PDFs werden häufig als Veröffentlichungs- oder Einreichungsunterlagen verwendet.
PDFs lassen sich jedoch nicht nur nach ihrem Aussehen beurteilen. Auch wenn im Text kein Name steht, können in der Datei Erstellername, Erstellungssoftware, Erstellungszeit, Anmerkungen, eingebettete Dateien und Formularinformationen bleiben.
Bei Anonymität werden nicht nur die Inhalte eines PDFs zu Hinweisen, sondern auch die Umgebung, in der es erstellt wurde, und der Bearbeitungsverlauf.
Dieser Artikel ordnet Informationen, die leicht in PDFs bleiben, und die Prüfpunkte vor einer Veröffentlichung.
Informationen, die in PDFs bleiben
PDFs können Informationen enthalten, die über das Dokument selbst hinausgehen.
Information
Was sie zeigt
Risiko für Anonymität
Ersteller
Benutzername des OS oder Dokumentprogramms
Personen- oder Organisationsname erscheint
Erstellungszeit
Wann es erstellt wurde
Verbindet sich mit Handlungszeit oder Erstellungszeit der Unterlagen
Erstellungssoftware
Word, LibreOffice, Scanner usw.
Wird zum Hinweis auf die Arbeitsumgebung
Titel
Ursprünglicher Dokumentname oder Vorgangsname
Interne Bezeichnungen bleiben
Anmerkungen
Kommentare oder Bearbeitungsnotizen
Beteiligte oder Entscheidungsprozesse erscheinen
Eingebettete Dateien
Ursprungsunterlagen oder Anhänge
Unnötige Informationen werden vermischt
PDFs wirken wie „fertige Fassungen“.
Intern können jedoch Informationen aus dem Erstellungsprozess bleiben.
Fehler bei der Schwärzung
Besonders gefährlich sind bei PDFs fehlgeschlagene Schwärzungen.
Auch wenn optisch ein schwarzes Rechteck etwas verdeckt, kann die Zeicheninformation intern bleiben. Durch Kopieren, Suchen oder Entfernen von Ebenen lässt sich ursprünglicher Text manchmal herausziehen.
Häufige Verarbeitung
Problem
Denkweise, um sicherer zu werden
Schwarze Form darüberlegen
Ursprüngliche Zeichen bleiben intern
Spezielle Schwärzungsfunktion nutzen
Nur Screenshot erstellen
Qualität und verborgene Informationen beachten
Nötigen Bereich erneut prüfen
Mit Anmerkung verdecken
Anmerkungen lassen sich möglicherweise entfernen
Nach Ausgabe durch Kopieren und Suchen prüfen
Seiten löschen
Einbettungen oder Verlauf können bleiben
Als andere Datei neu erzeugen
Teilweise manuell löschen
Es kommt leicht zu Übersehenem
Mit Checkliste arbeiten
Bei hochriskanten Unterlagen ist es sicherer, Schwärzungen nicht nur mit einem einzelnen Augenpaar zu beurteilen.
Im rechtlichen, journalistischen oder Whistleblowing-Kontext kann die Prüfung durch Fachleute oder vertrauenswürdige Beratungsstellen nötig werden.
PDFs nach Aussehen und Innerem getrennt betrachten
Bei der PDF-Prüfung trennt man Aussehen und interne Informationen.
Zum Aussehen gehören Text, Bilder, Tabellen, QR-Codes, Seitenzahlen, Hintergrund und Wasserzeichen. Intern gibt es Metadaten, Anmerkungen, eingebettete Dateien, Formulare und Links.
Prüfort
Informationen
Grund
Aussehen
Text, Bilder, Tabellen, Hintergrund
Direkte personenbezogene Informationen prüfen
Links
URL, Freigabeziel, Tracking
Persönliche IDs oder interne URLs vermeiden
Metadaten
Ersteller, Erstellungssoftware
Arbeitsumgebung nicht preisgeben
Anmerkungen
Kommentare, Korrekturen
Interne Gespräche nicht behalten
Einbettungen
Anhänge, Formulare
Keine unnötigen Daten einschließen
PDFs sehen wie Drucksachen aus.
Tatsächlich sind sie digitale Dateien mit interner Struktur.
Prüfschritte
Vor Veröffentlichung eines PDFs ist es Grundsatz, nicht die Originaldatei direkt zu veröffentlichen.
Man erstellt eine Veröffentlichungskopie und lässt nur die nötigen Informationen darin.
Prüfen, ob Dateiname bürgerlichen Namen, Vorgangsnamen oder Organisationsnamen enthält
3
Dokumenteigenschaften prüfen
4
Anmerkungen, Kommentare, Formulare und Einbettungen prüfen
5
Prüfen, ob geschwärzte Stellen kopiert oder gesucht werden können
6
In einer anderen Umgebung erneut öffnen und Anzeige prüfen
7
Nach dem Hochladen prüfen, wie es für die Gegenseite aussieht
Werkzeuge wie ExifTool oder qpdf helfen bei der Prüfung.
Auch wenn ein Werkzeug Metadaten entfernt, müssen Informationen im Text oder in Bildern getrennt geprüft werden. Wenn man die Original-PDF zu externen PDF-Konvertern, Online-Schwärzungsdiensten oder Online-Metadatenprüfern hochlädt, können Dokumentinhalt, Zugriffsinformationen und Verarbeitungszeit an diesen Dienst gelangen. Bei hochriskanten PDFs führt man Prüfung und Umwandlung möglichst lokal aus.
Auch den Empfängerweg des PDFs prüfen
Das Risiko eines PDFs liegt nicht nur im Dateiinneren.
Auch wohin man es hochlädt, an wen man es sendet und über welches Konto man es teilt, betrifft Anonymität. Bei Freigabe aus einer persönlichen Cloud können Eigentümername oder E-Mail-Adresse sichtbar sein. Bei E-Mail-Versand bleiben Absender, Betreff und Zeitpunkt.
Freigabemethode
Verbleibende Informationen
Hinweis
Cloud-Link
Eigentümername, Freigabeverlauf
Nicht aus dem Klarnamenkonto freigeben
E-Mail-Anhang
Absender, Betreff, Zeit
Korrelation des Kontaktwegs prüfen
Posting-Site
Upload-Zeit, Konto
Verbindet sich mit dem Beitragsinhalt
Chat-Versand
Bleibt auf dem Gerät der Gegenseite
Screenshots und Weiterleitung beachten
Anonyme Einreichung
Logs des Einreichungsziels, Prüfzeit
Vertrauenswürdigkeit des Ziels prüfen
Ein PDF sicherer zu machen bedeutet nicht nur, sein Inneres aufzuräumen.
Man betrachtet auch Freigabeweg, Konto, Sendezeit und Speicherung auf der Gegenseite.
Abgrenzung zu anderen Artikeln
Dieser Artikel behandelt Risiken durch Informationen, die in PDFs bleiben.
Der Ablauf zum tatsächlichen Entfernen von PDF-Metadaten wird in „Vorsicht beim Entfernen von PDF-Metadaten“ behandelt. Wenn ein PDF aus einer Office-Datei erstellt wird, prüft man auch Erstellerinformationen und Änderungsverlauf in der ursprünglichen Office-Datei.
Wichtig ist also, nicht beim PDF allein stehenzubleiben.
Prüfobjekt
Hauptprüfung
PDF selbst
Ersteller, Anmerkungen, Einbettungen, Schwärzung
Ursprüngliches Office-Dokument
Änderungsverlauf, Kommentare, Firmenname
Bild
Hintergrund, Reflexionen, Text,
Freigabeweg
Eigentümername, URL, Sendezeit
Beratungsstelle
Umgang mit Beweiswert und Sicherheit
PDFs sind in vielen Situationen ein „leicht einzureichendes Format“.
Gerade deshalb werden sie bei Whistleblowing, Beratung in Schule oder Beruf und journalistischer Weitergabe leicht unverändert herausgegeben. Wenn Anonymität wichtig ist, trennt man, wo Informationen über die Person, die das PDF erstellt, bearbeitet, geteilt oder geöffnet hat, erhalten bleiben.
Auch bei erhaltenen PDFs vorsichtig sein
PDF-Risiken betreffen nicht nur selbst erstellte Dateien.
Auch PDFs, die man von anderen erhält, können Ersteller, Erstellungszeit, Erstellungssoftware, Anmerkungen und eingebettete Dateien enthalten. Wenn man ein PDF aus Recherche oder Beratung unverändert veröffentlicht, kann dadurch eine Linie zurück zur Quelle entstehen.
Information im erhaltenen PDF
Risiko
Ersteller
Anbieter oder Organisation wird erkennbar
Erstellungszeit
Entstehungszeit der Unterlagen wird erkennbar
Anmerkungen
Interne Notizen bleiben
Einbettungen
Ursprungsunterlagen werden vermischt
Dateiname
Vorgang oder Personenname wird sichtbar
Gerade erhaltene PDFs prüft man aus der Perspektive des Quellenschutzes.
Auch Scan-PDFs behalten Hinweise
Es stimmt nicht, dass ein eingescanntes Papier als PDF automatisch sicher ist.
Scan-PDFs können Scannername, Erstellungssoftware und Erstellungszeit enthalten. Außerdem bleiben auf der Papierseite selbst Stempelabdrücke, Eingangsnummern, Handschrift, Knicke, Randnotizen und Merkmale des Kopiergeräts. Auch Bild-PDFs ohne Textinformation liefern über das Aussehen Hinweise.
Hinweis
Was er zeigt
Hinweis
Scannerinformation
Verwendetes Gerät oder Umgebung
Metadaten prüfen
Eingangsnummer
Organisationsinterne Unterlagen
Nummernsystem grenzt ein
Handschrift
Schreibende Person
Bekannte Personen erkennen sie
Stempel oder Unterschrift
Person oder Organisation
Wird zu direkter Identifizierungsinformation
Rand und Knicke
Umgang mit dem Original
Weg des Originals wird vermutet
Scan-PDFs tragen Risiken digitaler Dokumente und Papierdokumente zugleich.
Man prüft nicht nur Metadaten, sondern vergrößert auch das Aussehen der Papierseite.
Zusammenfassung
PDFs lassen sich nicht allein nach ihrem Aussehen als sicher beurteilen.
Erstellername, Erstellungszeit, Erstellungssoftware, Anmerkungen, eingebettete Dateien und Formularinformationen können bleiben.
Auch Schwärzung ist nach dem Aussehen allein unzureichend. Verfahren, bei denen ursprüngliche Zeichen intern bleiben, sind gefährlich.
Bei Anonymität prüft man PDF-Text, Aussehen, interne Informationen, Dateiname und Freigabeziel getrennt.
Bei hochriskanten Unterlagen erwägt man, nicht allein zu entscheiden, sondern vertrauenswürdige Beratungsstellen oder Fachleute einzubeziehen.
Verwandte Werkzeuge
Metadata inspection
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.