Viele Drucker geben Informationen preis, die für exponierte Berufsgruppen gefährlich werden könnten. Mithilfe des DEDA-Toolkits ermitteln Sie, was der Drucker über Sie verrät und anonymisieren bei Bedarf Ihre Ausdrucke.

Computernutzer stehen im Internet unter ständiger Beobachtung: Tracking-Software jedweder Art ermöglicht es Werbetreibenden, Kriminellen und auch Behörden, die Wege von Anwendern im Internet nachzuvollziehen und dieses Wissen jeweils für ihre eigenen Zwecke zu nutzen.

Doch nicht nur im Internet lassen sich Aktivitäten von meist ahnungslosen Surfern verfolgen: Nahezu jeder im Handel erhältliche Farblaserdrucker modifiziert beim Ausdruck Dokumente dergestalt, dass man sie dem jeweiligen Gerät – und damit meist auch dessen Eigentümer – eindeutig zuordnen kann.

Verschiedene staatliche Institutionen machen sich diese Eigenschaft der Geräte zunutze, indem sie jeweils interessante Dokumente forensisch untersuchen und dabei die ohne Wissen des Nutzers hinterlegten Codierungen entschlüsseln. Besonders exponierte Berufsgruppen wie Rechtsanwälte, Ärzte oder auch Journalisten sollten daher darauf achten, dass ausgedruckte Dokumente anonymisiert sind und somit keine Rückschlüsse mehr auf ihre Herkunft zulassen.

Dazu bedarf es keiner teuren Anlagen, sondern nur eines Computers mit Linux, eines Scanners und des DEDA-Toolkits (Akronym für “Dots Extraction, Decoding and Anonymisation Toolkit”) [1]. Dieses entschlüsselt nicht nur in vielen Fällen die codierten Informationen, sondern anonymisiert auch das entsprechende Dokument.

Wirkungsweise

Faktisch alle im Handel angebotenen Farblaserdrucker reichern ihre Ausdrucke um winzige gelbe Farbpunkte an, die aufgrund der geringen Größe von etwa 0,0025 bis 0,004 mm mit bloßem Auge kaum oder gar nicht sichtbar sind. Dieser sogenannte Machine Identification Code (MIC) [2] wurde auf Initiative eines US-Geheimdiensts und mehrerer Regierungen in die Druckwerke von Farblaserdruckern und Farbkopierern fest implementiert, wobei sich die Hersteller mit der Bekanntgabe technischer Details zurückhalten.

Das Drucksystem verteilt die Farbpunkte dabei nach einem vorgegebenen Muster in einem Raster großflächig über das jeweilige Dokument. Eine Analyse der Punkte gibt dann Aufschluss über die Seriennummer des Geräts oder über Metadaten des ausgedruckten Dokuments. Anhand dieser Daten lassen sich dann Rückschlüsse auf den Käufer und Eigentümer des Geräts und das ausgedruckte Dokument ziehen.

Dabei gibt es kein allgemeingültiges festes Muster, nach dem die Punkte gesetzt werden. Manche Hersteller nutzen nur ein spezifisches Muster; andere, wie beispielsweise Epson, verwenden mehrere Codiermuster. Die Muster umfassen dabei jeweils zwischen 48 und 98 Bit.

Das Vorhandensein der gelben Punkte auf ausgedruckten Dokumenten wurde bereits im Jahr 2005 nach diversen Medienberichten von der Electronic Frontier Foundation (EFF) aufgrund eigener Recherchen bestätigt. Seit 2008 führte die EFF bis ins Jahr 2017 eine Liste mit Druckermodellen, die den ausgedruckten Dokumenten ein Punktraster hinzufügen [3].

Lediglich bei einigen Modellen der Hersteller Hewlett-Packard, Konica Minolta, OKI, Xerox und Samsung konnten die Forscher keine Punktraster finden. Allerdings wurden längst nicht alle in den Handel gebrachten Modelle der einzelnen Hersteller einer Prüfung unterzogen.

Die Liste umfasst zudem meist nur ältere Geräte für professionelle Ansprüche. Modelle, die als Drucker für kleine Arbeitsgruppen oder Heimnetze konzipiert sind, finden sich in der EFF-Liste kaum. Aufgrund der hohen Zahl von gefundenen Mustern geht die EFF jedoch davon aus, dass der überwiegende Teil der im Handel angebotenen Farblaserdrucker jeder Größe gelbe Punkte auf die Ausdrucke setzt.

Inzwischen hat ein Forschungsprojekt der TU Dresden um die Wissenschaftler Stephan Escher und Timo Richter in den Jahren 2017 und 2018 das DEDA-Toolkit entwickelt, das es in vielen Fällen ermöglicht, nicht nur vorhandene Punktraster zu erkennen, sondern diese auch zu entschlüsseln und durch Manipulation so zu verändern, dass sich keine Daten mehr auslesen lassen. Dabei analysierten die Forscher insgesamt 1286 Ausdrucke von 141 Laserdruckern, die von 18 verschiedenen Herstellern stammten [4].

Vorgehensweise

Das Python-Programm können Sie in Ubuntu ab Version 16.10 nutzen oder installieren es für andere Distributionen nach einer auf Github bereitgestellten Anleitung. Sie nutzen die Software dann wahlweise im Terminal oder über eine grafische Oberfläche, die als Web-Applikation im Browser arbeitet (Abbildung 1).

Abbildung 1: Die DEDA-Web-Applikation besitzt eine selbsterklärende Oberfläche.

Nach der Installation rufen Sie die grafische Oberfläche aus dem Terminal durch Eingabe des Befehls deda_gui auf. Die Software öffnet dann den Webbrowser und ruft als erste Seite einen Dialog auf, in dem Sie eine forensische Analyse eines Ausdrucks vornehmen.

Damit die Analyse erfolgreich verläuft, sollten Sie zuvor einen beliebigen Farbausdruck mit Ihrem Laserdrucker anfertigen. Um die Kalibrierung der Software zu erleichtern, sollte dieser sowohl Bereiche mit Text umfassen als auch ausreichend große unbedruckte Flächen. Vollflächige Farbausdrucke eignen sich für die Analyse nicht. Monochrome Ausdrucke oder solche von Monochrom-Laserdruckern weisen kein Punktraster auf und eignen sich daher nicht für die forensische Analyse.

Den Ausdruck scannen Sie danach mit einer möglichst hohen Auflösung ein. Unter Linux bietet sich dafür das Programm Vuescan oder eine andere Software an, mit der sich die optische Auflösung des Scanners möglichst optimal ausnutzen lässt. Die eingescannte Datei muss im PNG- oder JPG-Format vorliegen. Mit zunehmender physischer Auflösung des Scans nimmt auch die Dateigröße zu, sodass schon kleine eingescannte Seitenausschnitte eine Dateigröße von mehr als 100 MByte erreichen. Bei Scans von Ausschnitten dürfen diese andererseits nicht zu klein ausfallen, da die Software sonst in der forensischen Analyse unter Umständen kein komplettes Muster ausmachen kann.

Falls Sie auf dem originalen Ausdruck bereits mit einer guten Uhrmacherlupe oder einem Mikroskop kleine gelbe Punkte wahrnehmen können, dann lassen sich diese oft schon mithilfe des Bildbearbeitungsprogramms Gimp auf dem Scan sichtbar machen. Dazu laden Sie den eingescannten Ausdruck in Gimp und verändern im Dialog Farbton / Sättigung, den Sie über das Menü Farben | Farbton / Sättigung… erreichen, für die gelbe Farbe die Helligkeitseinstellung. Stellen Sie sie auf den minimalen Wert ein, sodass die auf dem Dokument verstreuten hellgelben Punkte “nachdunkeln” und deutlich zu erkennen sind (Abbildung 2).

Abbildung 2: In Gimp können Sie die “Yellow Dots” nach entsprechender Bildanpassung mit bloßem Auge erkennen.

Anschließend laden Sie die unveränderte eingescannte Datei in das DEDA-Toolkit, indem Sie im Dialog Forensische Analyse deren vollständige Pfadangabe ins entsprechende Eingabefeld eintragen und anschließend auf Dokument analysieren klicken. Das Werkzeug analysiert nun das Dokument und versucht, gleichartige Raster festzustellen und zu interpretieren.

Diese Analyse beansprucht je nach Größe der eingescannten Datei und abhängig von der Rechenleistung des Computers einige Minuten. Findet das Tool ein Raster und kann es interpretieren, so zeigt es anschließend im unteren Bereich des Browserfensters die gewonnenen Daten und das Punktraster an (Abbildung 3).

Abbildung 3: Treffer! Bereits in einem kleinen Ausschnitt hat das DEDA-Toolkit ein Wasserzeichen auf dem Ausdruck gefunden.

Kann DEDA kein Raster ausmachen, das Daten über den Drucker und den Ausdruck preisgibt, dann gibt das Programm eine in roter Farbe hinterlegte Meldung aus. Haben Sie bereits mithilfe eines optischen Hilfsmittels ein Punktraster auf einem Ausdruck lokalisiert, das das Toolkit trotzdem nicht als MIC-Code identifiziert, wiederholen Sie das Prozedere am besten mit mehreren eingescannten Ausdrucken desselben Druckers.

Anstelle der forensischen Analyse wählen Sie bei mehreren gescannten Dateien jedoch links im Browserfenster die Option Mustervergleich. Im rechten Fenstersegment geben Sie anschließend die Dateinamen samt vollständiger Pfadangaben an. Sie dürfen hier beliebig viele Dateinamen eintragen. Es empfiehlt sich jedoch, zunächst mit nur zwei Dateien zu beginnen, da die für die Analyse benötigte Zeit bei mehreren hochauflösenden Dateien stark zunimmt.

Nach beendeter Auswertung blendet die Software das Ergebnis wieder unterhalb des Eingabebereichs ein. Je mehr Raster das Toolkit dabei als übereinstimmend identifizieren kann, desto detaillierter fallen die Angaben zum MIC-Code des Druckers aus (Abbildung 4).

Abbildung 4: Beim Vergleich zweier Dokumente aus dem gleichen Drucker wurden übereinstimmende Fingerabdrücke festgestellt.

Modifikation

Über den Dialog Pattern Generierung lässt sich eine Punktmatrix als digitales Wasserzeichen in ein vorhandenes Dokument einfügen. So sorgen Sie dafür, dass Sie im Bedarfsfall dieses PDF-Dokument als eindeutig von Ihnen stammend identifizieren können. Die Funktion bietet sich an, wenn Sie ein Dokument durch das Einfügen eines digitalen Wasserzeichens gegen unerlaubtes Kopieren schützen möchten.

Dazu geben Sie in den entsprechenden Eingabefeldern eine wahlfreie Seriennummer für den Drucker an und benennen den Druckerhersteller. Dabei müssen Sie beachten, dass als Auswahloptionen lediglich die Hersteller Dell, Xerox oder Epson zur Verfügung stehen. Der Punktradius für die neu zu setzenden Punkte lässt sich ebenfalls modifizieren. Außerdem geben Sie den Pfad an, in dem die vorhandene PDF-Datei abgespeichert ist, sowie Datum und Uhrzeit der Anlage des neuen Dokuments. Dabei blendet DEDA unterstützend einen Monatskalender und eine Tagesanzeige ein.

Nach einem Klick auf den Button Dokument generieren erstellt die Software ein entsprechendes Punktraster und legt damit ein identisches Dokument mit dem Dateinamen new_dots.pdf im selben Pfad an. Das originale Dokument bleibt dabei erhalten.

Anonymisierung

Als Gegenstück zur Modifikation eines Dokuments mithilfe eines automatisch erzeugten Wasserzeichens zur eindeutigen Identifikation bietet DEDA im Dialog Scan Anonymisierung die Funktion, vorhandene Dokumente, auf denen sich Ihr Drucker identifizieren lässt, zu anonymisieren. Dazu verändert das Toolkit das Punktraster, sodass es keine verwertbaren Informationen mehr enthält.

Dazu geben Sie lediglich den Namen der entsprechenden Ursprungsdatei ins Eingabefeld ein oder kopieren ihn dorthin. Dann klicken Sie den Button Dokument anonymisieren an. Das DEDA-Toolkit benötigt nun einige Minuten, um das Dokument großflächig zu modifizieren, und zeigt anschließend den Erfolg unterhalb des Eingabefelds an. Die modifizierte Datei legt die Software im Ursprungspfad unter dem gleichen Namen wie das Originaldokument ab, jedoch mit angehängtem _anon (Abbildung 5).

Abbildung 5: Nach der Behandlung durch das DEDA-Toolkit erkennt keine forensische Analyse mehr ein Wasserzeichen.

Wenn Sie das anonymisierte Dokument nun erneut einer forensischen Analyse unterziehen, sollte die Software kein nachvollziehbares MIC-Muster mehr identifizieren können.

Druckausgabe

Da der Drucker nach wie vor bei Ausdrucken sein eigenes MIC-Raster ausgibt, lassen sich die Ausdrucke weiterhin identifizieren. Um das zu verhindern, erlaubt das DEDA-Toolkit, eine spezielle Druckmaske anzulegen, die alle Ausdrucke anonymisiert. Über den Menüpunkt Generierung der Druckmaske laden Sie dazu zunächst eine Kalibrierungsseite aus dem Internet herunter und drucken diese mit Ihrem Drucker aus, wobei die Druckauflösung mindestens 300 dpi betragen sollte.

Anschließend scannen Sie das Kalibrierungsdokument ein, laden die so erzeugte Datei ins DEDA-Toolkit und legen mit einem Klick auf den Button Maske Generieren das entsprechende Maskendokument an. Nun wechseln Sie in den Dialog Druck Anonymisierung. Dort werden Sie zunächst gebeten, das auszudruckende Originaldokument im PDF-Dateiformat sowie die soeben generierte Druckmaske zu laden und anschließend durch Klicken des Buttons Dokument generieren das anonymisierte Dokument anzulegen. Die Software speichert es im selben Pfad ab, in dem sich das originale Dokument befindet, wobei das Programm die Bezeichnung durch _masked ergänzt. Auch die genutzte Kalibrierungsmaske legt das Framework dort ab.

Das anonymisierte Dokument dürfen Sie jetzt auf Ihrem Drucker ausgeben. Scannen Sie danach das ausgedruckte Dokument erneut ein und unterziehen es einer forensischen Analyse, sollte DEDA keine identifizierbaren MIC-Codierungen mehr erkennen. Falls jedoch sichtbare Artefakte auftreten, die einen leichten Versatz zwischen originalen und maskierten Punkten anzeigen, empfiehlt die Software eine entsprechende Punktjustierung.

Die nehmen Sie ebenfalls im Dialog Druck Anonymisierung vor, wobei das Programm dabei ein komfortables Verschieben der Punkte durch Eingabe entsprechender Werte auf der X- und Y-Achse vorsieht. Anschließend sollte auf dem so anonymisierten Dokument auch beim Betrachten unter der Lupe keine Manipulation mehr feststellbar sein. Möchten Sie mehrere Dokumente anonymisieren, wiederholen Sie einfach die entsprechenden Schritte (Abbildung 6).

Abbildung 6: Mithilfe der Druckanonymisierung gewöhnen Sie Ihrem Drucker das Schwatzen ab.

Fazit

Die von Farblaserdruckern generierten digitalen Fingerabdrücke erweisen sich zwar bei der Verbrechensbekämpfung als ein wichtiges Werkzeug, stellen jedoch andererseits auch ein Mittel zur Überwachung dar. Sie können daher insbesondere die Arbeit bestimmter Berufsgruppen beeinträchtigen, aber auch für politische Aktivisten wie Whistleblower eine gefährliche Falle darstellen.

Damit solche Überwachungsversuche scheitern, arbeiten Forscher der TU Dresden am DEDA-Toolkit, mit dessen Hilfe sich eingescannte Dokumente ebenso wie die Ausdrucke selbst anonymisieren lassen. Es lässt sich einfach bedienen und erfüllt seinen Zweck. Allerdings benötigt man bei der forensischen Untersuchung der Scans eine gute Vorlage, deren Generierung etwas Übung erfordert. Liegen jedoch erst einmal die nötigen Einstellungen vor, zeigt sich der Nutzen des Werkzeugs.