Oberflächlich anonymisierte PDFs von Stromanbietern geben Kundendaten preis

Er heißt Max Mustermann, hat die Kundennummer 123456 und die Kontonummer 1234500XXXX. Mit seinen unverfänglichen Daten anonymisiert er Dokumente aller Art. Bisweilen gelingt das eher schlecht als recht. Dann bleiben Original-Kundendaten erhalten und lassen sich teils mit simplen Mitteln rekonstruieren.

So wie bei einigen Stromanbietern. Auf den Servern von Vattenfall, eRegio, Energie³, den Stadtwerken Bamberg und den Stadtwerken Hockenheim haben wir Musterrechnungen auf Basis von Original-PDFs gefunden, aus denen sich verborgene persönliche Informationen per Auswählen-Kopieren-Einfügen extrahieren ließen, von Name und Adresse über Kunden-/Verbrauchsstellennummer (Energie³) bis hin zur Bankverbindung (Stadtwerke Hockenheim und Bamberg). Einen vermeintlich unschädlich gemachten QR-Code, der zum Kunden-Login führte (Vattenfall), konnten wir mit einem Bildbearbeitungsprogramm rekonstruieren.

Auf Nachfrage reagierten außer Energie³ sämtliche Unternehmen professionell und nahmen die gemeldeten Dateien unverzüglich von ihren Servern. Die Stadtwerke Bamberg erklärten außerdem, die Panne beim Bayerischen Landesamt für Datenschutzaufsicht gemeldet zu haben. Auf Antwort von Energie³ warten wir noch.

Altbekanntes Problem

Das Problem ist wahrlich nicht neu: Allzu viele Anwender überdecken sensible Stellen in (PDF-)Dokumenten noch immer mit simplen schwarzen Kästen oder mit weißen plus Max-Mustermann-Ersatztext. Solche Funktionen findet man in allen kostenlosen PDF-Betrachtern, sie gehören zu den Kommentarwerkzeugen.

Diese sogenannten Markups schweben aber lediglich als zusätzliche Schicht über den ursprünglichen Inhalten. Um den verborgenen Text freizulegen, muss man kein ausgebuffter Hacker sein: Man öffnet das PDF im Browser, wählt per Strg+A alles aus, kopiert es per Strg+C und fügt es mit Strg+V in einem Texteditor ein. Alternativ lassen sich die Markups auch in einem kostenlosen PDF-Editor löschen, verschieben oder ausblenden.

Generell ist PDF ein sehr komplexes Format, in dem sich an allen möglichen Stellen (Ebenen, Metadaten etc.) sensible Informationen verstecken können.

Einfache Lösung

Wenn Sie nicht umhin können, (anonymisierte) Original-Dokumente zu veröffentlichen, benötigen Sie spezielle Redaction-Funktionen, die Inhalte nicht nur schwarz übermalen, sondern dauerhaft aus dem Dokument tilgen und darüber hinaus sämtliche verborgenen Objekte aufspüren und entfernen. Dies beherrschen nur professionelle PDF-Editoren wie Adobe Acrobat oder Foxit Phantom. Insbesondere muss man selbst genügend PDF-Know-how mitbringen, um das Ergebnis anschließend zu überprüfen. Für die manuelle Prüfung eignet sich bereits die kostenlose Version des PDF-XChange Editor, über dessen Seitenleisten sich PDF-Inhalte systematisch inspizieren lassen.

Für Rechnungs-Erläuterungen gibt es hingegen sichere und einfache Alternativen zum bearbeiteten Kundendokument: Man könnte zum Beispiel Vorlagen generieren, die von vornherein keine sensiblen Informationen enthalten.

Falls dies nicht geht und nur ein Original-PDF zur Verfügung steht, führt der sicherste Weg über annotierte Bildschirmfotos: Original im PDF-Betrachter öffnen, Kundendaten mit schwarzen Balken überdecken. Anschließend mit einem Screenshot-Werkzeug die relevanten Ausschnitte abfotografieren, nummerierte Erklärungen anbringen und als PNG oder JPEG speichern. Bessere Screenshot-Programme wie Greenshot, Screenpresso oder SnagIt enthalten einen Editor, in dem man Nummerierungen direkt ergänzen kann.

Dieser Workflow stellt sicher, dass die Musterrechnung nur das enthält, was Sie mit eigenen Augen auf dem Bildschirm sehen, also weder verborgene Ebenen noch verräterische Metadaten. (atr@ct.de)

Downloads und Quellen: ct.de/ysrp