Wir setzen sie unter Postkarten aus dem Urlaub, unter Steuererklärungen, unter Arbeitsverträge, mal ist sie krakelig, mal gar unleserlich: unsere Unterschrift. Dabei hat sie eine wichtige Funktion: Sie verdeutlicht, dass wir einen Text selbst verfasst haben, dass wir den Inhalt eines Dokuments verstanden oder richtige Angaben gemacht haben.

Nun stammen Unterschriften noch aus dem Zeitalter des Papiers. Mittlerweile werden wichtige Dokumente oft digital verschickt und dann gerne als portable document format, besser bekannt als PDF. Schon 2015 fanden sich 1,6 Milliarden PDF-Dokumente im Netz. Um sie zu sichern, braucht es keine Unterschrift mehr, es reicht eine digitale Signatur. Vereinfacht ausgedrückt ist das eine Art digitales Siegel, das automatisiert berechnet und einem Dokument angehängt werden kann. Die Absenderin kann dadurch beispielsweise einen Vertrag "unterzeichnen". Ändert danach noch jemand etwas an dem Dokument, gilt die Signatur nicht mehr. Das soll Fälschungen vermeiden.

Allerdings sind diese Signaturen nicht so sicher wie lange angenommen. Das haben Forscher der Ruhr-Universität Bochum und des IT-Sicherheitunternehmens Hackmanit nachgewiesen (ACM SIGSAC Conference on Computer and Communications Security: Mladenov et al., 2019). In 21 von 22 PDF-Readern konnten sie Änderungen in einem Dokument vornehmen, ohne dass die Systeme das merkten. Sogar Adobe – das Unternehmen, das PDF einst entwickelt hat – markierte nachträgliche Änderungen in seinem Acrobat Reader nicht. Auf dem Chaos Communication Congress in Leipzig haben die Forscher nun das genaue Vorgehen präsentiert.

21 von 22 PDF-Readern betroffen

Auf das Thema stießen sie eher zufällig. Vor etwa anderthalb Jahren erhielten sie selbst einen Vertrag für ein Forschungsprojekt als signiertes PDF. Jörg Schwenk, Professor am Lehrstuhl für Netz- und Datensicherheit an der Ruhr-Universität Bochum, habe gefragt, wie diese Signaturen technisch überhaupt realisiert würden. Ein Team arbeitete sich daraufhin in die Struktur von PDF-Dokumenten ein. So erzählt es der Sicherheitsforscher Vladislav Mladenov aus Schwenks Team rückblickend. 

Als er und seine Kollegen sich mit der Sicherheit von PDF-Signaturen beschäftigten, fanden sie drei Wege, um die digitalen Verfahren zu umgehen. Sein Team nahm dafür als Beispiel eine PDF-Rechnung von Amazon. Im ersten Schritt fügte es Notizen und weitere Seiten an die Datei an. Bei einem PDF-Reader genügte das schon, um das Dokument zu verändern, ohne dass die Signatur ungültig wurde. Bei anderen Readern kopierten die Wissenschaftler die Signatur und fügten neue Inhalte hinzu. Auch dann galt sie noch.

Wir waren nicht überrascht, dass wir etwas gefunden haben. Aber wir waren überrascht, dass wir so viel gefunden haben.
Sicherheitsforscher Vladislav Mladenov

In einem zweiten Angriff verschoben die Forscher ursprünglich signierte Inhalte an eine andere Position im Dokument und schrieben an die entsprechende Stelle etwas anderes. In 17 getesteten PDF-Reader konnten die Dokumente so verändert werden, die Signatur blieb gültig. Schließlich manipulierten die Forscher noch die Metadaten der Signatur. Die betroffenen PDF-Reader erkannten auch dabei nicht, dass etwas verändert wurde, zeigten aber trotzdem an, dass die Signatur gelte. Alles, was die Forscher für die Manipulationen brauchten, war ein einfacher Texteditor, also ein Programm, mit dem man Textdateien bearbeiten kann.

"Wir waren nicht überrascht, dass wir etwas gefunden haben", sagt Mladenov. "Aber wir waren überrascht, dass wir so viel gefunden haben." PDF basieren auf einem Standard, den die Internationale Organisation für Normung (ISO) entwickelt hat. Das Problem: Es gebe darin keine klaren Vorgaben für Entwicklerinnen und Entwickler, wie sie digitale Signaturen umsetzen sollten, sagt Mladenov. "Das ist relativ schwammig formuliert." 

Im Prinzip ist von dieser Sicherheitslücke so gut wie jeder und jede betroffen, der PDF-Signaturen nutzt. Auch große Firmen wie Amazon, Decathlon oder Sixt setzten laut der Untersuchung darauf, sie schickten diese Dokumente an Kundinnen und Kunden. Adobe hat nach eigenen Angaben allein im vergangenen Jahr acht Milliarden elektronische und digitale Signaturen verarbeitet. Auch eine EU-Verordnung regelt die Verwendung digitaler Signaturen.

Auch PDF-Verschlüsselung funktioniert nicht

Die gültigen digitalen Signaturen trotz Veränderungen im Dokument sind nicht die einzigen Schwachstellen in PDF-Dateien. Wer die Inhalte nicht für jeden einsehbar machen will, kann ein Dokument verschlüsseln. Dann können es nur die Menschen lesen, die eine entsprechende Berechtigung haben. Ein anderes Forscherteam der Ruhr-Universität Bochum und der Fachhochschule Münster um Jens Müller und Fabian Ising hat auch dabei Sicherheitslücken entdeckt (Müller, Ising et al., 2019).

Die Wissenschaftler entwickelten ein Szenario, in dem ein Angreifer an eine E-Mail mit einem verschlüsselten PDF-Dokument gelangt. Auch ohne das Passwort zu kennen, kann er versteckte Befehle darin einarbeiten. Schickt er es an die eigentliche Empfängerin weiter und sie tippt das Passwort ein, bekommt der Angreifer automatisiert Zugriff auf den kompletten entschlüsselten PDF-Inhalt. 

Möglich ist das über zwei Wege. Im ersten Fall nutzten die Forscher ein Feature aus, mit dem man PDF-Dateien teilweise verschlüsseln kann. Sie konnten unter anderem die Struktur des PDF verändern und nicht verschlüsselte Inhalte hinzufügen. Sobald das Dokument von einer dazu berechtigten Person geöffnet wird, kann der Angreifer den Klartext extrahieren und gelangt so an den Inhalt. Im zweiten Fall verwendeten die Forscher eine Schwachstelle in den PDF-Verschlüsselungsspezifikationen. Dadurch konnten sie verschlüsselte Inhalte verändern. Alle 27 getesteten PDF-Reader waren für eine dieser Manipulationen anfällig.

Die Ergebnisse zeigen, dass die Verschlüsselung von PDF-Dokumente nicht so sicher ist, wie man bisher geglaubt hat.
Sicherheitsforscher Jens Müller

Die Angriffe auf verschlüsselte Dokumente seien noch schlimmer als die auf Signaturen, sagt Ising. Denn die Verschlüsselung von Dokumenten basiert ebenfalls auf dem ISO-Standard. Die nun entdeckten Sicherheitslücken zeigen, dass der nicht funktioniert. "Da haben wir wirklich den kompletten Standard gebrochen", sagt Ising. Entwicklerinnen und Entwickler in Unternehmen könnten die Fehler nicht selbstständig beheben, sie könnten die Nutzer höchstens warnen. In Deutschland setzen unter anderem Sparkassen verschlüsselte Dokumente ein, in den USA ist es das Justizministerium.

Kontrolle ist besser

Was folgt aus den Ergebnissen für Nutzerinnen und Nutzer? Erhielten sie ein signiertes oder verschlüsseltes PDF-Dokument, könnten sie sich nicht mehr hundertprozentig sicher sein, dass nichts daran verändert worden sei, sagt Ising. "Im Fall von digitalen Signaturen sollten sie zudem stärker hinterfragen, ob sie sich wirklich sicher sein können, von welcher Person eine PDF-Datei stammt."

Es sei jedoch keine Lösung, verschlüsselte PDF-Dokumente nicht mehr zu nutzen, sagt Mitautor Jens Müller. "Die Ergebnisse zeigen nur, dass die Verschlüsselung von PDF-Dokumenten nicht so sicher ist, wie man bisher geglaubt hat." Angreiferinnen und Angreifer müssten immer noch sehr viel Aufwand betreiben, um an ein verschlüsseltes Dokument zu gelangen und es manipuliert weiterzuleiten.

Die Forscher haben ihre Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitergeleitet. Das hat wiederum die betroffenen Unternehmen über die beiden Angriffsszenarien kontaktiert. Ob alle die Schwachstelle schon behoben haben, können die Forscher nicht sagen, da sie nicht von allen Rückmeldungen erhalten haben. Um die Verschlüsselung von PDFs bei allen PDF-Readern wieder zuverlässig sicher zu machen, muss die ISO zudem den Standard weiterentwickeln. Wann der genau kommt, ist bisher nicht bekannt.