Er heißt Max Mustermann, hat die Kundennummer 123456 und die Kontonummer 1234500XXXX. Mit seinen unverfänglichen Daten anonymisiert er Dokumente aller Art. Bisweilen gelingt das eher schlecht als recht. Dann bleiben Original-Kundendaten erhalten und lassen sich teils mit simplen Mitteln rekonstruieren.

So wie bei einigen Stromanbietern. Auf den Servern von Vattenfall, eRegio, Energie3, den Stadtwerken Bamberg und den Stadtwerken Hockenheim haben wir Musterrechnungen auf Basis von Original-PDFs gefunden, aus denen sich verborgene persönliche Informationen per Auswählen-Kopieren-Einfügen extrahieren ließen, von Name und Adresse über Kunden-/Verbrauchsstellennummer (Energie3) bis hin zur Bankverbindung (Stadtwerke Hockenheim und Bamberg). Einen vermeintlich unschädlich gemachten QR-Code, der zum Kunden-Login führte (Vattenfall), konnten wir mit einem Bildbearbeitungsprogramm rekonstruieren.

Auf Nachfrage reagierten außer Energie3 sämtliche Unternehmen professionell und nahmen die gemeldeten Dateien unverzüglich von ihren Servern. Die Stadtwerke Bamberg erklärten außerdem, die Panne beim Bayerischen Landesamt für Datenschutzaufsicht gemeldet zu haben. Auf Antwort von Energie3 warten wir noch.

Altbekanntes Problem

Das Problem ist wahrlich nicht neu: Allzu viele Anwender überdecken sensible Stellen in (PDF-)Dokumenten noch immer mit simplen schwarzen Kästen oder mit weißen plus Max-Mustermann-Ersatztext. Solche Funktionen bieten alle kostenlosen PDF-Betrachter als Teil der ommentarwerkzeuge.

Diese sogenannten Markups schweben lediglich als zusätzliche Schicht über den nach wie vor gespeicherten Inhalten. Um auf diese Weise verborgenen Text freizulegen, muss man kein ausgebuffter Hacker sein: Man öffnet das PDF im Browser, wählt per Strg+A alles aus, kopiert es per Strg+C und fügt es mit Strg+V in einem Texteditor ein. Alternativ lassen sich die Markups auch in einem kostenlosen PDF-Editor löschen, verschieben oder ausblenden.

Ein Blick in die Inhaltsleiste verrät, dass diese PDF-Musterrechnung nur mit schwarzen Rechtecken überdeckt wurde.

Generell ist PDF ein sehr komplexes Format, in dem sich an allen möglichen Stellen (Ebenen, Metadaten etc.) sensible Informationen verstecken können.

Einfache Lösung

Wenn Sie nicht umhin können, (anonymisierte) Original-Dokumente zu veröffentlichen, benötigen Sie spezielle Redaction-Funktionen, die Inhalte nicht nur schwarz übermalen, sondern dauerhaft aus dem Dokument tilgen und darüber hinaus sämtliche verborgenen Objekte aufspüren und entfernen. Dies beherrschen nur professionelle PDF-Editoren wie Adobe Acrobat oder Foxit Phantom. Insbesondere muss man selbst genügend PDF-Know-how mitbringen, um das Ergebnis anschließend zu überprüfen. Für die manuelle Prüfung eignet sich bereits die kostenlose Version des PDF-XChange Editor, über dessen Seitenleisten sich PDF-Inhalte systematisch inspizieren lassen.

Für Rechnungs-Erläuterungen gibt es sichere und einfache Alternativen zum bearbeiteten Kundendokument: Es reicht schon, Vorlagen zu generieren, die von vornherein keine sensiblen Informationen enthalten.

Falls dies nicht geht und nur ein Original-PDF zur Verfügung steht, führt der sicherste Weg über annotierte Bildschirmfotos: Original im PDF-Betrachter öffnen und Kundendaten mit schwarzen Balken überdecken. Anschließend mit einem Screenshot-Werkzeug die relevanten Ausschnitte abfotografieren, nummerierte Erklärungen anbringen und als PNG oder JPEG speichern. Bessere Screenshot-Programme wie Greenshot, Screenpresso oder SnagIt enthalten einen Editor, in dem man Nummerierungen direkt ergänzen kann.

Dieser Workflow stellt sicher, dass die Musterrechnung nur das enthält, was Sie mit eigenen Augen auf dem Bildschirm sehen, also weder verborgene Ebenen noch verräterische Metadaten. Der Nachteil dieser Methode ist, dass Blinde und auf Screenreader angewiesene Sehschwache mit dem Ergebnis nichts anfangen können; ebenso laufen Suchfunktionen ins Leere.

Der lediglich an den Positionsmarkern verfremdete QR-Code ließ sich leicht reparieren und führte direkt ins Kundenportal, das aber außer dem Nachnamen keine Daten preisgab.

(atr)