Der vollständige Leitfaden zu PDF-Sicherheit und Verschlüsselung

Die Wahl zwischen AES- und RC4-Verschlüsselung hat erhebliche Auswirkungen auf die Sicherheit. RC4 mit einem 40-Bit-Schlüssel, das in älteren PDF-Versionen verwendet wurde, lässt sich mit moderner Hardware trivial knacken. Ein Brute-Force-Angriff gegen 40-Bit-RC4 kann innerhalb von Stunden oder sogar Minuten erfolgreich sein. Die 128-Bit-RC4-Variante ist widerstandsfähiger, allerdings weist RC4 selbst bekannte statistische Verzerrungen in seinem Schlüsselstrom auf, die es theoretisch schwächer machen als Blockchiffren mit gleichwertiger Schlüssellänge.

AES-128 stellt eine wesentliche Verbesserung dar. Als Blockchiffre, die innerhalb von PDFs im CBC-Modus (Cipher Block Chaining) arbeitet, hat AES-128 keine bekannten praktischen Angriffe gegen seinen vollständigen Schlüsselraum. Für die meisten geschäftlichen und privaten Anwendungsfälle bietet AES-128 mehr als ausreichenden Schutz. Allerdings ist AES-256 der aktuelle Goldstandard, der von Organisationen wie dem NIST empfohlen wird und in bestimmten Compliance-Rahmenwerken vorgeschrieben ist.

Beim Erstellen verschlüsselter PDFs sollten Sie immer AES-256 wählen, wenn Ihre Zielgruppe moderne PDF-Reader verwendet. Adobe Acrobat unterstützt AES-256 seit Version X (2010), und die meisten Open-Source-Reader wie PDF.js und Poppler unterstützen es ebenfalls. Vermeiden Sie RC4 vollständig für neue Dokumente, da mehrere Standardisierungsgremien es offiziell als veraltet eingestuft haben. Falls Abwärtskompatibilität mit sehr alten Readern erforderlich ist, stellt AES-128 einen akzeptablen Kompromiss dar, aber RC4 sollte nur als Legacy-Option betrachtet werden.

PDF-Dokumente unterstützen zwei unterschiedliche Passworttypen, und das Verständnis des Unterschieds ist entscheidend für die Implementierung angemessener Sicherheit. Das Benutzerpasswort (auch Öffnungspasswort genannt) verhindert, dass jemand ohne das Passwort den Dokumentinhalt einsehen kann. Wenn ein Benutzerpasswort gesetzt ist, zeigt der PDF-Viewer eine Passwortabfrage an, bevor Seiten gerendert werden. Ohne das korrekte Passwort können die verschlüsselten Inhaltsströme nicht entschlüsselt werden und das Dokument bleibt unzugänglich.

Das Besitzerpasswort (auch Berechtigungspasswort genannt) steuert, welche Aktionen nach dem Öffnen des Dokuments erlaubt sind. Mit einem Besitzerpasswort können Sie das Drucken einschränken (vollständig oder auf niedrige Auflösung), das Kopieren von Text und Bildern, das Ändern des Dokuments, das Hinzufügen von Anmerkungen, das Ausfüllen von Formularfeldern, das Extrahieren von Inhalten für Barrierefreiheit und das Zusammenstellen des Dokuments (Einfügen, Drehen oder Löschen von Seiten). Das Dokument kann weiterhin ohne das Besitzerpasswort geöffnet und angezeigt werden, aber die eingeschränkten Aktionen sind in konformen PDF-Readern deaktiviert.

Allerdings gibt es einen wichtigen Vorbehalt: Besitzerpasswort-Beschränkungen werden von der PDF-Reader-Software durchgesetzt, nicht durch die Verschlüsselung selbst. Ein nicht-konformer oder modifizierter PDF-Reader kann diese Berechtigungsflags einfach ignorieren. Einige Open-Source-Tools umgehen bewusst Besitzerpasswort-Beschränkungen, respektieren aber die Benutzerpasswort-Verschlüsselung. Aus diesem Grund sollten Sie immer ein Benutzerpasswort setzen, wenn Sie den Zugang zu einem Dokument wirklich verhindern müssen. Verwenden Sie das Besitzerpasswort als zusätzliche Schutzschicht für ehrliche Nutzer und konforme Software, verlassen Sie sich aber nicht darauf als einzigen Sicherheitsmechanismus.

Neben der passwortbasierten Verschlüsselung unterstützt die PDF-Spezifikation eine zertifikatsbasierte Verschlüsselung mit Public-Key-Kryptografie. Dieser Ansatz verwendet X.509-Digitalzertifikate, um das Dokument so zu verschlüsseln, dass nur Inhaber der entsprechenden privaten Schlüssel es entschlüsseln können. Die zertifikatsbasierte Verschlüsselung löst eines der grundlegenden Probleme passwortbasierter Systeme: die Notwendigkeit, das Passwort sicher an den beabsichtigten Empfänger zu übermitteln.

Bei der zertifikatsbasierten Verschlüsselung beschafft der Dokumentersteller die öffentlichen Zertifikate jedes beabsichtigten Empfängers. Das PDF wird mit einem zufälligen symmetrischen Schlüssel (typischerweise AES-256) verschlüsselt, und dieser symmetrische Schlüssel wird dann separat mit dem öffentlichen Schlüssel jedes Empfängers verschlüsselt. Die verschlüsselten Kopien des symmetrischen Schlüssels werden im Verschlüsselungswörterbuch der PDF gespeichert. Wenn ein Empfänger das Dokument öffnet, verwendet sein PDF-Reader den privaten Schlüssel aus seinem Zertifikatspeicher, um den symmetrischen Schlüssel zu entschlüsseln, der dann den Dokumentinhalt entschlüsselt.

Diese Methode unterstützt mehrere Empfänger mit unterschiedlichen Berechtigungsstufen. Beispielsweise könnte ein Empfänger vollen Zugriff erhalten, während ein anderer nur anzeigen und drucken kann. Zertifikatsbasierte Verschlüsselung wird häufig in Unternehmensumgebungen eingesetzt, in denen bereits eine Public-Key-Infrastruktur (PKI) vorhanden ist. Sie lässt sich gut mit Smartcards, Hardware-Sicherheitsmodulen und Unternehmens-Zertifizierungsstellen integrieren. Der Hauptnachteil ist die Komplexität: Sowohl Absender als auch Empfänger müssen Zertifikate verwalten, und der Ablauf oder Widerruf von Zertifikaten muss ordnungsgemäß gehandhabt werden.

Selbst bei starker Verschlüsselung hat die PDF-Sicherheit bekannte Schwachstellen, die Dokumentersteller kennen sollten. Eine Klasse von Angriffen zielt auf die PDF-Struktur statt auf die Verschlüsselung selbst. Der 2019 offengelegte PDFex-Angriff zeigte, dass ein Angreifer mit Zugang zu einer verschlüsselten PDF die unverschlüsselte Dokumentstruktur so modifizieren konnte, dass entschlüsselte Inhalte herausgefiltert wurden, wenn der legitime Benutzer die Datei öffnete. Durch das Einfügen einer Formularaktion oder eines Hyperlinks, der auf den verschlüsselten Inhalt verwies, konnte der Angreifer den PDF-Reader veranlassen, entschlüsselten Text an einen externen Server zu senden.

Ein weiteres Problem ist die Offenlegung von Metadaten. Selbst in verschlüsselten PDFs können bestimmte Metadatenfelder unverschlüsselt bleiben und möglicherweise den Dokumenttitel, Autor, Erstellungsdatum und die verwendete Software preisgeben. PDF 2.0 hat dies durch die Möglichkeit der Metadatenverschlüsselung behoben, aber ältere PDF-Versionen lassen Metadaten ungeschützt. Überprüfen Sie immer, welche Informationen in einem verschlüsselten Dokument sichtbar bleiben, indem Sie seine Eigenschaften in einem PDF-Reader untersuchen.

Brute-Force-Angriffe bleiben eine Bedrohung für schwache Passwörter. Tools wie hashcat und John the Ripper können Passwort-Hashes aus PDFs extrahieren und GPU-beschleunigte Brute-Force- oder Wörterbuchangriffe durchführen. Ein kurzes, einfaches Passwort auf einer AES-256-verschlüsselten PDF kann immer noch geknackt werden, wenn es in einem gängigen Passwortwörterbuch vorkommt. Verwenden Sie Passwörter mit mindestens 12 Zeichen, die Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen kombinieren. Für hochsichere Dokumente sollten Sie Passphrasen mit 20 oder mehr Zeichen in Betracht ziehen.

Beim Sichern von PDF-Dokumenten in der Praxis sollten Sie einen mehrschichtigen Ansatz verfolgen. Beginnen Sie damit, Ihre Dokumente nach Vertraulichkeitsstufe zu klassifizieren. Öffentliche Dokumente benötigen keine Verschlüsselung, können aber von einem Besitzerpasswort profitieren, um beiläufige Änderungen zu verhindern. Interne Geschäftsdokumente sollten AES-256-Verschlüsselung mit einem starken Benutzerpasswort verwenden. Hochsensible Dokumente wie Rechtsverträge, medizinische Unterlagen oder Finanzberichte sollten sowohl starke Passwörter verwenden als auch eine zertifikatsbasierte Verschlüsselung in Betracht ziehen.

Entfernen Sie vor der Verschlüsselung unnötige Metadaten mit einem Tool zur Metadatenentfernung. Bereinigen Sie den Revisionsverlauf, eingebettete Miniaturbilder und versteckte Ebenen, die sensible Informationen enthalten könnten. Reduzieren Sie Formularfelder oder Anmerkungen, die nicht bearbeitbar sein sollen. Wenn das Dokument geschwärzte Informationen enthält, stellen Sie sicher, dass die Schwärzung ordnungsgemäß angewendet wurde (schwarze Rechtecke, die Text abdecken, sind keine echten Schwärzungen, wenn der darunterliegende Text im Inhaltsstrom verbleibt).

Berücksichtigen Sie bei der Verteilung den gesamten Arbeitsablauf. Wenn Sie eine verschlüsselte PDF per E-Mail versenden, senden Sie das Passwort nicht in derselben E-Mail. Verwenden Sie einen separaten Kommunikationskanal wie einen Telefonanruf, eine SMS oder die Freigabefunktion eines sicheren Passwort-Managers. Für wiederkehrende Dokumentenaustausche sollten Sie Passwörter im Voraus vereinbaren oder zertifikatsbasierte Verschlüsselung verwenden. Führen Sie schließlich Aufzeichnungen darüber, welche Dokumente mit welcher Methode verschlüsselt wurden, da der Verlust des Passworts oder des privaten Zertifikatsschlüssels einen dauerhaften Verlust des Zugangs zum Dokumentinhalt bedeutet.

Verschiedene regulatorische Rahmenwerke stellen spezifische Anforderungen an die Sicherheit von PDF-Dokumenten. HIPAA (Health Insurance Portability and Accountability Act) verlangt, dass elektronische geschützte Gesundheitsinformationen (ePHI) bei Übertragung oder Speicherung verschlüsselt werden. Obwohl HIPAA keine spezifischen Verschlüsselungsalgorithmen vorschreibt, verweist es auf NIST-Richtlinien, die AES-128 oder AES-256 empfehlen. PDF-Dokumente mit Patienteninformationen sollten AES-256-Verschlüsselung mit starken Passwörtern verwenden.

Die DSGVO (Datenschutz-Grundverordnung) verlangt angemessene technische Maßnahmen zum Schutz personenbezogener Daten. Die Verschlüsselung von PDF-Dokumenten, die personenbezogene Daten von EU-Bürgern enthalten, gilt als bewährte Praxis und kann im Falle einer Datenpanne als Schutzmaßnahme dienen. Nach der DSGVO kann es sein, dass bei einer Verletzung verschlüsselter Daten, sofern die Verschlüsselung ausreichend stark ist, keine Benachrichtigung der betroffenen Personen erforderlich ist.

Die Rechtsbranche verlangt häufig spezifische Sicherheitsmaßnahmen für Gerichtseinreichungen und den Dokumentenaustausch. Viele Gerichtsbarkeiten akzeptieren digital signierte PDFs als rechtsverbindlich, aber die Signaturzertifikate müssen bestimmte Standards erfüllen. Der PAdES-Standard (PDF Advanced Electronic Signatures) definiert Profile für digitale Signaturen in PDF-Dokumenten, die in der gesamten Europäischen Union im Rahmen der eIDAS-Verordnung anerkannt werden. Finanzinstitute, die der SOX-Compliance (Sarbanes-Oxley) unterliegen, benötigen ebenfalls Prüfpfade für den Dokumentenzugriff und -änderungen, was PDF-Sicherheitsfunktionen durch Berechtigungskontrollen und digitale Signaturen teilweise unterstützen können.