Warum verschlüsselte PDF-Rechnungen leicht manipulierbar sind & wie Sie das verhindern können
Mir berichten Kunden immer öfter von manipulierten PDF-Rechnungen im SAP-Umfeld, mit denen sie bis zu 500.000 Euro Verlust gemacht haben. Nun suchen sie Hilfe, um ihre Dokumente zu schützen. Das PDF ist eines der weltweit am häufigsten eingesetzten Dateiformate: Fast jedes Unternehmen erzeugt heute für verschiedene Zwecke PDFs, z. B. in der Rechnungsstellung. Dabei sind PDF-Dokumente tendenziell nicht sicher – auch, wenn sie mit Passwörtern oder Zertifikaten verschlüsselt sind.
In diesem Artikel erfahren Sie, welche Sicherheitsrisiken es bei PDF-Dokumenten gibt und erhalten Insider-Tipps, was Sie tun können, um sich zu schützen.
Wie funktioniert so eine Manipulation?
In den oben genannten Fällen haben Angreifer die IBAN und die BIC in der Rechnung manipuliert bzw. ausgetauscht. So war nicht nur die Ware, sondern auch das Geld weg. Klingt simpel, stellt aber ein hohes finanzielles Risiko für das Opfer dar – insbesondere, wenn das wiederholt passiert. Kein Unternehmen kann sich auf Dauer fehlende Zahlungseingänge erlauben. Aus Sicht des Angreifers ist das ein sehr effizientes Vorgehen. Hacker müssen sich inzwischen keine große Mühe mehr geben, Ihre Daten zu manipulieren, da sie einfach nur in einem PDF die zwei Felder „IBAN“ und „BIC“ abändern müssen.
Welche Sicherheitsrisiken gibt es bei PDF-Rechnungen?
Da die Sicherheitsrelevanz von PDF-Dokument oft nicht im Fokus steht, wird es allgemein immer leichter, Unternehmensdaten abzugreifen und zu manipulieren.
Die einfache Verschlüsselung reicht nicht aus
PDF-Dateien können mit Passwörtern oder alternativ auch mit Zertifikaten verschlüsselt werden. Wie sich zeigt, sind verschlüsselten Dateien aber sind nicht vor Manipulationen geschützt. Angriffe sind immer dann möglich, wenn der Angreifer, z. B. über einen Mailserver, Zugriff auf ein verschlüsseltes PDF-Dokument hat.
Vermeintlich durch Passwörter geschützte PDF-Dateien lassen sich z. B. manipulieren, wenn die PDF-Datei verschlüsselte und unverschlüsselte Inhalte mischt. Dabei kann der verschlüsselte Inhalt in eine unverschlüsselte PDF-Datei so eingebettet werden, dass er an einen vom Angreifer kontrollierten Server geschickt wird.
Eine zweite Ursache: Die PDF-Verschlüsselung ist veraltet und nutzt nicht authentifizierte Verschlüsselungsmodi. Diese Verschlüsselungsmodi, wie z. B. der sogenannte Cipher-Block-Chaining-Modus (CBC), schützen Daten nicht vor Manipulationen. Ein Angreifer kann daher mit bestimmten Einschränkungen Bits in den verschlüsselten Daten manipulieren. Für einen erfolgreichen Angriff muss dieser einen Teil der verschlüsselten Daten kennen. Das ist zumindest bei der aktuellen Version der PDF-Verschlüsselung (AESv3) kein großes Problem: Dort ist ein Teil der verschlüsselten Daten immer gleich.
Eine weitere Möglichkeit, warum geschützte PDFs ihren Schutz verlieren: Die PDF-Optionen wie z. B. „Druck erlauben“ sind aktiviert. Auch viele Drucker und Scanner nutzen die PDF-Verschlüsselung bei der Übermittlung von Daten. Die Option kann aber im SAP-System unterbunden werden.
PDF-Reader erkennen Angriffe nicht
Erst kürzlich habe ich einen Artikel gelesen, in dem 27 PDF-Reader getestet wurden. Im Kern ging es darum, dass 27 gängige PDF-Reader für Windows, MacOS und Linux auf die beiden Schwachstellen „Vermischung von verschlüsselten und unverschlüsselten Inhalten“ und „nicht authentifizierte Verschlüsselungsmodi“ getestet wurden – darunter auch Adobe Acrobat und Foxit. Das Ergebnis: Alle waren für mindestens einen dieser Angriffe anfällig und haben diese nicht erkannt. Die Manipulation geht viel zu einfach und schnell für den Hacker: Abfangen und Manipulieren kostet den Angreifer weniger als 60 Sekunden.
E-Mail-Verkehr als Angriffsstelle
Das Knacken einer Verschlüsselung funktioniert oft über den E-Mail-Verkehr. Bei Passwort-Verschlüsselungen fängt der Hacker die PDF-Datei ab, manipuliert den zugänglichen Bereich und versteckt Befehle für spätere Aktionen. Dann leitet er das manipulierte verschlüsselte (ein schöner Widerspruch in sich) PDF-Dokument an den ursprünglichen Empfänger weiter. Gibt der Empfänger dann das Passwort ein, um das PDF zu entschlüsseln und zu öffnen, wird der versteckte Befehl ausgeführt. Er sorgt dafür, dass der nun entschlüsselte Inhalt automatisch an den Angreifer geschickt wird.
Falls Sie sich für das Thema E-Mail-Verschlüsselung interessieren, ist dieser Beitrag vielleicht interessant für Sie.
Schnelle Abhilfe: Was können Sie tun, um Angriffe zu verhindern?
Falls Sie Ihre PDF-Datei überhaupt erstmal verschlüsseln wollen, finden Sie im Folgenden eine Anleitung dazu. Das ist als erster Schritt definitiv sinnvoll und empfehlenswert – reicht aber wie bereits erwähnt nicht als alleinige Maßnahme aus.
Schritt 1: Verschlüsselung des PDF-Dokumentes
Verwenden Sie hierzu den PDF-Creator und gehen sie dort auf „Profileinstellungen“. Wählen Sie links den Menüpunkt „PDF“ aus und gehen Sie nun auf den Reiter „Sicherheit“. Versehen Sie den Punkt „Verschlüsseln Sie PDF-Dokumente, um deren Inhalt zu schützen” mit einem Häkchen. Daraufhin können Sie für das Dokument ein Passwort definieren und dieses verschlüsseln. Die Art legen Sie unter „Verschlüsselungsgrad” fest. Dort können Sie bis zu „Hoch (256 Bit AES)” einstellen. Mit einem Klick auf „Speichern” schließen Sie die Profileinstellung ab. Sie gilt danach als Vorauswahl für jedes Dokument, das Sie aus der Anwendung heraus erzeugen.
Genau diese Funktion ist über ein SAP-Add-On von uns auch direkt im SAP-System möglich. Hier erweitern wird ebenfalls die Standard-PDF-Funktion und nutzen die Verschlüsselung sowie den Kennwortschutz in Kombination. Ein häufiger Anwendungsfall aus unseren Projekten sind beispielsweise die Entgeltnachweise für Mitarbeiter.
Schritt 2: PDF-Optionen deaktivieren
Sie können im SAP-System einstellen, dass die PDF-Option „Druck“ nicht aktiviert ist. Wie in Schritt 1 gehen Sie im PDF-Creator auf „Profileinstellungen“ und dann in den Reiter „Sicherheit“. Unter dem Verschlüsselungsgrad können Sie ebenfalls definieren, was dem Benutzer erlaubt ist. Ob er etwa Teile aus dem Dokument kopieren oder das File drucken darf. Entfernen Sie jetzt die gesetzten Häkchen und verbieten Sie so die Aktion. Klicken Sie wieder auf „Speichern“.
Im SAP ist dies eine Funktion, welche über Parameter bei der Erzeugung der PDF-Dokumente gesetzt werden kann.
Schritt 3: Kombinieren Sie verschiedene Sicherungsmethoden
Ich empfehle meinen Kunden, eine Kombination aus Digitalen Signaturen (Unternehmens-Zertifikaten), AES-256Bit-Verschlüsselung und Kennwortschutz zu verwenden. Nur diese Kombination der technischen Lösungen bieten einen richtigen Schutz. Je mehr Absicherungen Sie einbauen, desto unwahrscheinlicher wird ein Hacker-Angriff.
Falls Sie das nicht selbst machen wollen, kenne ich jemanden, der Ihnen dabei helfen kann. 😉
Fazit
Die Angriffe auf PDF-Dateien nehmen weiter zu. Dabei ist ein fehlender Schutz eine Einladung für Hacker, Ihre PDF-Rechnungen zu manipulieren. Im Prinzip ist es ähnlich wie bei einem Einbruchschutz für Ihr Zuhause: Je aufwändiger es für den Eindringling ist, Ihre Fenster oder Türen zu knacken, desto geringer ist das Risiko, dass bei Ihnen eingebrochen wird.
Im SAP können viele Probleme schon verhindert werden, indem Sie z. B. die Option „Druck“ unterbinden, digitale Signaturen auf die PDFs bringen, einen Kennwortschutz einführen und AES-256Bit-Verschlüsselung verwenden.
Wie sicher sind Ihre PDFs? Kommentiere Sie gerne diesen Beitrag. Möchten Sie aktiv werden? Dann ist unser Webinar zum Thema „SAP Formulare sicher machen“ interessant für Sie. Sie können sich kostenlos anmelden.
2 Kommentare zu "Warum verschlüsselte PDF-Rechnungen leicht manipulierbar sind & wie Sie das verhindern können"
Hallo Herr Girke,
Toller Beitrag! Dinge, auf die ich definitiv mehr achten werde.
VG
M.Fried
Viel sicherer ist es die Rechnung erst gar nicht über E-Mail zu verschicken. Es gibt eine Reihe von Dienstleistern die echte elektronische Rechnungen innerhalb eines geschlossenen Netzwerkes austauschen und das nicht nur B2B sondern auch B2C. In Deutschland z.B. das Traffiqx Netzwerk.