Sicherheitslücken in PDF-Verschlüsselung

For­scher der RUB und der Fach­hoch­schu­le (FH) Müns­ter zeig­ten je­doch, dass An­grei­fer die Do­ku­men­te trotz Ver­schlüs­se­lung so ma­ni­pu­lie­ren kön­nen, dass sie sich den les­ba­ren In­halt vom Opfer zu­schi­cken las­sen kön­nen. Die IT-Ex­per­ten tes­te­ten 27 ver­brei­te­te PDF-Re­a­der für Win­dows, Mac-OS und Linux, die alle ver­wund­bar waren, unter an­de­rem die gän­gi­gen An­wen­dun­gen Adobe Acro­bat und Foxit. Die Er­geb­nis­se ver­öf­fent­lich­ten die Wis­sen­schaft­ler am 30. Sep­tem­ber 2019 on­line unter https://pdf-in­se­cu­ri­ty.​org/​index.​html.

Schwach­stel­len be­ho­ben

Da die Si­cher­heits­lü­cken weit ver­brei­tet waren, mel­de­ten die Wis­sen­schaft­ler sie im Mai 2019 dem Com­pu­ter Emer­gen­cy Re­s­pon­se Team des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik. Die Grup­pe um Prof. Dr. Jörg Schwenk vom Bo­chu­mer Horst-Görtz-In­sti­tut für IT-Si­cher­heit half, ge­mein­sam mit Fa­bi­an Ising und Prof. Dr. Se­bas­ti­an Schin­zel vom In­sti­tut für Ge­sell­schaft und Di­gi­ta­les der FH Müns­ter, die Schwach­stel­len zu schlie­ßen.

PDF-Ver­schlüs­se­lung kommt in vie­len Be­rei­chen zum Ein­satz, um ver­trau­li­che Do­ku­men­te si­cher über das Netz aus­zu­tau­schen. Ei­ni­ge me­di­zi­ni­sche IT-Sys­te­me und -Ge­rä­te sind in der Lage, bei­spiels­wei­se die Ge­sund­heits­ak­ten der Pa­ti­en­ten als PDF zu ver­schlüs­seln und zu über­tra­gen. Netz­werk­fä­hi­ge Dru­cker und Scan­ner bie­ten eben­falls PDF-Ver­schlüs­se­lung an, um ein­ge­scann­te Do­ku­men­te zu schüt­zen. In der In­dus­trie wer­den teils auch E-Mails als ver­schlüs­sel­te PDF-Do­ku­men­te ver­schickt, wenn an­de­re Ver­schlüs­se­lungs­me­tho­den nicht mög­lich sind.

Soft­ware-Up­date emp­foh­len

Eine Über­sicht über die be­trof­fe­nen An­wen­dun­gen stel­len die For­scher auf ihrer Web­sei­te be­reit. Sie raten alle Nut­ze­rin­nen und Nut­zern von PDF-Re­a­dern zu über­prü­fen, ob sie die vom An­griff be­trof­fe­ne oder eine äl­te­re Ver­si­on in­stal­liert haben. Falls ja, soll­ten sie ein Soft­ware-Up­date durch­füh­ren, so­fern ver­füg­bar, oder den Soft­ware­an­bie­ter kon­tak­tie­ren.

Mehr dazu gibt es auf der RUB-News-Sei­te unter https://​news.​rub.​de/​presseinformationen/​wissenschaft/​2019-09-30-informationstechnik-sicherheitsluecken-pdf-verschluesselung. (Foto: RUB/Kra­mer)