Auch PDF-Dokumente sind nicht per se vertrauenswürdig
PDF Association erteilt Lektion in digitaler Forensik
Berlin. In Zeiten von Fake News und Zweifeln sind glaubwürdige Informationen gefragt. Das Portable Document Format (PDF) impliziert diese Vertrauenswürdigkeit offensichtlich, auch wenn diese nicht zwangsläufig zutrifft. Das zeigt sich am Beispiel der E-Mail-Affäre um Hunter Biden, Sohn des wohl künftigen US-Präsidenten Joe Biden, die im Wahlkampf kaum Beachtung, jedoch interessante Erkenntnisse zutage förderte.
Konkret geht es um einen Artikel in der Zeitung „New York Post“. Darin behauptet die Zeitung, im Besitz einer Kopie einer Festplatte von Hunter Biden zu sein. Als „Beweis“ veröffentlichte sie ein PDF einer brisanten E-Mail. Die New York Post gab an, dass Steve Bannon, ehemaliger Berater von Präsident Donald Trump, der Post von der Existenz der Festplatte berichtete und Rudy Giuliani, der persönliche Anwalt von Trump, der Post eine Kopie davon zur Verfügung stellte.
Die Episode bietet viele Lektionen für die digitale Forensik in Bezug auf die PDF-Technologie. Zu diesem Schluss kommen Duff Johnson und Peter Wyatt als CEO beziehungsweise leitender Wissenschaftler der PDF Association. Zusammen sind sie Leiter des ISO-Projekts für ISO 32000 (PDF-Standard) nach einer ausführlichen Analyse des PDFs. Bestandteile dieser Lektion sind unter anderem folgende Punkte:
1. PDF wird oft grundsätzlich mit Vertrauenswürdigkeit in Verbindung gebracht.
PDF ist ein allgegenwärtiges, zuverlässiges Format, das sich durch eine präzise visuelle Darstellung auszeichnet. Im Jahr 2020 haben PDF-Dokumente in vielen Fällen Papierdokumente vollständig ersetzt und das Format ist zu Recht vertrauenswürdig. So lehnte die New York Post bisher jede unabhängige Analyse ihrer Bestände ab und stützte sich auf das PDF, um ihre Behauptung zu begründen, die Festplatte von Hunter Biden zu besitzen. Außerdem behandeln einige Journalisten das PDF-Dokument so, als ob es eine E-Mail von Hunter Bidens Computer darstellen würde – ob dies der Fall ist oder nicht. „Wer sich für die Verwendung der PDF-Datei als Beweis entschieden hat, hat das Vertrauen genutzt, das Anwender normalerweise in die PDF-Technologie setzen“, erläutern Duff Johnson und Peter Wyatt. Es sei typisch, dass sie der Meinung sind, dass sich PDF-Dokumente schwer fälschen oder nicht verändern lassen. Beides sei jedoch nicht wahr. Das Biden-PDF stelle ein Beispiel für ein Dokument dar, das mit minimalen technischen Kenntnissen außergewöhnlich einfach zu fälschen sei, wie die PDF-Experten detailliert erläutern.
2. Grundsätzlich darf ein PDF-Dokument nicht mit seiner Quelle verwechselt werden.
Bei der Beobachtung der Medienreaktion auf die Geschichte der New York Post wird deutlich, dass die meisten Beobachter auf das PDF-Dokument verweisen, als wäre es buchstäblich eine E-Mail statt nur eine Darstellung. Ein PDF ist jedoch immer eine Darstellung von etwas anderem. Zum Beispiel ist eine PDF-Datei selbst keine E-Mail, sondern eine Darstellung einer E-Mail. Learning: Bei der Referenzierung digitaler Medien ist darauf zu achten, dass die Terminologie sehr sorgfältig gewählt wird.
3. Header-Informationen, digitale Signaturen & Co. sind Sicherheiten.
Duff Johnson und Peter Wyatt legen dar, dass das Biden-PDF ohne E-Mail-Header-Metadaten oder digitale Signaturen nicht genügend Anhaltspunkte dafür liefert, dass dieses PDF-Dokument überhaupt vom Laptop von Hunter Biden stammt. Ein solches PDF könnte leicht erstellt werden, ohne jemals mit dem Laptop in Kontakt zu kommen. Ergo: Stellt eine PDF-Datei angeblich eine E-Mail dar, sollten mindestens auch E-Mail-Header-Informationen vorhanden sein. Hingegen sei bei einem PDF-Dokument ohne Kontrollkette, digitale Signaturen und/oder andere Sicherheiten – wie bei der vermeintlichen Biden-Mail – nicht anzunehmen, dass es eine echte Repräsentation ist.
4. Viele Details geben Hinweise auf Erstellung – und mehr.
Im vorliegenden Fall ergab eine flüchtige Prüfung ein Erstellungsdatum am 10. Oktober 2019. Da die Zeitung die Festplattenkopie am 11. Oktober 2020 erhalten haben will, kann sie demnach das PDF nicht erstellt haben. Hunter Biden kann es auch nicht gewesen sein, da er den Laptop zu dieser Zeit nicht besaß. Weiterhin wurde das PDF laut Metadaten von „Mac OS X 10.13.6 Quartz PDFContext“ erstellt, einer Apple-eigenen Technologie mit einer öffentlichen und vollständig vorhersehbaren API.
In diesem Zusammenhang weist die PDF Association darauf hin, dass Computeruhren unzuverlässig sind und leicht manipuliert werden können. Da die Datei keine digitale Signatur mit Zeitstempel enthalte, sei nicht nachzuvollziehen, wann diese Datei wirklich erstellt wurde. Zudem seien die Links zu den E-Mail-Adressen auffällig. Sie zielen zum Beispiel auf falsche Adressen ab. Es handele sich um einen direkten Fehler in Apples Layout-Engine, der anscheinend (wenn man den Metadaten des Biden-PDF Glauben schenken wolle) im Oktober 2019 existierte. Die PDF Association könne jedoch nur mit Sicherheit sagen, dass der Fehler tatsächlich ein Jahr später im Oktober 2020 unter macOS 10.15.7 existiert – und zwar wenn die E-Mail im Mail-Client des Mac angezeigt wird, und niemals in Dokumenten, die exportiert oder gedruckt werden, wie es das Biden-PDF behauptet. Daher empfiehlt sie denen, die die Authentizität dieser PDF-Datei überprüfen möchten, die Apple-Ingenieure zu konsultieren. Das betreffe auch ein Bild von überraschend schlechter Qualität in dem PDF.
Fakt ist also: Metadaten allein garantieren Vertrauen. Unschlüssig gewählte Softwareversionen etwa, zum Beispiel mit weniger Funktionalitäten, und Softwarefehler können es zerstören.
5. Dokumente immer sorgfältig prüfen!
Duff Johnson und Peter Wyatt haben bewiesen, dass die PDF-Datei ein Dokument ist, das so beschaffen war, dass es leicht von überall hätte herkommen können. Dass die Öffentlichkeit die volle Bedeutung bestimmter digitaler Medientypen erkennt, könne man nicht erwarten – ob es sich um Webseiten, E-Mails, Videos oder PDF-Dokumente handele. Allerdings sollten Beschreibungen sorgfältig geprüft werden und es gelte zu erkennen, wann einfache Mindestanforderungen an die Glaubwürdigkeit – die Bereitstellung von E-Mail-Header-Daten – für jede Untersuchung oder Nachricht von grundlegender Bedeutung sein sollten. Im Zweifel lohnt es sich, unabhängige Experten zu fragen. Denn sie können für Klarheit sorgen.
Über die PDF Association:
Die PDF Association verfolgt das Ziel, PDF-Anwendungen für digitale Dokumente zu fördern, die auf offenen Standards basieren. Dazu setzt sich der internationale Verband für eine aktive Wissensvermittlung und den Austausch von Know-how und Erfahrungen für alle Interessengruppen weltweit ein. Derzeit sind mehr als 150 Unternehmen und zahlreiche Experten aus mehr als 35 Ländern Mitglied der PDF Association. Die PDF Association, Inc., eine Tochtergesellschaft mit Sitz in den USA, verwaltet die Standardisierung von PDF und anderen Standards in ISO TC 171 SC 2.
Der Vorstand der PDF Association setzt sich aus Führungskräften der Unternehmen AbleDocs, Adobe, callas software, Datalogics, Digital Frontiers, Dual Lab, Foxit, intarsys, iText, Nitro Software, Orpalis, PDFTron und Peter Wyatt, ISO-32000-Projektleiter, zusammen. Vorstandsvorsitzender ist Matt Kuznicki. Chief System Architect bei AbleDocs. Sein Stellvertreter ist Dietrich von Seggern, Geschäftsführer der callas software GmbH. Geschäftsführer der PDF Association ist Duff Johnson, Projektleiter ISO-32000 und ISO-14289.
Ihre Redaktionskontakte für Europa:
Thomas Zellmann
Landgrafenstr. 14
D-10787 Berlin
Tel.: +49 30 39 40 50 - 50
Fax: +49 30 39 40 50 - 99
thomas.zellmann@pdfa.org
good news! GmbH
Nicole Gauger
Kolberger Str. 36
D-23617 Stockelsdorf
Tel.: +49 451 881 99 - 12
Fax: +49 451 881 99 - 29
pdfa@goodnews.de
www.goodnews.de