Untersuchung eines manipulierten PDF

 (mjg59.dreamwidth.org)
2 Punkte von GN⁺ 2025-09-28 | 1 Kommentare | Auf WhatsApp teilen
  • In Kalifornien kam es zu einem Streit, weil die Pflicht zur Rückgabe der Kaution innerhalb von 21 Tagen und zur Benachrichtigung über eine Vorabinspektion nicht eingehalten wurde; da im Mietvertrag keine Informationen zum Vermieter enthalten waren, entwickelte sich zunächst eine Kommunikation mit der Agentur (International Executive Rentals)
  • Die Agentur behauptete, sie bewahre die Kaution nicht auf, und schickte eine Kopie des Vertrags. In dem Dokument standen jedoch der Satz „Die Kaution wird auf einem IER-Treuhandkonto verwahrt“ im Haupttext und ein widersprüchlicher Zusatz (Addendum), was Verdacht erregte
  • Die Prüfsumme der von der Signaturplattform RightSignature angehängten Zertifizierungsseite war identisch, doch eine Analyse der PDF-Metadaten zeigte Unterschiede bei Änderungszeitpunkt und ID-Tags (ID0/ID1) sowie eine abweichende Zeitzone, was auf nachträgliche Bearbeitung hindeutete
  • Beim Zerlegen und Vergleichen der internen PDF-Struktur wurden auf Seite 3 das Tag touchUp_TextEdit und Änderungen an den Font-Benennungsregeln sowie eine Umbenennung des beim Einfügen der Signatur verwendeten Courier-Fonts entdeckt; damit ergaben sich Indizien für eine Bearbeitung nach der Signatur
  • Über Entwicklerwerkzeuge ließ sich bestätigen, dass das Original base.pdf mit der „Original checksum“ übereinstimmt; darin gab es keinen Zusatz. Auch während einer Bildschirmfreigabe wurden Upload-Datum sowie doppelte Einträge Draft/Completed sichtbar, was stark auf eine mögliche Manipulation hindeutet

Hintergrund des Falls und rechtlicher Kontext

  • Trotz kurzfristiger Anmietung gelten in Kalifornien die Mieterschutzvorschriften, darunter die Pflicht zur Rückgabe der Kaution innerhalb von 21 Tagen sowie zur Benachrichtigung über eine Vorabinspektion vor dem Auszug
    • Der Vermieter ist die rechtlich verantwortliche Stelle für Aufbewahrung und Rückzahlung der Kaution, die Agentur trägt diese Verantwortung nicht
    • Da im Vertrag Name und Anschrift des Vermieters fehlen, konnte die Zustellung nur über die Agentur erfolgen
  • Der Leiter der Agentur schickte eine E-Mail mit der Aussage, „die Kaution wird nicht von uns aufbewahrt“, doch im beigefügten Vertrag standen zugleich die Formulierung, dass IER sie verwahrt, und im Addendum „Verwahrung durch den Vermieter“ – ein Widerspruch

Das fragliche Dokument und die widersprüchlichen Klauseln

  • Klausel im Haupttext: Formulierung zur institutionellen Verwahrung mit „Kaution … wird auf einem IER Trust Account verwahrt
  • Bereich mit Checkbox am Seitenende: Bei Addendum 1 ist die Aussage angekreuzt, die Kaution werde vom Vermieter verwahrt
    • In der Kopie des Autors ist Addendum 1 leer, in der Kopie der Agentur ist es angekreuzt und ausgefüllt

Forensik 1: Vergleich der PDF-Metadaten

  • Werkzeug: Mit pdftk dump_data wurden CreationDate/ModDate sowie ID0/ID1 extrahiert
    • Kopie des Autors: Erstellungs- und Änderungszeit identisch, UTC, ID0=ID1
    • Kopie der Agentur: gleiche Erstellungszeit, aber Änderungszeit auf den jüngsten Montag, Kennzeichnung PDT, ID0 identisch, ID1 abweichend
  • Interpretation: ID0 wird bei der ersten Erstellung vergeben und bleibt üblicherweise unverändert, ID1 ändert sich bei Bearbeitungen; das stützt die Annahme von gleichem Original und späterer Änderung

Forensik 2: Vergleich der Struktur auf Seitenebene

  • Werkzeug: Mit pdfalyzer wurden Objekte zerlegt und per Diff verglichen
    • Die Unterschiede konzentrieren sich ausschließlich auf Seite 3, die übrigen Seiten haben dieselbe Struktur
    • Auf Seite 3 erscheint das Tag touchUp_TextEdit, ein Hinweis auf Bearbeitung mit Acrobat
  • Mögliches Gegenargument: Es könnte sich um eine Bearbeitung vor der Signatur handeln, etwa zum Einfügen des Vermieternamens; daher sei ein weiterer entscheidender Beleg nötig

Forensik 3: Font-Benennungsregeln und Rekonstruktion des Signaturzeitpunkts

  • Auf den meisten Seiten folgen die Fonts einer konsistenten Benennungsregel, nur die problematische Seite 3 wurde nach Acrobat-Muster umbenannt
  • Der von RightSignature beim Abschluss der Signatur eingefügte Courier-Font trägt im gesamten Dokument denselben Namen, auf Seite 3 erscheint er jedoch nach einem geänderten Schema
    • Courier existiert erst nach der Signatur; die Umbenennung des Fonts auf Seite 3 bedeutet daher eine Bearbeitung nach der Signatur

Forensik 4: Sicherung der Originaldatei vor der Signatur

  • Im Netzwerk-Tab (F12) des RightSignature-Viewers wurde base.pdf identifiziert und heruntergeladen
    • Die sha256sum stimmt exakt mit der „Original checksum“ auf der Zertifizierungsseite überein; dieses Original enthält kein Addendum
  • Abschließender Beleg: Obwohl die Zertifizierungsseite selbst nicht direkt überprüfbar ausgelegt ist, weist die Übereinstimmung zwischen Plattform-Original und Prüfsumme nach, dass der Zusatz im Original nicht vorhanden war

Darstellung der Agentur und weitere Indizien

  • Agentur: Sie behauptet, RightSignature „versiegele bei jedem Download erneut“, weshalb es wie eine Bearbeitung aussehe
    • Diese Behauptung passt nicht zu den Änderungen bei Zeitzone und ID1 in den Metadaten, den nur auf Seite 3 auftretenden Strukturunterschieden und den veränderten Font-Benennungen nach der Signatur
  • Während einer Bildschirmfreigabe sichtbar: „Uploaded: 09/22/25“, ein Button „Send for signature“ sowie zwei Einträge Draft/Completed
    • Im Completed-Dokument fehlt das Addendum, im Draft-Dokument ist das Addendum enthalten

Vermutetes Motiv und Risiken

  • Vermutung: Nachdem die Agentur erkannt hatte, dass die Formulierung „von IER verwahrt“ sie möglicherweise in die Verantwortung für die Rückzahlung der Kaution bringt, könnte sie versucht haben, den Zusatz nachträglich einzufügen
    • Das Ergebnis wäre, dass zur Vermeidung einer potenziell geringen zivilrechtlichen Haftung das Risiko eines Verdachts auf Dokumentenfälschung entsteht
    • Selbst wenn die endgültige rechtliche Verantwortung beim Vermieter liegt, kann Dokumentenmanipulation ein eigenständiges rechtliches Risiko auslösen

Praktische Erkenntnisse und Tipps zur Reaktion

  • Bei der Nutzung von E-Signatur-Plattformen steigt die Notwendigkeit, direkt nach der Signatur Original (base.pdf) und Prüfsumme offline zu archivieren
  • PDF-forensische Prüfpunkte
    • Prüfung von Zeitzone und Synchronität der Creation/Modification-Timestamps
    • Vergleich von ID0/ID1 zur Einschätzung der Bearbeitungshistorie
    • Erkennung von seitenweisen Objekt-Diffs, Bearbeitungs-Tags (touchUp_TextEdit) und Änderungen bei Font-Benennungsregeln
  • Auf die Behauptung „die Plattform versiegele neu“ kann mit einer Kreuzprüfung zwischen Plattform-Original und Zertifizierungs-Prüfsumme reagiert werden
    • Die Sicherung des Originals vor der Signatur über den Netzwerk-Tab der Entwicklerwerkzeuge kann zum entscheidenden Beleg werden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-28
Hacker-News-Kommentare

  • Es wird empfohlen, sich an Kaliforniens High Technology Theft Apprehension and Prosecution Program, das Internet Crime Complaint Center des FBI und die Financial Crimes Unit in San Francisco zu wenden; da RightSignature von Citrix übernommen wurde, wäre es auch sinnvoll, Citrix zu informieren. Da die Faktenlage klar zu Ihren Gunsten spricht, stehen die Erfolgsaussichten selbst ohne Anwaltskosten gut, und wahrscheinlich könnten Sie auch Schadensersatz geltend machen (High Technology Theft Apprehension and Prosecution Program, Internet Crime Complaint Center, Financial Crimes Unit, Artikel zur Citrix-Übernahme, Informationen zum Citrix-GC)

    • Das ist mit hoher Wahrscheinlichkeit ein Strafverfahren; der Staat würde das Verfahren selbst führen, und zusätzlich wäre auch eine Zivilklage möglich. Mit einem Anwalt würde es zwar etwas Zeit kosten, aber auch ohne gesonderte Kosten ließe sich wahrscheinlich eine angemessene Entschädigung erreichen. Es hätte zudem eine wichtige strafende Wirkung.

    • Wenn so etwas einer Person passiert ist, dann vermutlich auch vielen anderen. Wenn man gründlich genug ermittelt, halte ich auch eine Sammelklage für möglich.

  • Deshalb sollte man wichtige Dokumente in dreifacher Ausfertigung erstellen — eine für jede Partei, und der Notar behält die dritte Kopie. Ein Dienst für Dokumentsignaturen übernimmt genau diese Rolle, und in sehr seltenen Fällen muss jemand bezeugen, wer die echte Kopie besitzt. Als ich bei einer ähnlichen Firma gearbeitet habe, habe ich nur von einem einzigen Streitfall über eine Signatur gehört, nie aber über den Inhalt. So klar mir auch ist, wie Hashes funktionieren: Ein Richter versteht die technischen Details möglicherweise nicht, und am Ende muss das Unternehmen offiziell Stellung beziehen.

    • Die Praxis mit drei Exemplaren gibt es mindestens seit den Indenture-Verträgen des 14. Jahrhunderts. Das Wort „indenture“ stammt von dem unregelmäßigen, zahnartigen Schnitt. Damals wurde das Dokument dreimal von Hand geschrieben, nach der vollständigen Unterzeichnung zerschnitten, um Vervielfältigung zu erschweren; zudem machte Latein in Großbuchstaben in der Mitte Fälschungen noch schwieriger. Wenn zwei Kopien nicht übereinstimmten, log jemand. Diese dritte Kopie wurde im Notariat aufbewahrt, um festzustellen, wer die Wahrheit sagt. Auch Verträge über indentured servants funktionierten so.

    • Genau deshalb ist RightSignature kein billig selbst gehosteter Dienst, sondern ein teurer SaaS-Service. Das Wesentliche ist, einen Dritten bereitzustellen, der bezeugen kann, wer welche Version unterschrieben hat.

    • Jetzt zum ersten Mal diese Erklärung zu den drei Ausfertigungen zu hören, hat für mich endlich eine offene Frage geklärt. Ich war bisher zu beschäftigt, um dem nachzugehen.

  • Das erinnert mich an einen früheren Beitrag von Gwern, in dem er sich fragte, warum Leute so etwas nicht häufiger versuchen (Gwern-Blog: Betrachtungen zur PDF-Fälschung)

    • Ich denke, der vorliegende Fall des OP beantwortet genau diese Frage. Dass über einen Signaturdienst gefälscht wurde, ist schockierend, und um diese Situation sauber zu untersuchen und nachzuweisen, braucht es jemanden mit sehr tiefem Verständnis von Software und Forensik, der unzählige Prüfungen durchläuft. Und selbst dann gibt es noch keinen Vergleich oder Schuldspruch. Wie im Fall Craig Wright erfordern schon einfache Änderungen oder Rückdatierungen enorme Expertenforensik, während man ein ursprüngliches PDF als Anfänger in fünf Minuten ändern kann.

    • Gwern konzentrierte sich wohl auf Fälschungen öffentlich zugänglicher Dokumente wie wissenschaftlicher PDFs. In so einem Fall wäre es sogar besser, ein ganz neues PDF zu erzeugen, damit kein Vergleich mit dem Original möglich ist. Bei offiziellen Dokumenten als Rechtsbeweis muss die Fälschung aber möglichst identisch mit dem Original sein, um nicht aufzufallen. Solche Dokumente sind allerdings meist nicht öffentlich im Internet verfügbar.

    • Auf die Frage „Warum gibt es kein Photoshop für PDFs?“ lautet eine Antwort: Xournal++.

  • Ich habe kürzlich etwas Ähnliches erlebt. Ich war ein Jahr in Portugal, und ein Immobilienmakler hat Strom- und Wasserrechnungen manipuliert und mir gefälschte PDFs gegeben. Durch die PDF-Metadaten habe ich die Fälschung erkannt, aber ich habe nichts weiter unternommen und mir nur das Geld zurückgeholt. Dabei habe ich auch gelernt, dass sich Metadaten leicht überschreiben lassen. Ich frage mich, wie man sich gegen so etwas sicher schützen kann.

    • Eine mögliche Lösung sind elektronische Rechnungen mit digitaler Signatur. Ein Beispiel ist Frankreichs Factur-X (deutscher Name ZUGFeRD), bei dem signierte XML-Daten in das PDF eingebettet werden. So lässt sich leicht prüfen, ob der Rechnungsaussteller echt ist. Mehrere europäische Länder führen dieses System für die Mehrwertsteuerabwicklung ein, und maschinenlesbare Signaturdaten sind weit vertrauenswürdiger als Papierdokumente. Eine weitere Maßnahme wäre, solche Fälle zu melden, damit die Beteiligten wegen Betrugs strafrechtlich verfolgt werden.

    • Anwälte haben die Antwort schon seit Jahrhunderten: Jedes Dokument in mehreren Exemplaren, die zum Zeitpunkt der Unterzeichnung jeweils bei den Parteien verbleiben. Ich bekomme Verträge auch immer in zweifacher Ausfertigung, beide Seiten unterschreiben beide Exemplare und behalten jeweils eins. Bei Änderungen gilt dasselbe. Jede Partei bewahrt ihre eigene Kopie sorgfältig auf. Und dieser Prozess sollte auch digital gelten.

  • In so einem Fall sollte man meiner Meinung nach klagen, weil mit einem gefälschten Dokument Betrug begangen wurde. Selbst wenn es bei Ihnen nicht funktioniert hat, könnten viele andere auf dieselbe Weise geschädigt worden sein.

    • Wenn Sie nicht für andere Mieter kämpfen wollen, reicht es vielleicht schon, mit einer Klage zu „drohen“. Dann könnte der Makler dazu bewegt werden, die Daten des Vermieters offenzulegen oder die Kaution zurückzuzahlen.

    • Das eigentliche Ziel ist die Rückzahlung der geschuldeten Kaution oder zivilrechtlicher Schadensersatz wegen wire fraud.

  • Es scheint klare Beweise auf der RightSignature-Website zu geben, aber selbst wenn die Seite verschwindet, braucht man eine Möglichkeit, die Echtheit des Dokuments zu überprüfen. Die derzeit angebotene Verifizierungsseite ist nutzlos, wenn die Website nicht mehr existiert.

    • Dass sich das schwierig anfühlt, liegt daran, dass die Verifizierungsseite zwar im PDF enthalten ist, aber weder ihren eigenen Hash noch eine eigene Signatur enthalten kann. Ein Hash allein reicht auch nicht, weil man beim Manipulieren der Datei einfach auch den Hash ändern kann. Man bräuchte eine Möglichkeit, einen eindeutig signierten Payload zu extrahieren, aber RightSignature basiert nicht auf kryptografischem Design und müsste dafür komplett neu entworfen werden.

    • Das PDF-Format selbst unterstützt die Verifikation von Signaturen, und Adobe Reader erkennt das auch. DocuSign nutzt diesen Ansatz, und die signierte Version lässt sich direkt im Reader ansehen (Leitfaden zu Adobe-Signaturen, Beispiel für Signaturvorschau: Adobe-Reader-Beispiel)

  • Ich bin sehr neugierig, ob es in Bezug auf die Vermietungsagentur schon einen Abschluss gab.

    • Bisher ist noch nichts passiert. Es läuft gerade eine formelle Beschwerde bei der zuständigen Immobilienbehörde, und ich habe von der Agentur keine weitere Antwort erhalten.

  • Ich halte es für praktisch unmöglich, absichtlich eine sha256-Kollision zu erzeugen. Selbst SHAttered benötigte bei SHA-1 die Rechenleistung von 110 GPU-Jahren. Vielleicht hat RightSignature schlicht versehentlich das falsche Dokument hochgeladen — falsche Dateiauswahl oder versehentlich die falsche Version eingestellt und dann verwechselt.

    • Der OP stellt im Beitrag aber klar, dass dieser Entwurf erst viel später hochgeladen wurde; eine bloße Verwechslung kann es also nicht sein. Falls absichtlich eine neue Version hochgeladen wurde, erschließt sich mir auch kein vernünftiger Grund, nach Abschluss des bereits unterschriebenen Mietvertrags noch eine geänderte Version erneut hochzuladen.

    • Der tatsächlich für die Signatur verwendete Hash stimmt mit dem Originaldokument überein — also mit der Version ohne die Unterschrift des Mieters und ohne die betrügerisch hinzugefügte Klausel. Mit keiner anderen Version passt der Hash zusammen.

  • In diesem Stadium hat die Agentur eigentlich zwei Möglichkeiten: (A) die Kaution sofort selbst zurückzahlen und sie, falls der Makler nur Vermittler war, später beim Vermieter einfordern; oder (B) alle Informationen zum Vermieter offenlegen und vom Vermieter die rechtmäßige Rückzahlung verlangen. Das PDF-Fälschungsthema und das Tauziehen mit der Agentur sind interessant, aber das Ziel ist die Rückzahlung der Kaution.

  • Ich wollte darauf zugreifen, bekomme aber einen 403-Fehler (Web-Archive-Link)

    • Bei mir nicht.