Wir setzen sie unter Postkarten aus dem Urlaub, unter Steuererklärungen, unter Arbeitsverträge, mal ist sie krakelig, mal gar unleserlich: unsere Unterschrift. Dabei hat sie eine wichtige Funktion: Sie verdeutlicht, dass wir einen Text selbst verfasst haben, dass wir den Inhalt eines Dokuments verstanden oder richtige Angaben gemacht haben.

Nun stammen Unterschriften noch aus dem Zeitalter des Papiers. Mittlerweile werden wichtige Dokumente oft digital verschickt und dann gerne als portable document format, besser bekannt als PDF. Schon 2015 fanden sich 1,6 Milliarden PDF-Dokumente im Netz. Um sie zu sichern, braucht es keine Unterschrift mehr, es reicht eine digitale Signatur. Vereinfacht ausgedrückt ist das eine Art digitales Siegel, das automatisiert berechnet und einem Dokument angehängt werden kann. Die Absenderin kann dadurch beispielsweise einen Vertrag "unterzeichnen". Ändert danach noch jemand etwas an dem Dokument, gilt die Signatur nicht mehr. Das soll Fälschungen vermeiden.

Allerdings sind diese Signaturen nicht so sicher wie lange angenommen. Das haben Forscher der Ruhr-Universität Bochum und des IT-Sicherheitunternehmens Hackmanit nachgewiesen (ACM SIGSAC Conference on Computer and Communications Security: Mladenov et al., 2019). In 21 von 22 PDF-Readern konnten sie Änderungen in einem Dokument vornehmen, ohne dass die Systeme das merkten. Sogar Adobe – das Unternehmen, das PDF einst entwickelt hat – markierte nachträgliche Änderungen in seinem Acrobat Reader nicht. Auf dem Chaos Communication Congress in Leipzig haben die Forscher nun das genaue Vorgehen präsentiert.

21 von 22 PDF-Readern betroffen

Auf das Thema stießen sie eher zufällig. Vor etwa anderthalb Jahren erhielten sie selbst einen Vertrag für ein Forschungsprojekt als signiertes PDF. Jörg Schwenk, Professor am Lehrstuhl für Netz- und Datensicherheit an der Ruhr-Universität Bochum, habe gefragt, wie diese Signaturen technisch überhaupt realisiert würden. Ein Team arbeitete sich daraufhin in die Struktur von PDF-Dokumenten ein. So erzählt es der Sicherheitsforscher Vladislav Mladenov aus Schwenks Team rückblickend. 

Als er und seine Kollegen sich mit der Sicherheit von PDF-Signaturen beschäftigten, fanden sie drei Wege, um die digitalen Verfahren zu umgehen. Sein Team nahm dafür als Beispiel eine PDF-Rechnung von Amazon. Im ersten Schritt fügte es Notizen und weitere Seiten an die Datei an. Bei einem PDF-Reader genügte das schon, um das Dokument zu verändern, ohne dass die Signatur ungültig wurde. Bei anderen Readern kopierten die Wissenschaftler die Signatur und fügten neue Inhalte hinzu. Auch dann galt sie noch.

Wir waren nicht überrascht, dass wir etwas gefunden haben. Aber wir waren überrascht, dass wir so viel gefunden haben.
Sicherheitsforscher Vladislav Mladenov

In einem zweiten Angriff verschoben die Forscher ursprünglich signierte Inhalte an eine andere Position im Dokument und schrieben an die entsprechende Stelle etwas anderes. In 17 getesteten PDF-Reader konnten die Dokumente so verändert werden, die Signatur blieb gültig. Schließlich manipulierten die Forscher noch die Metadaten der Signatur. Die betroffenen PDF-Reader erkannten auch dabei nicht, dass etwas verändert wurde, zeigten aber trotzdem an, dass die Signatur gelte. Alles, was die Forscher für die Manipulationen brauchten, war ein einfacher Texteditor, also ein Programm, mit dem man Textdateien bearbeiten kann.

"Wir waren nicht überrascht, dass wir etwas gefunden haben", sagt Mladenov. "Aber wir waren überrascht, dass wir so viel gefunden haben." PDF basieren auf einem Standard, den die Internationale Organisation für Normung (ISO) entwickelt hat. Das Problem: Es gebe darin keine klaren Vorgaben für Entwicklerinnen und Entwickler, wie sie digitale Signaturen umsetzen sollten, sagt Mladenov. "Das ist relativ schwammig formuliert." 

Im Prinzip ist von dieser Sicherheitslücke so gut wie jeder und jede betroffen, der PDF-Signaturen nutzt. Auch große Firmen wie Amazon, Decathlon oder Sixt setzten laut der Untersuchung darauf, sie schickten diese Dokumente an Kundinnen und Kunden. Adobe hat nach eigenen Angaben allein im vergangenen Jahr acht Milliarden elektronische und digitale Signaturen verarbeitet. Auch eine EU-Verordnung regelt die Verwendung digitaler Signaturen.