Erstellerinformationen in Dokumenten, PDFs und Office-Dateien
Wenn man beim Whistleblowing mit Dokumenten arbeitet, darf man nicht nur den sichtbaren Text ansehen.
In PDFs, Word-, Excel- und PowerPoint-Dateien sowie in als Bild gespeicherten Materialien können Erstellerinformationen, Bearbeitungsverlauf, Kommentare, Vorlagen, Dateipfade und Verteilkennungen zurückbleiben.
Selbst wenn der Name aus dem Text entfernt wurde, bricht die Anonymität zusammen, wenn im Inneren der Datei der Name des Erstellers zurückbleibt.
Dieser Artikel ordnet die Erstellerinformationen in Dokumenten, PDFs und Office-Dateien, auf die man beim Whistleblowing besonders achten sollte.
Was Erstellerinformationen sind
Erstellerinformationen sind Informationen, die einer Datei beigefügt sind, etwa Ersteller, Firmenname, Bearbeiter, Erstellungssoftware und Erstellungszeitpunkt.
In Office-Dokumenten und PDFs können Informationen zurückbleiben, die man auf dem Bildschirm nicht sieht.
| Information | Was erkennbar wird |
|---|---|
| Erstellername | Echter Name oder internes Konto |
| Firmenname | Zugehörige Organisation |
| Zuletzt geändert von | Person, die an der Bearbeitung beteiligt war |
| Erstellungszeitpunkt | Wann das Material erstellt wurde |
| Dateipfad | Abteilungsname, Benutzername, Gerätename |
| Kommentare | Interne Gespräche oder Namen von Zuständigen |
Auch wenn diese Informationen auf dem geöffneten Bildschirm nicht erscheinen, können sie als Eigenschaften oder Metadaten zurückbleiben.
Vorsichtspunkte bei Office-Dateien
In Word, Excel und PowerPoint bleiben Änderungsverläufe und Kommentare leicht zurück.
Besonders bei internen Dokumenten werden für die Prüfung verantwortliche Personen, Abteilungsnamen, Korrekturverläufe, ausgeblendete Tabellenblätter und eingebettete Objekte zu Hinweisen.
| Information in Office-Dateien | Risiko |
|---|---|
| Änderungsverlauf | Erkennbar wird, wer wo bearbeitet hat |
| Kommentare | Namen von Zuständigen oder interne Gespräche bleiben zurück |
| Ausgeblendete Tabellenblätter | Nicht sichtbare Daten bleiben zurück |
| Eingebettete Dateien | Ursprungsmaterialien oder andere Dateien sind enthalten |
| Vorlage | Organisationsname oder Abteilungsname wird erkennbar |
Office-Dateien unverändert nach außen zu senden, ist gefährlich.
Erstellen Sie eine Veröffentlichungskopie und prüfen Sie unnötige Verläufe und Kommentare. Wenn jedoch Beweiswert nötig ist, bewahren Sie das unbearbeitete Original.
Vorsichtspunkte bei PDFs
PDFs wirken sicher, aber im Inneren bleiben Informationen zurück.
Ersteller, Erstellungssoftware, Anmerkungen, Formulare, eingebetteter Text, Text unter Schwärzungen und angehängte Dateien können enthalten sein.
| PDF-Information | Vorsichtspunkt |
|---|---|
| Ersteller | Echter Name oder Organisationsname bleibt zurück |
| Anmerkungen | Kommentare oder Review-Verläufe sind sichtbar |
| Eingebetteter Text | Unter einer Schwärzung kann Text zurückbleiben |
| Formulare | Eingabeverläufe oder Feldnamen bleiben zurück |
| Angehängte Dateien | Innerhalb der PDF können andere Dateien enthalten sein |
Eine Datei wird nicht allein dadurch sicher, dass sie in PDF umgewandelt wurde.
Prüfen Sie Schwärzungen, Anmerkungen, Eigenschaften und eingebettete Informationen.
Fehler bei Schwärzungen beachten
In Whistleblowing-Materialien werden Namen oder Nummern manchmal geschwärzt.
Wenn jedoch nur ein schwarzes Rechteck darübergelegt wird, kann der darunterliegende Text zurückbleiben. Es kann möglich sein, Text aus der PDF zu kopieren, zu suchen oder sichtbar zu machen, indem eine Ebene entfernt wird.
| Fehler bei der Schwärzung | Was passiert |
|---|---|
| Nur eine Form über Text gelegt | Der ursprüngliche Text erscheint beim Kopieren oder Suchen |
| Nur mit einer Anmerkung verdeckt | Beim Ausblenden der Anmerkung wird er sichtbar |
| Unzureichende Umwandlung in ein Bild | Text ist in hoher Auflösung lesbar |
| Nur ein Teil entfernt | Aus Umgebungsinformationen wird etwas abgeleitet |
| Ursprungsdatei beigelegt | Unbearbeitete Materialien bleiben zurück |
Bei Schwärzungen entscheidet man nicht nur nach dem Aussehen.
Öffnen Sie die Veröffentlichungskopie in einer anderen App und prüfen Sie Kopieren, Suche und Eigenschaften.
Grenzen von Screenshots
Manche denken, ein Dokument werde sicher, wenn man daraus einen Screenshot macht.
Screenshots können einen Teil der Metadaten verringern, sind aber kein Allheilmittel. Auf dem Bildschirm können Benachrichtigungen, Kontonamen, Uhrzeit, OS-Oberfläche, Browser-Tabs und Dateinamen erscheinen. Auch in Bilddateien können Aufnahmezeitpunkt oder Geräteinformationen zurückbleiben.
| Was in Screenshots zurückbleibt | Vorsichtspunkt |
|---|---|
| Benachrichtigungen | Echte Konten oder andere Dienste erscheinen im Bild |
| Browser-Tabs | Geöffnete Seiten oder Dienste werden sichtbar |
| Uhrzeit | Wird mit dem Verhaltensverlauf verbunden |
| Dateiname | Vorgangsname oder Abteilungsname wird sichtbar |
| Bildmetadaten | Erstellungszeitpunkt oder Geräteinformationen können zurückbleiben |
Ein Screenshot beseitigt nicht alle Probleme des Originals.
Als Veröffentlichungsbild muss er gesondert geprüft werden.
Prüfung und Sicherung trennen
Beim Whistleblowing ist es gefährlich, nur daran zu denken, Metadaten zu entfernen.
Der Beweiswert des Originals kann wichtig sein. Manchmal sind Informationen nötig, die zeigen, wann ein Material erstellt wurde, wer es erstellt hat oder ob es echt ist.
| Datei | Umgang |
|---|---|
| Original | Zur Wahrung des Beweiswerts sicher aufbewahren |
| Prüfkopie | Metadaten und Inhalt prüfen |
| Einreichungskopie | An das Verfahren der Empfängerseite anpassen |
| Veröffentlichungskopie | Unnötige personenbezogene Informationen entfernen |
Was entfernt und was erhalten wird, hängt vom Zweck ab.
Bei einer Informationsgabe an eine Redaktion, einer Beratung mit einer Anwältin oder einem Anwalt und einer öffentlichen Veröffentlichung fällt die Entscheidung unterschiedlich aus.
Nicht nur mit Werkzeugen entscheiden
Werkzeuge zur Metadatenprüfung sind nützlich.
ExifTool ist ein verbreitetes Werkzeug zur Prüfung von Metadaten in vielen Dateiformaten.
URL : https://exiftool.org/
Allerdings sind nicht nur die Informationen riskant, die ein Werkzeug sichtbar macht. Interne Begriffe im Text, Dokumentnummern, Verteilerkreis, sprachliche Gewohnheiten und die geringe Zahl der Personen, die eine Datei erhalten konnten, grenzen den Kreis möglicher Personen ebenfalls ein.
An das Verfahren der Empfängerseite anpassen
Bei Whistleblowing-Materialien ist es auch wichtig, nicht nach eigenem Urteil zu viel zu bearbeiten.
Redaktionen, Anwältinnen und Anwälte, Unterstützungsorganisationen und Meldestellen können jeweils eigene Verfahren für den Empfang von Materialien und die Beweissicherung haben. Prüfen Sie vor der Einreichung, in welchem Format gesendet werden soll, ob das Original nötig ist oder ob eine anonymisierte Kopie genügt.
| Gegenüber | Was zu prüfen ist |
|---|---|
| Redaktion | Kanal für anonyme Hinweise und Materialformat |
| Anwältin oder Anwalt | Sicherung des Originals, Beweiswert, Zulässigkeit von Bearbeitung |
| Unterstützungsorganisation | Sicherer Beratungsweg, nötige Materialien |
| Interne Meldestelle | Identitätsprüfung, Protokolle, Risiko von Vergeltung |
| Verwaltungsbehörde | Einreichungsformat, Verfahren, Umgang mit personenbezogenen Informationen |
Sichere Dokumentenverarbeitung verändert sich je nach Zweck und Einreichungsziel.
Entscheiden Sie nicht allein, dass es sicher sei, wenn etwas entfernt wird, sondern prüfen Sie sowohl den nötigen Beweiswert als auch die Anonymität.
Wenn die Entscheidung schwierig ist, prüfen Sie vor der Einreichung eine sichere Beratungsmethode bei der Empfängerseite.
Dokumentenverarbeitung ist eine Arbeit, die Anonymität und Beweiswert gleichzeitig behandelt.
Wenn nur eine Seite priorisiert wird, bleiben Risiken zurück, die später nicht erklärt werden können.
Zusammenfassung
In Dokumenten, PDFs und Office-Dateien können Erstellerinformationen, Bearbeitungsverläufe, Kommentare, Dateipfade, Anmerkungen und ausgeblendete Daten zurückbleiben.
Selbst wenn der Name aus dem Text entfernt wurde, bricht die Anonymität zusammen, wenn im Inneren der Datei echter Name oder Organisationsname zurückbleiben.
Beim Whistleblowing trennt man Original, Prüfkopie, Einreichungskopie und Veröffentlichungskopie. Bei Materialien, für die Beweiswert nötig ist, bearbeitet man sie nicht unbedacht, sondern fragt Fachleute oder die Empfängerseite.
Werkzeuge zur Metadatenprüfung sind nützlich, aber zugleich muss man auch die Korrelation von Dokumentinhalt und Verteilerkreis ansehen.
Verwandte Werkzeuge
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://exiftool.org/
MAT2
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
qpdf
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
SecureDrop
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://securedrop.org/
GlobaLeaks
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://globaleaks.org/