Schwärzung und verborgener Text
Besonders gefährlich ist es bei PDFs, wenn Informationen vermeintlich durch Schwärzung verborgen wurden.
Wenn nur ein schwarzes Rechteck darübergelegt wird, kann der darunterliegende Text in der Datei bleiben.
Auch wenn er optisch nicht lesbar ist, kann der ursprüngliche Text durch Kopieren, Suchen, Extrahieren oder interne Analyse sichtbar werden.
Methode
Risiko
Schwarze Form darüberlegen
Darunterliegender Text kann bleiben
Textfarbe auf Hintergrundfarbe setzen
Kopieren oder Suchen kann ihn sichtbar machen
In Screenshot umwandeln
Qualitätsverlust, durch OCR lesbarer Text und Hintergrundinformationen bleiben
Spezielle Schwärzungsfunktion verwenden
Nach der Verarbeitung ist erneute Prüfung nötig
Bei Dokumenten, die Schwärzung brauchen, nutzt man eine dafür vorgesehene Funktion und prüft danach Suche, Kopieren und Metadaten.
Bei hochriskanten Dokumenten sollte man nicht allein anhand eines Artikels entscheiden, sondern auch Fachleute oder vertrauenswürdige Unterstützungsstellen einbeziehen.
Organisationsinformationen in PDFs
Bei Whistleblowing oder Recherchedokumenten können Organisationsinformationen im PDF ein großes Problem werden.
Nicht nur Erstellernamen, sondern auch Vorlagen, Abteilungsnamen, Dateipfade, Anmerkungen, Verteilnummern, Wasserzeichen und die Form der Seitennummerierung werden zu Hinweisen.
Hinweis
Was er zeigt
Erstellername
Dokumentersteller oder Gerätekonto
Firmenname
Zugehörige Organisation oder Erstellungsumgebung
Vorlage
Abteilung oder Arbeitsablauf
Kommentierende Person
Person, die an der Bearbeitung beteiligt war
Wasserzeichen oder Verteilnummer
Empfänger oder Herkunft der Unterlagen
PDFs wirken wie „fertige Fassungen“.
Gerade weil sie wie fertige Fassungen wirken, können Spuren erhalten bleiben, die innerhalb einer Organisation entstanden sind.
Warum dies bei Whistleblowing und Recherchedokumenten besonders gefährlich ist
Bei Whistleblowing und Recherchedokumenten können Informationen in PDFs zeigen, „wer Zugriff auf diese Unterlagen haben konnte“.
Auch wenn im Dokument selbst kein Name steht, können Verteilbereich, Änderungszeit, Anmerkungen, Wasserzeichen, Seitennummern, Dokumentnummern oder abteilungsspezifische Vorlagen die Kandidaten eingrenzen.
Hinweis im PDF
Was vermutet wird
Verteilnummer
An welche Abteilung oder Person die Unterlage verteilt wurde
Wasserzeichen
Informationen zur Identifizierung von Betrachtenden oder Empfängern
Name der kommentierenden Person
Prüfer oder Beteiligte
Änderungszeit
Wer zu dieser Zeit arbeiten konnte
Vorlage
Organisation, Abteilung oder Arbeitsablauf
Solche Informationen können für gewöhnliche Leser bedeutungslos sein, für Menschen innerhalb der Organisation aber starke Hinweise liefern.
Bei Anonymität denkt man nicht nur daran, wie etwas für Unbekannte aussieht, sondern auch daran, wie es für Menschen aussieht, die den Kontext kennen.
Auch Textextraktion aus PDFs beachten
PDFs können intern Text enthalten, auch wenn sie optisch wie Bilder wirken.
Bei mit OCR bearbeiteten PDFs kann hinter dem Scanbild Suchtext liegen.
Wenn Schwärzung oder Unschärfung nur auf dem Bild erfolgt, bleibt es gefährlich, wenn der ursprüngliche Text im Suchtext erhalten ist.
Zustand
Was zu prüfen ist
Scan-PDF
Ob OCR-Text enthalten ist
Geschwärztes PDF
Ob durch Kopieren oder Suchen ursprüngliche Zeichen erscheinen
PDF mit Bildern
Ob Text oder Hintergrund in Bildern bleibt
PDF mit Anmerkungen
Ob Anmerkungstext oder Kommentare extrahiert werden können
Formular-PDF
Ob Eingabefelder oder Auswahlzustände bleiben
Vor der Veröffentlichung eines PDFs liest man es nicht nur optisch, sondern prüft auch Suche, Kopieren und Metadaten.
„Auf dem Bildschirm nicht sichtbar“ ist kein Sicherheitsbeweis.
Werkzeuge, die bei der Prüfung helfen können
Wenn PDF-Prüfung, Umwandlung, Schwärzung oder Metadatenentfernung über Online-Dienste erfolgt, können Originaldatei, Dateiname, interne Informationen und Zugriffsinformationen an den Dienst gelangen. Bei hochriskanten Dokumenten lädt man sie nicht zu externen Diensten hoch, sondern prüft lokal und kontrolliert das Ergebnis danach mit einer anderen Methode erneut.
Für die Metadatenprüfung von PDFs wird manchmal ExifTool verwendet.
Für Strukturprüfung und Umwandlung von PDFs kommt auch qpdf infrage. qpdf ist ein Werkzeug zur Prüfung und Umwandlung der Struktur von PDF-Dateien; die Nutzung lässt sich in der offiziellen Dokumentation nachlesen.
Ein Werkzeug macht eine Datei jedoch nicht automatisch sicher.
Man muss die angezeigten Informationen lesen und nach Löschung oder Neuerstellung erneut prüfen.
Prüfung vor der Veröffentlichung
Vor der Veröffentlichung eines PDFs prüft man in dieser Reihenfolge.
Reihenfolge
Was zu prüfen ist
Grund
1
Ersteller und Erstellungszeit ansehen
Prüfen, ob sie zu Person oder Arbeitszeit führen
2
Anmerkungen und Kommentare ansehen
Prüfen, ob Bearbeitungsprozess oder Beteiligte bleiben
3
Geschwärzte Stellen prüfen
Sehen, ob darunterliegender Text bleibt
4
Eingebettete Dateien und Bilder ansehen
Prüfen, ob Ursprungsdaten oder weitere Dateien bleiben
5
Dateinamen ansehen
Prüfen, ob Name, Abteilung oder Vorgangsname bleibt
6
Nach Löschung erneut prüfen
Prüfen, ob die Verarbeitung erfolgreich war
PDFs sind ein Format, das nach der Veröffentlichung leicht kopiert wird.
Deshalb ist die Prüfung vor der Veröffentlichung wichtig.
Die Entscheidung, ein PDF nicht zu veröffentlichen
Bei hochriskanten PDFs reichen Löschung oder Umwandlung nicht immer aus.
Der Inhalt der Unterlagen selbst kann die Informationsquelle eingrenzen.
Wenn zum Beispiel ein zeitlicher Ablauf enthalten ist, den nur Teilnehmende einer bestimmten Besprechung kennen, eine Abkürzung, die nur eine bestimmte Abteilung nutzt, oder je nach Empfänger unterschiedliche Formulierungen, kann der Kandidatenkreis auch nach Entfernung von Metadaten kleiner werden.
In diesem Fall ist eine Entscheidung nötig: das PDF nicht unverändert veröffentlichen, den Inhalt zusammenfassen, Eigennamen verallgemeinern, nur den notwendigen Umfang von einer vertrauenswürdigen Beratungsstelle prüfen lassen oder Fachleute beziehungsweise Unterstützungsstellen einbeziehen.
Bei Anonymität sind eine saubere Datei und eine veröffentlichbare Datei unterschiedliche Dinge.
Zusammenfassung
PDFs wirken sicher, weil ihr Erscheinungsbild festgelegt ist. Intern können jedoch Ersteller, Erstellungszeit, Anmerkungen, Einbettungen und verborgener Text bleiben.
Nur PDF-Erstellung vervollständigt Anonymität nicht.
Besonders auf Schwärzungen, Anmerkungen, Organisationsinformationen, Verteilnummern und Dateinamen ist zu achten.
Werkzeuge wie ExifTool und qpdf helfen bei der Prüfung, aber der Werkzeugname allein entscheidet nicht über Sicherheit.
Vor der Veröffentlichung prüft man Erscheinungsbild, interne Informationen, Dateiname und die erneute Kontrolle nach Entfernung zusammen.
Verwandte Werkzeuge
Metadata inspection
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.