Gute Nachricht für Whistleblower: Dresdner Forscher tricksen Druckerüberwachung aus

Kleine gelbe Punkte können genau verraten, welcher Drucker ein Dokument wann ausgedruckt hat. Für Whistleblower wurde das bereits zum Verhängnis. Forscher der TU Dresden haben nun eine Methode gefunden, diese Überwachungsmethode zu umgehen.

Der versteckte Tracking-Code eines HP-Druckers – Public Domain Florian Heise

Am 3. Juni 2017 verhaftete das FBI Reality Leigh Winner. Die Sprachwissenschaftlerin arbeitete für einen Dienstleister der NSA, ihr wird vorgeworfen, geheime Dokumente des US-Geheimdienstes an The Intercept geleakt zu haben. Zwei Tage später veröffentlichte The Intercept einen Bericht über diese Dokumente, die von russischen Hackerangriffen im Vorfeld der US-Wahl handeln. Dass Reality Winner schon vor dieser Veröffentlichung verhaftet wurde, liegt an einer ganzen Kette an Unachtsamkeiten. Auch kleine gelbe Punkte trugen dazu bei. Kleine gelbe Punkte, die viele Farblaserdrucker auf Dokumenten hinterlassen und die sowohl das Gerät als auch den Druckzeitpunkt verraten.

Forschern der Technischen Universität Dresden ist es gelungen, diese Muster zu erkennen, zu analysieren und letztlich auch zu anonymisieren. Timo Richter, Stephan Escher, Dagmar Schönfeld und Thorsten Strufe werteten für ihr Paper 1286 Seiten von 106 Druckermodellen 18 verschiedener Hersteller aus, die ausgedruckt und danach wieder eingescannt wurden. Dabei stießen sie auf fünf verschiedene Trackingmuster. Vier davon konnten die Forscher anonymisieren. Dennoch könnten Drucker auch andere, noch unbekannte Trackingmuster enthalten, wie Strufe sagte.

Kleine gelbe Punkte verraten die Seriennummer

Um die kleinen gelben Hinweisgeber zu finden, sucht der Algorithmus zunächst die leeren Bereiche einer Seite. In diesen vermeintlich weißen Regionen spürt er im nächsten Schritt gelbe Farbwerte auf und verfolgt ihre Konturen, um die gelben Punkte sichtbar zu machen. Diese Punkte sind in einer Matrix angeordnet, daher muss das Programm die gescannte Seite geraderücken, falls sie beispielsweise schief eingescannt wurde.

Die Trackingmuster wiederholen sich viele Male auf der gesamten Seite und bestehen aus einer Matrix. Je nach Modell enthält sie unterschiedlich viele Punkte. So lassen sich, abhängig vom konkreten Muster, zwischen 48 und 98 Bits an Informationen unterbringen. Aus allen dieser Muster konnten die Forscher die Seriennummer des Druckers ableiten, in einem fanden sie sogar Datum und Uhrzeit des Ausdrucks codiert.

Ein zusätzliches Muster, das Tracking unbrauchbar macht

Um die Ausdrucke zu anonymisieren, entwickelten die Dresdner zwei Möglichkeiten. Zum einen könnten die gelben Punkte nachträglich entfernt werden. Dafür muss das Dokument aber zunächst eingescannt werden. Damit die Punkte gar nicht erst aufs Papier kommen, gingen sie anders vor. Der naive, offensichtliche Ansatz wäre es, alle Punkte im Gitter aufzufüllen. Doch das, so schreiben die Wissenschaftler in ihrem Paper, würde zum einen unnötig viel Toner verbrauchen und zum anderen verdächtig wirken. Bei Schwarz-Weiß-Drucken fanden die Forscher keine gelben Punkte.

Sie fanden heraus, dass nur wenige zusätzliche Punkte reichen, um das Tracking unbrauchbar zu machen. Für jede der vier Trackingmatrizen berechneten sie dieses minimale Muster.

Das linke Bild zeigt ein Tracking-Muster. In der Mitte sind alle Punkte in der Matrix aufgefüllt. Das rechte Bild zeigt das minimale Muster, um das Tracking unbrauchbar zu machen. - Alle Rechte vorbehalten TU Dresden

Damit alle ihre Ausdrucke anonymisieren können, haben Timo Richter und Stephan Escher ein Toolkit entwickelt, das sie zum Herunterladen bereitstellen. „Wir finden es wichtig, dass die Menschen über die vorhandenen Codes und die damit mögliche Überwachung aufgeklärt werden“, sagt Escher. Sein Kollege Richter findet: „Jeder Mensch sollte sich frei äußern können – dazu gehört auch das Aufdecken von Missständen.“

Doch man muss nicht erst NSA-Dokumente leaken, um ein Interesse daran zu haben, anonym Dokumente drucken zu können. Als weiteres Beispiel nennen die beiden in ihrem Paper regierungskritische Flugblätter, die Aktivisten in Diktaturen verbreiten. Lässt sich ihr Drucker und damit die zugehörige Person ermitteln, stellt das eine große Gefahr für sie dar.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

32 Ergänzungen

  1. Könnte ich nicht einfach den gelben Toner entfernen und SW drucken?

    Zumindest solange es um Dokumente ohne Bildmaterial geht

  2. Eine Liste der Druckerhersteller/Modelle wäre super um die an den Pranger zu stellen. Was glauben die eigentlich, dass wir mit dem Kauf unsere eigene Überwachung ermöglichen.

    1. Geh‘ der Einfachheit halber von allen aus.

      Und das ist seit Jahren bekannt, ohne dass es mehr als marginale Beschwerden gibt.

      Die meisten Leute sind halt zu faul, zu bloed, oder beides.

  3. Hi, erstmal vielen Dank für die Berichterstattung zu unserem Paper! :-) Ganz kleine Korrektur: es sind insgesamt 5 Muster und wir können nur vier davon sicher anonymisieren, das fünfte (von Canon benutzt) verstehen wir noch nicht vollständig.

    Die in den anderen Kommentaren angefragten Details könnt Ihr direkt in dem Paper nachlesen, es ist frei verfügbar [1]. In Kürze: es betrifft praktisch alle Farblaserdrucker (mit Ausnahme weniger Hersteller, etwa Samsung und Brother, bei denen wir keine Yellow-Dots finden konnten, was nicht heisst, das hier nicht andere Machine-Identification-Codes verwendet werden). Man kann in der Tat einfach SW drucken, für den Fall haben wir keine Yellow-Dots gefunden (was nicht heisst… siehe oben).

    Schönen Abend!
    Thorsten

    [1] https://dl.acm.org/citation.cfm?doid=3206004.3206019

    1. Euch ist schon klar, dass ihr ein System aushebelt, welches seit Jahrzehnten weltweit(!) dazu dient, Geld- und Wertpapierfälschungen zu unterbinden? Das Hersteller sich dazu ausschweigen mag daher kommen, dass beim MIC höchstwahrscheinlich Behörden und Banken mitmischen. Ich würde es mit einem Toolkit vergleichen, das Fingerabdrücke anonymisiert. Einbrecher, Diebe und sonstige Kriminelle würden vor Freude einen Feiertag einführen. Aufklärung ist eine wichtige Sache, aber aushebeln halte ich für sehr bedenklich. Wäre ich Staatsanwalt, dann würde ich noch in dieser Minute Ermittlungen einleiten. Nur mal so am Rande.

      1. „Kunst und Wissenschaft, Forschung und Lehre sind frei. Die Freiheit der Lehre entbindet nicht von der Treue zur Verfassung.“ (Art. 5 GG III)

        Satz 2 können wir getrost beiseite lassen.

      2. Es ist egal ob es um „einen guten Zweck“ geht. Tracking gehört ausnahmslos unterbunden und ausgehoben. Auch wenn phöse Buben ebenfalls davon profitieren.

      3. @Kai (…) Jahrzehnten weltweit(!) dazu dient, Geld- und Wertpapierfälschungen zu unterbinden (…)

        Das ist mir neu. Wie soll es das denn machen? Die Punkte sind in bedruckten Bereichen nicht sichtbar und werden nicht eng gestreut aufbracht.
        Banknoten sind kleiner als die Standarddruckformate und enthalten nach dem Schneiden keine ausreichenden Informationen.
        Und wer druckt in relevanter Menge Geldscheine als Farbausdrucke? Vollidioten?
        Das gab es mal, als Farb!kopierer neu waren, und Leute extrem überrascht waren, dass es so etwas geben kann. Aber das ist jetzt mehr als 40 Jahre her.

        1. Also ich habe mal in einem Bürogeräteladen gearbeitet, die unter anderem A3 Farbkopierer vertrieben haben.
          An einem Tag stand mal die Kripo vor der Tür und wollte die Kundendaten von einer Maschine haben, mit der Blüten gedruckt wurden. Seriennummer hatten die über das Muster.
          So weit hergeholt ist das also gar nicht.

  4. Die Technologie ist gang und gebe und wurde nicht entwickelt, um Nutzerdaten abzugreifen , sondern um das Erstellen von Blüten, Fälschungen von Wertpapieren etc. zu unterbinden. Das steht übrigens unter Gefängnisstrafe nach §146 Absatz 2. Die öffnen Kleinkriminellen nun Türe und Tor und das weltweit, speziell in Entwicklungsländern, deren Noten nicht über die gleichen Sicherheitsmerkmale wie unsere verfügen. Und nach deren Argumentation kann jetzt auch jeder Nazi, jeder Salafist und weiß Gott noch wer, seine Flugblätter mit rechtswidrigen Inhalten bundesweit verteilen. Und hier wird noch ein Artikel darüber online gestellt, dass die als Sieg für die Meinungsfreiheit feiert. Manchmal sind Dinge komplexer als es den Anschein hat. Der BND und sämtliche Behörden weltweit werden sich freuen. Dünnes Eis. Applaus.

    1. @ Kai:
      Das hieße also, demokratische Freiheit ist nur solange gut, solange sie nicht die Rechte der „Falschen“ stärkt. Das ist aber nicht das Prinzip einer Demokratie. Nach der Logik müsste man auch das Wahlrecht und Land- sowie Bundestag(e) abschaffen. Denn Nazis „könnten“ ja eine Nazipartei dort hineinwählen. Demokratiefeinde kann man aber nur mit demokratischen Mitteln glaubhaft „bekämpfen“, alles andere ist einer Denokratie unwürdig.

      1. @Thorsten: +1

        YMMD :-D Manche Leute verstehen nichts von Demokratie und viele denken sie könnten Gesetzestexte tatsächlich verstehen, obwohl sie diese nur lesen und amateurhaft interpretieren anstatt auf den Sachverhalt zu schauen und Tatbestandsmerkmale zu prüfen.

        Gute Arbeit! Toll dass man sowas noch machen kann, wer weis wie lange.

        1. Auch hier: Dito.

          Genau das Gegenteil von dem, was mir hier unterstellt wird, habe ich getan: Betrachtung mit Bezug auf den Sachverhalt (wofür dient die Technologie) und Tatbestandsmerkmale: Hersteller sammeln keine Nutzerdaten! Die Technik dient dazu, im Falle von Missbrauch und Gesetzesverstößen die Verursacher und Täter zu ermitteln.
          Und jetzt erklär‘ mir bitte mal, wie das deiner Meinung nach „richtig“ zu interpretieren ist.

      2. Das ist aber ganz weit hergeholt…sei’s drum. Demokratie ist trotz allem an eine Gesetzesgrundlage gebunden, sonst wäre es eine Anarchie. Und Systeme auszuklügeln, die eine Gesetzesgrundlage außer Kraft hebeln können, finde ich sehr gewagt. Nach deiner Logik hieße es also, dass wir z. B. auch Nummernschilder abschaffen müssten, weil man ja darüber den Besitzer des Fahrzeugs ermitteln könnte.
        Wer in einer Demokratie der Richtige und der Falsche ist, spezifiert der Rechtsapparat. Und ich verstehe dein Argument nicht. Um zu verhindern, dass eine Nazipartei wieder an die Macht kommt, gibt es doch eben entsprechende Abschnitte im Grundgesetz. Und du willst jetzt das Wahlrecht abschaffen, anstatt eine Gesetzesgrundlage zu erlassen, um demokratische Werte zu schützen? Meine Logik ist das ganz bestimmt nicht. Diese Staatsform hätte eine andere Bezeichnung.

        1. Denkt an Diktaturen! In China können nun anonyme Flugblätter gedruckt werden. Um gegen Salafisten vorzugehen, hat die Polizei doch noch ganz andere Mittel.

  5. Jungs ihr versteht nicht, dass man ales für gute und schlechte Taten nutzen kann. Ihr verweist darauf, dass die Punkte nur vor Falschgeld schützen sollen, aber mal ehrlich, wer druckt Blüten im HP Office Jet? Auf jeden Fall kann man es auch dazu nutzen, um unliebsame, aber völlig rechtschaffende Menschen zu überwachen.

    Das Gleiche gilt für das Tool der Forscher: Es kann dabei helfen politische Aktivisten oder Whistleblower zu schützen. Ebenso könnt ihr jetzt eure super realistischen Blüten heimlich auf einem Bürodrucker drucken und schauen, ob ihr damit bei Aldi an der Kasse durch kommt. Mit Monopolygeld hättet ihr jedoch mehr Chancen…

    1. Wenn ich mir gegen Barzahlung einen Drucker kaufe, damit Wertpapierflugblattfalschgeld herstelle und hinterher den Drucker fachgerecht entsorge – was hat der Kram dann „unterbunden“?

      Jetzt darf jeder darüber nachdenken, für wen der Einwegdrucker die Option darstellt.

      1. Nein, wird es in erster Instanz nicht, aber in zweiter, weil es sich zurück verfolgen lässt.
        Denk mal drüber nach.

    2. Dann erkläre mir mal, warum deine Versicherung oder sonstwer, dem du ein gedrucktes Dokument schickst, prüfen sollte, auf welchem System es gedruckt wurde, wenn eh dein Name und vielleicht sogar deine Unterschrift drauf abgebildet ist? Wofür schützt dich denn hier die Anonymisierung? Wie soll denn da bitte „überwacht“ werden, es wird nichts proaktiv an den Hersteller gesendet. Es wird nur im Falle einer Straftat ausgewertet. Ihr regt euch über ein System auf, dass Forensiker nutzen und nicht die Hersteller. Und zeitgleich tippt ihr eure Kommentare wahrscheinlich mit dem Android Handy, auf dem jeder Tastendruck wahrscheinlich analysiert wird. Das hier ist gleichbedeutend mit Nummernschilder unkenntlich machen. Oder Seriennummern aus Autos oder Waffen entfernen. Stört niemanden, dass es da ist, ist aber hilfreich, wenn Straftaten begangen werden.
      Und beobachte mal das Geschehen in Diskos, Volksfesten und Supermärkten. In der Eile und dem Schummerlicht mischt sich unbemerkt mal ein falscher 10ner ins Bündel. So bringen die Leute das Geld unters Volk und nicht in einem großen Aktenkoffer, wie im Film. Und der kann noch so mistig aussehen, es fällt nicht auf.

    3. Und früher wurden übrigens Kopierer-Techniker teilweise vereidigt. Die waren verpflichtet allein den Versuch einer Fälschung zu melden, wenn sie es bei der Wartung festgestellt haben. Es gibt nicht ein paar andere Mechanismen. Soviel zu deinen „superrealistischen Blüten aus dem Bürokopierer“. Das kommt häufiger vor, als du denkst.

  6. Ist das Nichtinformieren der Nutzer durch die Hersteller mit der DSGVO vereinbar?
    Es ist ja ganz klar ein Merkmal, das einen Personenbezug herstellen soll…

  7. Dann erkläre mir mal, warum deine Versicherung oder sonstwer, dem du ein gedrucktes Dokument schickst, prüfen sollte, auf welchem System es gedruckt wurde, wenn eh dein Name und vielleicht sogar deine Unterschrift drauf abgebildet ist? Wofür schützt dich denn hier die Anonymisierung? Wie soll denn da bitte „überwacht“ werden, es wird nichts proaktiv an den Hersteller gesendet. Es wird nur im Falle einer Straftat ausgewertet. Ihr regt euch über ein System auf, dass Forensiker nutzen und nicht die Hersteller. Und zeitgleich tippt ihr eure Kommentare wahrscheinlich mit dem Android Handy, auf dem jeder Tastendruck wahrscheinlich analysiert wird. Das hier ist gleichbedeutend mit Nummernschilder unkenntlich machen. Oder Seriennummern aus Autos oder Waffen entfernen. Stört niemanden, dass es da ist, ist aber hilfreich, wenn Straftaten begangen werden.
    Und beobachte mal das Geschehen in Diskos, Volksfesten und Supermärkten. In der Eile und dem Schummerlicht mischt sich unbemerkt mal ein falscher 10ner ins Bündel. So bringen die Leute das Geld unters Volk und nicht in einem großen Aktenkoffer, wie im Film. Und der kann noch so mistig aussehen, es fällt nicht auf.

    1. Die Trackingdots enthalten u.a. auch Datum und Uhrzeit und sind nicht nur von der Polizei lesbar, sondern von jedem. Nummernschilder geben solche Informationen nicht.

  8. Bei den BigBrotherAwards 2004 hat das Laudator Frank Rosengart vom Chaos Computer Club das aufgedeckt. Wir waren recht schockiert – es ist aufgefallen, weil ein Mensch, der Kopierer wartete, im Forum von Kopierernerds rumfragte, warum da so ein Gelbstich bei den Farbausdrucken und -Kopien ist, den er nicht wegbekam. Gemeinsam im Forum sind sie dem dann auf die Schliche gekommen. https://bigbrotherawards.de/2004/technik-canon

  9. @Thorsten
    So interessant ich das Paper und das Ergebnis daraus finde – ich denke es ist ohne weiteres nicht wirklich in eine flüssige, verlässliche Praxis umsetzbar. Erst recht nicht in nicht selbstkontrollierten Umgebungen, in denen man keinen ausreichenden Handlungsfreiraum hat.

    Es bleibt auch offen, wir ihr ja auch sagt, ob nicht bestimmte Geräte noch andere, nicht erkannte, Identcodes nutzen.
    Für geübte Augen mögen Schrift- oder Zeichenmodifikationen sichtbar sein, in der Regel fallen sie aber auch erst dann sehr spät auf, wenn sie z.B. völlig verdreht werden (Xerox, oder?).
    Mikromodifikationen von Textbestandteilen werden aber nicht immer vorab erkannt werden können. Ich denke, man sollte grundsätzlich davon ausgehen, dass Drucke immer Identmerkmale aufweisen. Wer das vermeiden muss, der ist vielleicht gezwungen andere Wege finden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.