{"id":252555,"date":"2021-04-29T00:13:00","date_gmt":"2021-04-28T22:13:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252555"},"modified":"2024-06-17T14:13:17","modified_gmt":"2024-06-17T12:13:17","slug":"wie-sicher-ist-eigentlich-das-adobe-pdf-format-und-die-anzeigesoftware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/29\/wie-sicher-ist-eigentlich-das-adobe-pdf-format-und-die-anzeigesoftware\/","title":{"rendered":"Wie sicher ist eigentlich das Adobe PDF-Format und die Anzeigesoftware?"},"content":{"rendered":"

\"SicherheitWie sicher ist denn das breit verwendete Adobe PDF-Format im Hinblick darauf, dass beim Betrachten keine Daten unbewusst an Dritte weiter gegeben werden? Und wie sicher sind die Programme zum Anzeigen von PDF-Dokumenten, gibt es doch immer wieder mal Sicherheitsl\u00fccken? Nachfolgend einige Gedanken, um das Schwarmwissen der Community ggf. einzubinden.<\/p>\n

<\/p>\n

\"\"Das Thema steht hier schon einige Tage auf der Agenda, denn das Adobe PDF-Format wird breit verwendet und Programme zur Anzeige von PDF-Dateien gibt es auch kostenlos. Aber hier im Blog berichte ich eigentlich regelm\u00e4\u00dfig \u00fcber Sicherheitsupdates des Adobe Acrobat\/Reader DC – und alternative PDF-Viewer sind auch immer mal wieder mit Schwachstellen aufgefallen. Zudem hat mit Patrick darauf hingewiesen, dass bei den PDF-Viewern durchaus auch Risiken in Punkto DSGVO-Verletzungen lauern k\u00f6nnen.<\/p>\n

Ein Beispiel aus der Praxis<\/h2>\n

Blog-Leser Patrick hatte mich auf eine spezielle Problematik im Zusammenhang mit PDF-Dokumenten hingewiesen. Immer mehr Beh\u00f6rden gehen dazu \u00fcber, Dokumente und Bekanntmachungen im Adobe PDF-Format bereitzustellen. Dazu schrieb mir Patrick:<\/p>\n

Auf der Website der Stadt Filderstadt findet sich unter Satzung und Richtlinien<\/a> das \"Redaktionsstatut \u00fcber die Herausgabe und den Inhalt
\ndes Amtsblattes\", das wohl mit Microsoft Word erstellt und als PDF-Datei auf der Website bereitgestellt wird.<\/p><\/blockquote>\n

Dazu merkte Patrick an, dass dieses Dokument bei der Anzeige auf einem Windows, auf dem kein Microsoft Office installiert ist, wegen fehlender Schriftarten nur schlecht lesbar ist. Er vermutet, dass die Office-Schriftarten, die mit Word verwendet werden k\u00f6nnen, nicht im PDF-Dokument eingebettet wurden. Auf Systemen, auf denen diese Schriftarten fehlen, scheitert dann wohl die korrekte Anzeige des PDF-Dokuments – ich kann es nicht testen, da hier ein Office installiert wurde. Offenbar wurden keine Schriften dynamisch nachgeladen (was schon mal gut ist). Dieser Fall wirft schon mal die Frage auf, wie universell und barrierefrei PDF-Dokument wirklich sind. Aber es gibt noch einen viel gewichtigeren Aspekt, den Patrick in einer Mail aufwarf:<\/p>\n

Grunds\u00e4tzlich problematisch bei der Bereitstellung von PDF-Dateien finde ich, dass nirgends die Formate und Funktionen (z. B. aktive Inhalte, Trackingfunktionen etc.) von den jeweiligen Anbietern beschrieben werden.<\/p><\/blockquote>\n

Er stellt darauf ab, dass im PDF-Format durchaus Trackingfunktionen verwendbar sind, um festzustellen, ob jemand gesch\u00fctzte Dokumente ansehen m\u00f6chte und die entsprechende Berechtigung hat.<\/p>\n

PDF-Viewer und die Sicherheit<\/h2>\n

Wenn ich mir hier im Blog so die Sicherheitsmeldungen rund um den Adobe Acrobat\/Reader DC, den Foxit-Reader etc. anschaue, tauchen doch immer wieder Sicherheitsl\u00fccken auf, die geschlossen werden. Hinzu kommt noch, dass in den Adobe PDF-Programmen JavaScript eingebettet werden kann, um aktive Inhalte bereitzustellen.<\/p>\n

Adobe weist Administratoren und Benutzer darauf hin, dass JavaScript als Sicherheitsrisiko in PDF-Dateien<\/a> gilt und gibt auch Hinweise, wie man bei Acrobat bzw. bei Reader die Sicherheitseinstellungen f\u00fcr JavaScript anpassen kann. Ich bin mir aber nicht sicher, wie viele Nutzer dies wirklich verwenden.<\/p>\n

Das PDF-Format wird f\u00fcr Angriffe benutzt<\/h3>\n

Vor einiger Zeit gab es von eSentire eine Warnung<\/a>, dass Cyber-Kriminelle Leute mit einem LinkedIn-Profil \u00fcber Fake-Jobangebote per Spear-Phishing angreifen. Eine .LNK-Datei in einem Dokument (ZIP, Word, PDF) reicht ggf., um das Opfer mit einer Trojaner zu infizieren und den Rechner zu \u00fcbernehmen. Obwohl der eSentire-Beitrag Fragen offen l\u00e4sst (wurden auf Nachfragen von uns nicht beantwortet), f\u00fchrte uns die Diskussion zum PDF-Format (mit JavaScript) als Sicherheitsrisiko. Patrick schrieb mir, dazu:<\/p>\n

Nachdem jetzt Firefox JavaScript f\u00fcr PDF-Dateien zumindest f\u00fcr Formulare teilweise integriert hat und die Folgen f\u00fcr die IT-Sicherheit wieder einmal gar nicht absehbar sind, versch\u00e4rft sich hier die zwangsweise Verarbeitung von PDF-Dateien.<\/p><\/blockquote>\n

Mit dem Satz stellt er auf die obige Beobachtung ab, dass Beh\u00f6rden Bekanntmachungen im PDF-Format bereitstellen, die die B\u00fcrger zwingen, einen PDF-Viewer zur Anzeige zu \u00f6ffnen. In diesem Zusammenhang wies er mich auf verschiedene Artikel im Internet zum Thema hin.<\/p>\n