Metadaten-Hygiene: EXIF, PDF und Office vor der Veroffentlichung saubern

Ein anonymer Forscher veroffentlichte ein zwolfseitiges PDF, das einen Unternehmensbetrug enthullte. Innerhalb von 48 Stunden stand sein Name auf Twitter. Es war keine Social Engineering: Es war das Feld Author im PDF, automatisch von LibreOffice gesetzt, plus ein Anderungszeitstempel, der zu seinen Arbeitszeiten passte. Metadaten sind die Achillesferse jeder sensiblen Veroffentlichung, und die meisten Office-Suiten betten identifizierende Informationen standardmassig ein, ohne zu warnen. Das Basilisk-Team behandelt Metadaten-Sanitisierung als Pflichtkontrolle vor jedem offentlichen Drop, auf gleicher Ebene wie die Prufung von IPs und Browser-Fingerprints. Wer aus der Praxis von OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell kommt, weiss schon: der technische Teil ist der einfache.

Beginnen Sie mit den Basics: EXIF in Bildern. Ein modernes Smartphone-JPEG tragt GPS-Koordinaten mit 5 Metern Genauigkeit, Geratemodell, Objektivseriennummer und sogar Gyroskop-Orientierung im Moment der Aufnahme. Standardwerkzeug bleibt Phil Harveys ExifTool. Fur Audit: exiftool -a -G1 -s datei.jpg zeigt die Gruppen EXIF, XMP, IPTC, MakerNotes und ICC_Profile. Fur aggressives Saubern loscht exiftool -all= -overwrite_original *.jpg alles, aber bewahren Sie eine unberuhrte Kopie ausserhalb des Veroffentlichungsverzeichnisses auf. Bei PNG sind tEXt- und zTXt-Chunks das Problem, die Photoshop oder GIMP hinterlassen, oft mit Benutzername und vollem Pfad der Quelldatei.

PDF ist das tuckischste Format, weil es Metadaten auf drei Ebenen tragt: /Info-Dictionary, XMP-Stream und inkrementelle Objekteigenschaften, wenn die Datei ohne Linearisierung bearbeitet wurde. exiftool deckt die ersten beiden ab, fur die dritte brauchen Sie qpdf --linearize --object-streams=generate aus.pdf ein.pdf, das die gesamte Struktur neu schreibt und Revisionshistorie verwirft. Es gibt auch den Fall von PDFs aus Firmenscannern: viele betten die Seriennummer des Multifunktionsgerats im Producer-Feld ein. Wenn das Dokument gedruckt und gescannt wurde, denken Sie auch an den Tracking-Dots-Angriff gelber Laserdrucker, dokumentiert von der EFF und essentiell fur die Praxis aus Personenschutz fuer Exponierte Ziele: Journalisten, Aktivisten und Fuehrungskraefte.

Office-Dokumente sind ein Zoo. DOCX, XLSX und PPTX sind tatsachlich ZIP-Archive mit XML, und docProps/core.xml listet Autor, letzte Anderung, Revision und Firma. Word pflegt zusatzlich rsid (revision save IDs), die das Korrelieren von Textfragmenten zwischen verschiedenen Dokumenten desselben Autors erlauben, ein Angriff namens rsid fingerprinting. Fur zuverlassige Reinigung: Word's Inspect Document gefolgt von Remove All, oder LibreOffice File > Properties > Reset Properties kombiniert mit Tools > Options > Security > Remove personal information on saving. Fur Batch-Automatisierung decken oxml-document-cleaner in Python oder mat2 (Metadata Anonymisation Toolkit) 95 Prozent der Falle ab, ohne eine GUI zu offnen.

mat2 verdient eigenes Rampenlicht, weil es von Leuten gebaut wurde, die in realen Bedrohungsmodellen denken, gepflegt vom Tails-Team. mat2 --inplace dokument.pdf wirkt auf uber 30 Formate inklusive SVG, MP4, FLAC und EPUB. Der --check-Modus listet, was ubrig bleibt. Kombinieren Sie es mit torsocks beim Upload via Tor, gemass der Praxis aus Echte Anonymitaet mit Tor: Was Funktioniert und was Mythos ist 2026. Fur Bilder direkt aus dem Telefon erwagen Sie ein Zwischenformat: JPEG durch ImageMagick mit -strip entfernt ICC-Profile und EXIF, aber ImageMagick ordnet auch Quantisierungsbytes auf identifizierbare Weise um, daher fur ernste Falle besser jpegtran -copy none, das die Originaltabelle erhalt.

Es gibt Fallen, die kein automatisches Werkzeug fangt. Screenshots von Monitoren mit variabler Bildwiederholrate hinterlassen Codec-Mikroartefakte, die das GPU-Modell identifizieren. LaTeX-generierte PDFs betten die Signatur des hyperref-Pakets inklusive Kompilierungsdatum in UTC ein, was die Zeitzone verrat. MP4-Videos tragen ein moov-Atom mit dem Dateisystem-Timestamp des Erstellers. Fur vollstandige Reinigung lautet der Basilisk-Flow: Inhalt in wegwerfbarer VM mit UTC-Zeitzone erzeugen, via Clipboard oder isoliertem Netzwerkshare exportieren, mit mat2 auf dem Host sanitisieren, mit exiftool -a -G1 -s validieren und erst dann veroffentlichen. Dasselbe Muster taucht in Digitale Kompartimentierung: Getrennte Identitaeten ohne Metadaten zu lecken und in Tails, Whonix oder Qubes OS: Welches fuer Welches OPSEC-Szenario auf.

Adversariale Validierung schliesst den Kreis. Vor der Veroffentlichung laden Sie die finale Datei zu einem offentlichen Inspektionsdienst wie metadata2go hoch oder fuhren Sie pdfid.py und pdf-parser.py von Didier Stevens aus. Vergleichen Sie die Ausgabe mit Ihrer Erwartung: idealerweise keine Autorenfelder, Timestamps auf null oder 1970-01-01 gesetzt und keine eingebetteten Streams uber das Notige hinaus. Dokumentieren Sie die Checkliste und versionieren Sie sie zusammen mit dem Inhalt. Praktischer Take-away: bauen Sie einen Shell-Alias namens clean-doc, der mat2 --inplace gefolgt von exiftool -a -G1 -s auf dem Ergebnis ausfuhrt, und veroffentlichen Sie nie etwas, ohne diesen Alias laufen zu lassen und die Ausgabe zu lesen. Drei Sekunden Disziplin schlagen drei Jahre Gerichtsverfahren.

Vergessen Sie schliesslich nicht: Metadaten sind nicht nur ein Veroffentlichungsproblem. E-Mails, Slack-Anhange und sogar Uploads in offentliche S3-Buckets tragen dasselbe Risiko. Reife Teams behandeln Sanitisierung als Pipeline, nicht als manuellen Schritt. Integrieren Sie mat2 in Pre-Commit-Hooks von Repos, die anonyme Beitrage akzeptieren, und in Upload-Gateways von Whistleblower-Plattformen. Metadaten-Hygiene schutzt Sie nicht vor einem staatlich ausgestatteten Gegner, aber sie eliminiert die gesamte Klasse selbstverschuldeter Fehler, die Forscher zu Fall bringt, bevor die Ermittlung uberhaupt beginnt. Einmal anwenden, immer automatisieren.