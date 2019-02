Ihr Erfolg überraschte die Forscher selbst. Kaum ein gängiges Programm merkte es, wenn elektronisch signierte PDF-Dateien in ihren Tests auf simple Weise manipuliert wurden. Rechnungen, Behördenbriefe und Mahnschreiben ließen sich fälschen - und zwar so, dass die meisten PDF-Reader zu dem Schluss kamen, mit der elektronischen Signatur der Dokumente wäre alles in Ordnung.

Die Wissenschaftler arbeiten an der Ruhr-Universität Bochum, am Montag haben sie ihren Forschungsbericht veröffentlicht. Inzwischen haben zumindest einige Hersteller nachgebessert. Doch klar scheint: Auf PDF-Signaturen sollte man sich nicht hundertprozentig verlassen.

Die Idee hinter digitalen Signaturen erinnert an das klassische Wachssiegel: So lange der Umschlag verschlossen und das richtige Siegel aufgepresst ist, gilt der Inhalt als unberührt. Nachträgliche Änderungen sind damit kaum möglich. Bei digitalen Signaturen sollte das auch so sein: Der Urheber schreibt einen Text und versiegelt das Dokument digital. Sobald jemand etwas an dem Dokument ändert, sollten PDF-Reader anzeigen, dass die Signatur ungültig ist.

Nur einmal flog die Sache auf

So weit die Theorie. Im Rahmen ihrer Untersuchung hatten die Forscher unter anderem eine signierte PDF-Originalrechnung von Amazon gefälscht und den Erstattungsbetrag auf eine Billion Dollar hochgesetzt. 21 von 22 PDF-Readern merkten nicht, dass das Dokument verändert worden war.

Selbst der PDF-Pionier Adobe fiel den Forschern zufolge mit seinem Acrobat Reader durch. Das Programm erkannte die Veränderungen nicht - wie auch der Foxit Reader, Nitro PDF und das PDF Studio Pro. Nur eine alte Version des Acrobat Readers auf einem Linux-System bemerkte den Betrug. Ein ähnliches Bild zeigte sich angeblich bei Onlineanbietern: Fünf von sechs PDF-Prüfprogrammen im Netz versagten.

Für kriminelle Hacker sei die Manipulation leicht umzusetzen, sagt Vladislav Mladenov aus dem Forscherteam dem SPIEGEL. "Wir haben sehr einfache Tools wie Texteditoren verwendet." Die Inhalte ließen sich damit problemlos manipulieren. "Kurze Sätze oder Zahlen können in knapp einer Minute verändert werden." Lediglich das Dokument-Design zu verändern, dauere länger.

Das Problem sieht Mladenov vor allem bei den Vorgaben für die Entwickler. In den PDF-Vorgaben von Adobe werde nicht genau beschrieben, woran man sich bei der Umsetzung von digitalen Signaturen halten solle, sagt er. "Die Anleitung ist nur sehr schwammig und beschreibt nicht, wie die Signaturen konkret geprüft werden sollen."

Unternehmen und Regierungsbehörden sind betroffen

Prinzipiell ist kein PDF-Dokument vor Veränderungen wie denen durch die Forscher sicher: "Mit der Methode lassen sich alle digital signierten PDF-Dokumente wie Gesetzestexte und Rechnungen manipulieren", sagt Christian Mainka, der ebenfalls an dem Projekt mitgearbeitet hat.

PDF-Signaturen werden in zahlreichen Unternehmen eingesetzt, die Rechnungen mit elektronischer Signatur an ihre Kunden versenden. Dazu zählen unter anderem Amazon, die Autovermietung Sixt und der Sportartikelhändler Decathlon, die im Forschungsbericht explizit erwähnt werden.

Doch auch Regierungsbehörden verschicken signierte PDF-Dateien. Seit Juli 2016 gilt für europäische Länder wie Deutschland die Eidas-Verordnung der EU. Der digitale Schriftverkehr zwischen den Ländern und auch zwischen Bürgern und Behörden muss demnach mit digitalen Signaturen abgewickelt werden. Dazu zählen auch PDF-Dokumente, deren Adobe-Sicherheitszertifikate offiziell die Eidas-Kriterien erfüllen.

Viele Entwickler haben bereits nachgebessert

Weil sich so viele PDF-Reader überlisten ließen, haben die Forscher im Oktober das Bundesamt für Sicherheit und Informationstechnik (BSI) auf die Sicherheitslücken hingewiesen. Die Behörde hat seither alle Entwickler der getesteten Software angeschrieben: Viele Programme seien nach einem Update jetzt wieder sicher, heißt es. Auch die neueste Adobe-Version sei nun immun. "Im Adobe Reader haben wir sehr ärgerliche Fehler entdeckt, die aber sehr schnell behoben wurden", sagt Christian Mainka.

Obwohl dem BSI nach eigenen Angaben keine konkreten Fälle bekannt sind, sollte man davon ausgehen, dass Betrüger die Schwachstellen missbrauchen können. Da es um Sicherheitslücken auf lokalen Systemen gehe, "ist die praktische Ausnutzung durchaus möglich", sagte ein BSI-Sprecher dem SPIEGEL. "Das BSI steht mit betroffenen Behörden in Kontakt und unterstützt diese bei Bedarf bei der Bewältigung dieser Herausforderung."

Die Empfehlung des BSI: Wer unsicher ist, sollte verdächtige PDF-Dokumente mit einem gepatchten Reader noch einmal überprüfen. Welche Versionen der PDF-Reader betroffen sind, steht in dieser Liste. Viele Hersteller haben bereits ein Update zur Verfügung gestellt, das die Sicherheitslücken ausmerzt.