Gefälschte PDF-Dokumente erkennen
PDF-Forensik mit corma

Es gibt ein paar einfache Möglichkeiten, um festzustellen, ob ein PDF-Dokument manipuliert wurde oder nicht. Diese sind aber als Mittel der laienhaften Überprüfung zu verstehen. Sie eignen sich nicht, um professionell beurteilen zu können, ob ein gefälschtes PDF-Dokument vorliegt oder nicht.

1. Rufen Sie per Rechtsklick mit der Maus auf einem beliebigen Teil des PDF-Dokuments die Dokumenteneigenschaften auf.
2. Hier finden Sie eine Registerkarte namens „Beschreibung“, in welcher die Meta-Daten der PDF-Datei enthalten sind. Sie liefert Ihnen alle wesentlichen Daten zum Dokument, etwa Betreff, Schlüsselwörter, Erstellungsdaten und ob es bearbeitet wurde – und falls ja, von wem.
3. Sollten das Erstellungsdatum und das Änderungsdatum sowie die Autoren des PDF-Dokuments nicht übereinstimmen, wurde das Dokument höchstwahrscheinlich von jemand anderem als dem ursprünglichen Autor bearbeitet.

Es gibt grundsätzlich keinen einfachen Weg, eine gefälschte PDF aufzudecken. Es existiert keine Software, die automatisch erkennt, ob ein PDF-Dokument in irgendeiner Form bearbeitet, manipuliert oder verfälscht wurde. Die PDF-Forensik basiert daher auf einem deutlich umfangreicheren Prinzip.

Sollten Sie bei Ihren Unterlagen ein ungutes Gefühl haben, raten wir Ihnen unbedingt, eine Firma wie corma beauftragen. Wir haben uns darauf spezialisiert, PDF-Fälschungen aufzudecken.

Wer Geschäfte macht, Transaktionen durchführt oder mit sensiblen Dokumenten arbeitet, muss auf deren Authentizität vertrauen können. Gefälschte PDF-Dokumente nicht als solche zu erkennen, kann Schäden in Millionenhöhe zur Folge haben. Deshalb sollte jedes Unternehmen, das PDF-Dokumente nutzt, diese regelmäßig überprüfen. Natürlich bedeutet das nicht, dass Sie die Glaubwürdigkeit langjähriger Partnerinnen und Partner infrage stellen müssen. Bei Dokumenten aus neuen Partnerschaften ist allerdings Vorsicht geboten. Da es für Unternehmen gang und gäbe ist, ihre Geschäftspartnerinnen und –partner zu wechseln, ist es entscheidend, gefälschte PDF-Unterlagen schnell zu identifizieren – und zwar, bevor sie nennenswerten Schaden anrichten können.

Wenn Sie den Verdacht haben, dass die Ihnen vorliegenden PDF-Dateien gefälscht sind und Sie Gewissheit benötigen, kommen Sie um eine professionelle PDF-Analyse nicht herum. Bei corma kümmern wir uns mit besonderer Sorgfalt um Ihre PDF-Dokumente und authentifizieren diese nach höchsten Industriestandards – und das zu einem erschwinglichen Preis. Dieser liegt bei 390 EUR pro PDF-Datei, vorausgesetzt, diese ist max. 10 MB groß und umfasst nicht mehr als 10 Seiten. Verglichen mit der Konkurrenz sind wir zwar nicht der kostengünstigste Service auf dem Markt, dafür jedoch absolut verlässlich. Was Sie zahlen, ist was Sie bekommen – aber wenn Sie sich für corma entscheiden, garantieren wir Ihnen, dass der Nutzen den finanziellen Aufwand überwiegt.

Unser Spezialistenteam kann jede Art von PDF-Dokumenten analysieren. Laut Digital Intelligence lassen sich PDF-Dokumente in die drei folgenden Kategorien unterteilen:

• Durchsuchbare PDF-Dokumente
• Reine Bild-PDF-Dokumente
• Digital erstellte PDF-Dokumente

Durchsuchbare PDF-Dokumente enthalten einen getippten Text und vollständige Meta-Daten. Sie lassen sich wie ein herkömmliches Dokument untersuchen. Reine Bild-PDF-Dokumente sind Scans von Originaldokumenten, also digitale Kopien. Digital erstellte PDF-Dokumente wurden auf elektronischem Weg generiert. Sie existieren nicht in Papierform, sind aber genauso gültig.

PDF-Dokumente gelten im Allgemeinen als ziemlich sicher. Dennoch werden alle Arten von PDF-Dateien aus diversen Gründen gefälscht – und nirgendwo ist diese Praxis offensichtlicher als in der Geschäftswelt. Neben vertraglichen Dokumenten und Rechnungsschreiben werden allerdings auch Lebensläufe gefälscht. So versuchen Bewerberinnen und Bewerber, ihre Chancen auf eine Stelle zu erhöhen. Die größten Opfer von PDF-Betrug sind Unternehmen, die ihre Unterlagen nicht regelmäßig überprüfen (lassen). Wenn Kriminelle eine Chance wittern, sich durch gefälschte PDFs auf Kosten eines Unternehmens zu bereichern, können Sie davon ausgehen, dass genau das passiert.

In den meisten Fällen können seriöse PDF-Forensikerinnen und –Forensiker die Authentizität von Dokumenten analysieren und bewerten. Allerdings gibt es keine Garantie, dass jede gefälschte PDF-Signatur entdeckt werden kann. Das liegt daran, dass einige PDF-Fälschungen perfekte Imitate des Originals sind – was es nahezu unmöglich macht, sie zu identifizieren. Darunter verstehen wir sogenannte High-End-Fälschungen. Diese anzufertigen ist jedoch sehr aufwändig und erfordert Expertenwissen, weshalb sich der Aufwand für die meisten Täterinnen und Täter schlichtweg nicht lohnt. Professionell gefälschte PDFs sind also viel seltener als rudimentäre Fälschungen.

Metadaten beinhalten Informationen über das PDF-Dokument und seinen Inhalt, z. B. Verfassername, Stichwörter und Copyright-Informationen. Diese Infos werden auch von Suchfunktionen verwendet.

Die Dokument-Metadaten lassen sich z.B. im Acrobat PDF Reader über die  Registerkarte „Beschreibung“ des Dialogfelds Dokumenteigenschaften anzeigen. Diese Metadaten können mit Produkten von Adobe  und anderen Herstellern erweitert, bearbeitet und auch nachträglich verändert werden. Allerdings nur, wenn das PDF keine entsprechenden Sicherheitseinstellungen festgelegt hat.

Ein vollständiger Satz an Metadaten des  PDF-Dokumentes besteht aus den folgenden Einträgen:

Nur in seltenen Fällen sind wirklich alle diese Felder ausgefüllt. Bestimmte Softwareprodukte, u.a. Scanner, schreiben aber ihre Informationen immer in das erstellte Dokument.

Im Rahmen der Untersuchung beschaffen wir häufig auch Vergleichsmaterial von baugleichen Scannern. So können wir feststellen, wie der Ablauf ist und was die in die Metadaten schreiben.

Normale PDF-Dokumente können versteckte Metadaten und nicht sichtbaren Text enthalten. Das gilt dann auch für gefälschte PDF Dateien. Der Prozess der Dokumentenfälschung ist eben längst nicht so ausgeklügelt, wie es die Täterinnen und Täter gern glauben. Häufig gibt es einen Resthinweis, der uns wissen lässt, dass das PDF-Dokument manipuliert worden ist.

Das professionelle Fälschen von PDF-Dokumenten ist sehr aufwändig. Wer kein High-End-Profi auf diesem Gebiet ist, wird immer verräterische Spuren hinterlassen.

Unser zweistufiger Analyseprozess stellt sicher, dass wir die gefälschte PDF aufdecken, indem wir sie gründlich nach allen möglichen Hinweisen durchforsten. Die umfassenden PDF-Analysen, die bei corma durchgeführt werden, extrudieren alle Datei-Informationen. Sobald alle Daten offenliegen, untersuchen wir sie weiter auf mögliche Restinformationen. So können wir feststellen, ob das Dokument authentisch ist oder nicht.

Hier bei können wir, sofern im PDF vorhanden, auch versteckten Text und nicht sichtbare Metadaten finden.

Im Rahmen der PDF-Forensik können und werden wir alle Bilder in Ihrer bereitgestellten PDF-Datei extrahieren. In ihnen stecken viele Informationen, die uns Hinweise darauf geben, ob es sich um eine PDF-Fälschung handelt oder nicht. Wir untersuchen alle Bilder und Bilddokumente hinsichtlich der folgenden Faktoren:

• Bild-ID
• Kamera-Informationen
• Bild-Vorschau
• Dateigröße
• Abmessungen in Pixel
• Farbtiefe in bpp
•  

All diese Datenpunkte sind für unsere PDF-Analysen unerlässlich. Sobald wir die Bilder in ihre Datenkomponenten zerlegt haben, vergleichen wir sie mit dem visuellen PDF-Dokument, um offensichtliche Unterschiede feststellen zu können. Sind diese auffällig, haben wir das PDF als Fälschung identifiziert. Allerdings ist eine Übereinstimmung noch keine Garantie dafür, ob das Dokument authentisch ist. In solch einem Fall untersuchen wir den Quellcode des PDFs. Anschließend ermitteln wir, ob das PDF-Dokument verborgene Bilder enthält. Auch diese durchlaufen einen umfangreichen Analyseprozess. Nachdem die PDF-Forensik abgeschlossen ist, stellen wir Ihnen die extrahierten Ressourcen in Form eines gerichtsverwertbaren Gutachtens zur Verfügung.

Eine PDF als Fälschung zu erkennen ist nicht einfach. Wenn wir eine PDF auf Echtheit prüfen, müssen wir viele Datenpunkte extrahieren und gründlich untersuchen. Zum Beispiel die interne Dateistruktur des PDF und dort vorhandene Streams.

Dieser Prozess nimmt sehr viel Zeit in Anspruch, zumal ein hohes Maß an Rechenleistung benötigt wird, um alle Daten zu erhalten.  

Es kommen auch eine Vielzahl von unterschiedlichen, professionellen Tools zum Einsatz.

Aber nur so können wir letzten Endes feststellen, ob ein PDF-Dokument authentisch ist oder nicht.

Um die Erfolgsaussichten einer Prüfung einschätzen zu können, muss der größte Teil der Untersuchung schon gemacht werden. Wegen diesem hohen Aufwand, bieten wir keine kostenlose Vorabanalyse für PDF Dateien an.

Ein PDF, das nicht durch Sicherheitsfeatures wie zum Beispiel eine digitale Signatur geschützt wird, kann spurenlos gefälscht werden.

Das bedeutet, dass es möglich ist, ein bestehendes PDF zu verändern und dass der Nachweis für diese Änderung entweder nicht oder nur sehr schwer beigebracht werden kann. Der Aufwand für eine solche professionelle Fälschung ist schon sehr hoch und es bedarf entsprechendem technischen Expertenwissen für die Durchführung.

Es gibt auch einfachere Methoden, um PDF spurenlos zu manipulieren, aber dann bleibt ihnen immer noch die Möglichkeit dieses PDF anzuzweifeln, wenn es zum Beispiel nicht über eine digitale Signatur verfügt. Aber alle diese Aussagen können wir Ihnen erst nach einer forensischen Analyse eines PDFs verlässlich geben.

Wie genau das spurenlose Fälschen funktioniert, werden wir natürlich an dieser Stelle nicht veröffentlichen.

Wenn Sie Fragen zu der Untersuchung einer PDF-Datei haben, können Sie sich gerne jederzeit an uns wenden