PDF-Dokumente oder Formulare werden häufig mit einer Signatur, also einer digitalen Unterschrift, versehen. Diese soll die Echtheit des Dokumentes bestätigen. Die digitalen Nachweise werden zumeist in Regierungseinrichtungen und häufig im Businessbereich eingesetzt, zum Beispiel auch bei Amazon. Doch nun wurde eine Sicherheitslücke entdeckt, über die selbst die PDF-Signaturen von Behörden gefälscht werden können.
Gefälschte PDF-Signaturen: Warum wurde die Lücke jetzt erst entdeckt?
Bisher war die Sicherheit der PDF-Signatur kaum überprüft worden. Die Ruhr-Universität Bochum hat das Thema nun genauer untersucht und Erschreckendes festgestellt. Verschiedene Betrachtungsprogramme, wie beispielsweise auch Adobe Reader, sind betroffen. Bei fast allen Programmen konnte das Team der Universität die Signaturprüfung hintergehen.
Welche Programme sind betroffen?
- Die Windows und Mac-OS-Versionen des Adobe Acrobat Readers
- Foxit Reader
- Auch DocuSign ist betroffen
Eine vollständige Liste der betroffenen Programme findest du hier.
Beispiel Amazon: Wie wurde die Lücke entdeckt?
Dem Team gelang es, in dem sie ein PDF-Dokument abänderten, eine zu zahlende Rechnung in eine Kostenrückerstattung umzuwandeln. Im Beispiel gelang es dem Team der Universität eine gültige Signatur von Amazon zu verwenden, um eine Kostenrückerstattung von 1 Billionen US-Dollar erhalten zu können. Die Forscher fälschten also eine digitale Unterschrift des Online-Konzerns Amazon.
Spinnt man das weiter, könnten potenziell auf diese Weise auch deine eigenen PDF-Unterschriften leichter gefälscht werden, als dir lieb ist.
Sicherheitslücke geschlossen
Nach Angaben der Ruhr-Universität Bochum informierten die Forscher im Oktober 2018 bereits das Bundesamt für Sicherheit und Informationstechnik (BSI) über die Sicherheitslücke. Es heißt, die Forscher haben geholfen die Sicherheitslücke zu schließen, dennoch empfehlen sie, die Version des aktuellen Betrachtungsprogramms, wie zum Beispiel dem Adobe Reader, zu prüfen. Du kannst dich bei Fragen zu diesem Problem an deinen Softwarehersteller wenden.
PDF-Signaturen gefälscht: Was du tun kannst
Den Forschern ist es gelungen eine digitale Unterschrift zu fälschen. Das Thema ist brisant, denn gerade Behörden nutzen Signaturen, um wichtige Dokumente in ihrer Echtheit zu bestätigen. Die Forscher haben ihrer Sicherheitslücke zum Glück gemeldet, sodass die betroffenen Programme immerhin die Möglichkeit haben, gegensteuern zu können. Wenn du denkst, das eine Signatur gefälscht sein könnte, kannst du dich an deinen Hersteller wenden.
Vielleicht möchtest du auch wissen, wie du mit einer einfachen Methode wirklich jede PDF-Datei umwandeln kannst. Wenn du verschiedene PDF Dokumente verwaltest, kannst du aus mehreren PDF-Dateien eine zusammenfügen.