zurĂŒck zum Artikel

OberflÀchlich anonymisierte PDFs von Stromanbietern geben Kundendaten preis

| Andrea Trinkwalder

Energieversorger erlĂ€utern ihre Rechnungen gerne anhand anonymisierter Muster-PDFs. In einigen fanden wir RĂŒckstĂ€nde von Kundendaten.

Er heißt Max Mustermann, hat die Kundennummer 123456 und die Kontonummer 1234500XXXX. Mit seinen unverfĂ€nglichen Daten anonymisiert er Dokumente aller Art. Bisweilen gelingt das eher schlecht als recht. Dann bleiben Original-Kundendaten erhalten und lassen sich teils mit simplen Mitteln rekonstruieren.

So wie bei einigen Stromanbietern. Auf den Servern von Vattenfall, eRegio, Energie3, den Stadtwerken Bamberg und den Stadtwerken Hockenheim haben wir Musterrechnungen auf Basis von Original-PDFs gefunden, aus denen sich verborgene persönliche Informationen per AuswĂ€hlen-Kopieren-EinfĂŒgen extrahieren ließen, von Name und Adresse ĂŒber Kunden-/Verbrauchsstellennummer (Energie3) bis hin zur Bankverbindung (Stadtwerke Hockenheim und Bamberg). Einen vermeintlich unschĂ€dlich gemachten QR-Code, der zum Kunden-Login fĂŒhrte (Vattenfall), konnten wir mit einem Bildbearbeitungsprogramm rekonstruieren.

Auf Nachfrage reagierten außer Energie3 sĂ€mtliche Unternehmen professionell und nahmen die gemeldeten Dateien unverzĂŒglich von ihren Servern. Die Stadtwerke Bamberg erklĂ€rten außerdem, die Panne beim Bayerischen Landesamt fĂŒr Datenschutzaufsicht gemeldet zu haben. Auf Antwort von Energie3 warten wir noch.

Altbekanntes Problem

Das Problem ist wahrlich nicht neu: Allzu viele Anwender ĂŒberdecken sensible Stellen in (PDF-)Dokumenten noch immer mit simplen schwarzen KĂ€sten oder mit weißen plus Max-Mustermann-Ersatztext. Solche Funktionen bieten alle kostenlosen PDF-Betrachter [1] als Teil der ommentarwerkzeuge.

Diese sogenannten Markups schweben lediglich als zusĂ€tzliche Schicht ĂŒber den nach wie vor gespeicherten Inhalten. Um auf diese Weise verborgenen Text freizulegen, muss man kein ausgebuffter Hacker sein: Man öffnet das PDF im Browser, wĂ€hlt per Strg+A alles aus, kopiert es per Strg+C und fĂŒgt es mit Strg+V in einem Texteditor ein. Alternativ lassen sich die Markups auch in einem kostenlosen PDF-Editor löschen, verschieben oder ausblenden.

Ein Blick in die Inhaltsleiste verrĂ€t, dass diese PDF-Musterrechnung nur mit schwarzen Rechtecken ĂŒberdeckt wurde.,

Ein Blick in die Inhaltsleiste verrĂ€t, dass diese PDF-Musterrechnung nur mit schwarzen Rechtecken ĂŒberdeckt wurde.

Generell ist PDF ein sehr komplexes Format, in dem sich an allen möglichen Stellen (Ebenen, Metadaten etc.) sensible Informationen verstecken können.

Wenn Sie nicht umhin können, (anonymisierte) Original-Dokumente zu veröffentlichen, benötigen Sie spezielle Redaction-Funktionen, die Inhalte nicht nur schwarz ĂŒbermalen, sondern dauerhaft aus dem Dokument tilgen und darĂŒber hinaus sĂ€mtliche verborgenen Objekte aufspĂŒren und entfernen [2]. Dies beherrschen nur professionelle PDF-Editoren wie Adobe Acrobat oder Foxit Phantom [3]. Insbesondere muss man selbst genĂŒgend PDF-Know-how mitbringen, um das Ergebnis anschließend zu ĂŒberprĂŒfen. FĂŒr die manuelle PrĂŒfung eignet sich bereits die kostenlose Version des PDF-XChange Editor [4], ĂŒber dessen Seitenleisten sich PDF-Inhalte systematisch inspizieren lassen.

FĂŒr Rechnungs-ErlĂ€uterungen gibt es sichere und einfache Alternativen zum bearbeiteten Kundendokument: Es reicht schon, Vorlagen zu generieren, die von vornherein keine sensiblen Informationen enthalten.

Falls dies nicht geht und nur ein Original-PDF zur VerfĂŒgung steht, fĂŒhrt der sicherste Weg ĂŒber annotierte Bildschirmfotos: Original im PDF-Betrachter öffnen und Kundendaten mit schwarzen Balken ĂŒberdecken. Anschließend mit einem Screenshot-Werkzeug die relevanten Ausschnitte abfotografieren, nummerierte ErklĂ€rungen anbringen und als PNG oder JPEG speichern. Bessere Screenshot-Programme wie Greenshot, Screenpresso oder SnagIt enthalten einen Editor, in dem man Nummerierungen direkt ergĂ€nzen kann.

Dieser Workflow stellt sicher, dass die Musterrechnung nur das enthÀlt, was Sie mit eigenen Augen auf dem Bildschirm sehen, also weder verborgene Ebenen noch verrÀterische Metadaten. Der Nachteil dieser Methode ist, dass Blinde und auf Screenreader angewiesene Sehschwache mit dem Ergebnis nichts anfangen können; ebenso laufen Suchfunktionen ins Leere.

Der lediglich an den Positionsmarkern verfremdete QR-Code ließ sich leicht reparieren und fĂŒhrte direkt ins Kundenportal, das aber außer dem Nachnamen keine Daten preisgab.,

Der lediglich an den Positionsmarkern verfremdete QR-Code ließ sich leicht reparieren und fĂŒhrte direkt ins Kundenportal, das aber außer dem Nachnamen keine Daten preisgab.
c’t – Europas grĂ¶ĂŸtes IT- und Tech-Magazin

Alle 14 Tage prĂ€sentiert Ihnen Deutschlands grĂ¶ĂŸte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. UnabhĂ€ngiger Journalismus ist bei c't das A und O.

Mehr von c't Magazin Mehr von c't Magazin [7]

(atr [8])

URL dieses Artikels:
https://www.heise.de/-6660911

Links in diesem Artikel:
[1] https://www.heise.de/tipps-tricks/Die-besten-PDF-Viewer-im-Ueberblick-4438609.html
[2] https://www.heise.de/select/ct/archiv/2011/18/seite-172
[3] https://www.heise.de/hintergrund/Von-der-Theorie-bis-zur-Office-Praxis-So-wird-Ihr-PDF-barrierefrei-6445293.html
[4] https://www.heise.de/tests/Professionelle-PDF-Editoren-fuers-Homeoffice-im-Test-5035669.html
[5] https://www.heise.de/select/ct
[6] https://shop.heise.de/magazine/ct-magazin/
[7] https://www.heise.de/ct
[8] mailto:atr@ct.de

Copyright © 2022 Heise Medien