Wo immer es möglich ist, versenden Unternehmen, Behörden und Privatpersonen auf dem Weg zum papierlosen Büro ihre elektronischen Dokumente heute per E-Mail oder veröffentlichen sie im Internet. Diese begrüßenswerte Entwicklung hat die Kommunikation vereinfacht und beschleunigt. Andererseits enthalten die hierbei versandten Dateien neben dem primären Inhalt für den Empfänger auch Metadaten und verborgene Informationen. Diese können ungewollt sensible Inhalte offenbaren. Solche Risiken lassen sich jedoch mit Kenntnis der Zusammenhänge und unter Berücksichtigung einiger Empfehlungen minimieren.
In Unternehmen und Behörden ist vor allem die Bürosoftware von Microsoft in verschiedenen Versionen im Einsatz. Die damit erzeugten Dokumente beinhalten neben den primären, für die jeweilige Zielgruppe bestimmten Informationen zusätzliche Metadaten. Die Beschreibung des Dokuments und seiner Eigenschaften kann sowohl vom Verfasser als auch selbstständig von der Software im Prozess der Dokumentenerstellung hinzugefügt werden. Titel, Verfasser, Thema und Stichwörter zählen ebenso zu den Metadaten wie Erstellungs-, Änderungs- und Druckdatum sowie die dazu verwendete Software. Des Weiteren können sich ohne Wissen des Nutzers Drucker- und Dateipfade, E-Mail-Adressen und Benutzernamen in den Metadaten wiederfinden. Originär helfen diese Daten den Nutzern vor allem bei der Zuordnung und Verwaltung ihrer Dokumente. Die daraus extrahierbaren Informationen eignen sich jedoch prinzipiell auch für Social Engineering[1] und zur Vorbereitung gezielter Computermanipulationen. So erleichtert die namentliche Kenntnis von Mitarbeitern dem potenziellen Angreifer die persönliche Ansprache am Telefon und in E-Mails. In Verbindung mit zusätzlichen Kenntnissen - wie aus den Dateipfaden gewinnbare Rückschlüsse auf die Netzwerkstrukturen des Intranets - steigt das Risiko für personalisierte Trojaner.
Neu ist die Thematik der Metadaten und der damit einhergehenden Gefahren nicht. In steter Regelmäßigkeit werden seit Jahren Fachbeiträge über verschiedene Medien veröffentlicht. So griff der Landesbeauftragte für den Datenschutz Baden-Württemberg bereits in seinem Tätigkeitsbericht für das Jahr 1999[2] erstmalig diese Problemstellung auf - damals noch ohne den Terminus „Metadaten" zu verwenden. Bekannter sind Medienberichte, die aufgrund kompromittierender Metadaten den Verfasser eines Dokumentes in Bedrängnis brachten. Das bekannte Irak-Dossier, das dem Irak den Besitz von Massenvernichtungswaffen unterstellte, gab Tony Blairs Labour-Regierung im Februar 2003 zuerst als Word-Dokument heraus. Es basierte jedoch nicht wie angegeben auf Geheimdienstquellen, sondern hatte seinen Ursprung im Coalition Information Centre (CIC). Anhand der in den Metadaten automatisch festgehaltenen Liste der Mitwirkenden ließ sich der Weg des Dossiers bis in das CIC - eine Art Presseabteilung des Außenministeriums - rekonstruieren.
Häufig in einem Atemzug mit Metadaten genannt und dennoch eigenständig zu betrachten, beinhalten verborgene Informationen in Dokumenten ebenfalls genügend verräterisches Potenzial für sachkundige Empfänger. Funktionen wie die Versionsverwaltung, Änderungsverfolgung und Kommentarfunktion unterstützen in einigen Microsoft-Office-Anwendungen die Zusammenarbeit in geschlossenen Gruppen und verhelfen zu optimierten Arbeitsprozessen. Werden die bei ihrer Benutzung anfallenden Daten im finalen Dokument nicht bereinigt, gibt man unter Umständen ungewollt interne Informationen preis. Auch die bis zum Erscheinen des Service Pack 3 für Microsoft Office 2003 aktivierbare Option der Schnellspeicherung in Word führte nicht nur zu etwas Zeitersparnis, sondern auch zum dauerhaften Verbleib von Informationen in der Datei - auch dann, wenn sie im Dokument gelöscht wurden. Diese Problematik gilt ebenfalls für die Word-Versionen 97, 2000 und 2002.
Durch den anhaltenden Ausbau von E-Government und E-Business steigt die Anzahl der im Umlauf befindlichen Dokumente permanent an. Mit der gleichzeitigen Verfügbarkeit von einfach zu bedienenden und leistungsfähigen Softwaretools zur automatisierten Erfassung und Auswertung umfangreicher Dokumentenbestände steigt das Risiko der unbewussten Preisgabe interner Informationen. Die daraus resultierenden Konsequenzen können für Unternehmen und Behörden sehr unangenehme Folgen haben.
Aus den aufgeführten Gründen sollten möglichst alle potenziell kompromittierenden Zusatzinformationen von Dokumenten vor der Weitergabe an Dritte entfernt werden. Für die Office-Versionen XP/2002 und 2003 stellt Microsoft mit dem RHDTool ein nachträglich zu installierendes Add-In bereit, das den Menüpunkt "Datei" um den Eintrag "Verborgene Daten entfernen" erweitert. Dessen Auswahl entfernt die unerwünschten Daten aus einem geöffneten und bereits gespeicherten Dokument, indem es unter neuem Namen eine bereinigte Kopie des Originals anlegt und abschließend sein Logfile ausgibt. Darin ist zu lesen, ob und welche Daten entfernt wurden.
In nachfolgenden Office-Versionen hat Microsoft die unterschiedlich betitelte Funktion bereits integriert. In Office 2007 öffnet der Nutzer über den links oben befindlichen Office-Button das Menü, wählt zuerst "Vorbereiten" und nachfolgend "Dokument prüfen". In zwei aufeinander folgenden Auswahldialogen des Dokumenteninspektors erfolgt die Wahl der zu prüfenden und entfernbaren Elemente des Dokuments. Auch der für die erste Jahreshälfte angekündigte Nachfolger Office 2010 wird seinen Nutzern diese Möglichkeiten an die Hand geben. Hier wird die Funktion durch einen Klick auf "Datei" zu erreichen sein. Auf der sich dann öffnenden Informationsseite sollte die Wahl zuerst "Auf Probleme prüfen" und anschließend auf "Dokument prüfen fallen. Die prüfbaren und zu bereinigenden Elemente werden, analog zur Vorgängerversion, in zwei nacheinander erscheinenden Auswahldialogen, der hier "Dokumentenprüfung" genannten Funktion, gewählt. Allen in Microsoft Office integrierbaren wie integrierten Lösungen ist der nachteilige Verbleib des letzten Speicherpfades in den Metadaten eigen. Zusätzliche Informationen erhalten Sie im Internet auf der Hilfeseite des Herstellers.
Der großen Marktpräsenz Microsofts im Behörden- und Unternehmensbereich ist der Schwerpunkt dieses Beitrages geschuldet. Daraus zu schlussfolgern, andere Dokumentenformate seien nicht betroffen, wäre fatal. Für weiterführende Informationen zur Entfernung von Metadaten und anderer verborgener Daten aus den Dokumenten der bei Ihnen genutzten Bürosoftware wenden Sie sich bitte an Ihre zuständige IT-Organisationseinheit.
[1] „Social Engineering" beschreibt die Methodik, berechtigte Nutzer eines Informations- und Kommunikationssystems durch Täuschung über die Identität des Angreifers oder andere Tatsachen dazu zu verleiten, dem Angreifer sensible oder geheim zu haltende Daten (zum Beispiel Passworte und/oder Benutzerberechtigungen) für einen Systemeinbruch mitzuteilen oder gar unmittelbar Daten aus dem IuK-System unberechtigt weiterzugeben.
[2] Tätigkeitsbericht des Landesbeauftragten für den Datenschutz in Baden-Württemberg, Ausgabe 1999, S. 35.