Excel mit digitaler Unterschrift ausgewählte Zellen vor Schreibzugriff schützen.

  • Moin.


    Hier eine Frage an die Excel-Spezialisten:



    Zu einer meiner beruflichen Tätigkeiten gehört die Prüfung von Leitern und Tritten. Dazu nutze ich das angefügte Exceldokument (bitte entpacken), welches von mir bisher immer von Hand ausgefüllt wurde.


    In einem Zeitalter wo alles papierlos stattfinden soll, möchte ich gerne die Leiterprüfungen am Laptop durchführen. Damit dies rechtssicher ist, muss das Dokument digital signiert werden können. Idealerweise über PKI-System, da dieses auch an meinem Arbeitsplatz zur Benutzeridentifikation genutzt wird.


    Nun mein eigentliches Anliegen:



    Ich möchte die Zellen der einzelnen Prüfpunkte als Formular ändern, mit Auswahlmöglichkeit i.O, n.i.O oder eine frei definierbare Texteingabe um kleinere Mängel direkt eintragen zu können.
    Wenn ich die abgeschlossene Prüfung digital signiere, sollen die Zellen welche zu der Prüfung gehören schreibgeschützt werden, so dass eine nachträgliche Änderung nicht mehr möglich ist.


    Alle weiteren Zellen in der Tabelle sollen aber weiterhin änderbar sein.


    Ich habe das mal mit Adobe Acrobat DC versucht umzusetzen. Das scheiterte aber an der Tatsache, dass das gesamte Dokument schreibgeschützt wird, wenn es digital signiert wird.



    Ist dies mit Excel überhaupt möglich?

  • Ich muss ab und zu auch solche Excel Formulare für die Firma erstellen und ich habe über die Jahre einige Lösungen für verschiedene Kunden gebaut.


    Hier ein paar Tipps:

    • verwende dort wo klar definierte Eingaben stattfinden müssen ("Ja", "Nein, "Weiss nicht") eine Dropdown Liste, die genau das erlaubt. In Excel wird das über Daten>Datenüberprüfung gemacht.
    • Wenn du viele Dropdownlisten hast und sonstige Konfigurationsparameter, erstelle ein separates "Config" Sheet, wo diese Listen drin sind und die Ranges einen Namen haben.
      Dann kannst Du in der Datenüberprüfung statt fixe Werte eingeben, den Range referenzieren. Macht Änderungen einfacher und immer in einem klar definiertem Teil der Lösung.
      Dann das "Config" Sheet per Passwort-Schutz sichern und Ausblenden.
      Wenn Du in Zukunft weitere Formulare designen musst, hast Du immer den gleichen Basis Aufbau und es ist einfacher was Neues zu erstellen.
    • Statt Linien Elemente würde ich eher die Rahmen-Formatierung verwenden. Das macht es einfacher Felder mit Formatierungen herumzuschieben und auch zu erweitern.
    • Du kannst auch Checkboxen, die per Maus gesetzt werden können, in Excel definieren, statt diese gezeichneten Quadrate.
      ("Entwicklertools" einblenden über Datei>Optionen>Menüband anpassen, dann Entwicklertools>Einfügen>Formularsteuerelemente, siehe Screenshot)
    • Damit kein falsches Datum wie 29.11.0218 (typische Vertipper) eingegeben kann, kannst Du Dateninhalte überprüfen auf Gültigkeit, auch hier via Daten>Datenüberprüfung

    Ich hatte mal einen Workflow mit Projektzeiten Wochenrepporte umgesetzt, wo z.B. durch Klick aus einen "Senden" Button ein Email an den Vorgesetzten mit den Daten geschickt wurde und der Wochenrapport dann nur noch im Archiv-Modus war, also keine Bearbeitung mehr erlaubte. Wurde der Wocherapport abgelehnt, konnte der Benutzer das Formular wieder bearbeiten.
    Nach dem Akzeptieren durch den Vorgesetzten wurde das Formular zu der Admin-Abteilung, geschickt, welche diese per Integration automatisch in ein System importierte. Dann wurde der Status aus "Komplett" gesetzt.
    Du könntest evt. das Signieren so automatisieren.


    Dazu muss man allerdings per VBA etwas programmieren. Und die Projekte wurde über das Netzwerk von einem SQL Server geladen (was für Offline Formulare halt nicht geht).
    Will damit sagen, man kann durchaus komplexere "rechtsichere Formulare" in Excel basteln. Die Frage ist halt wieviel Aufwand man darin stecken will.


    Es stimmt auch nicht dass man den Blattschutz "einfach" aushebeln kann: Seit Excel 2007 ist das nicht ohne weiteres möglich.
    Man kann evt. als Benutzer versuchen die Daten per Copy & Paste in ein anderes, leeres Excelfile zu kopieren, aber das kann man mit dem Blattschutz auch verbieten.


    Natürlich kann man auch, gesetzt man hat genug Zeit und kriminelle Energie, alles hacken.
    Die Frage ist halt ob man das dem Normal-User wirklich

    • zutraut
    • was die Motivation dahinter ist
    • die Leute meistens eh wenig Zeit haben für Spielereien


    Wenn Du weitere Fragen hast, kannst Du Dich gerne auch per PM an mich wenden.


  • Es stimmt auch nicht dass man den Blattschutz "einfach" aushebeln kann: Seit Excel 2007 ist das nicht ohne weiteres möglich.

    Von einfach habe ich nichts geschrieben. Per Brute-Force-Methode in VBA sollte man i.d.R. das PW rausbekommen können.

  • Von einfach habe ich nichts geschrieben. Per Brute-Force-Methode in VBA sollte man i.d.R. das PW rausbekommen können.

    Ich bitte dich, Aufwand und Ertrag und so.
    Man kann ALLES irgendwie hacken, wenn man genug Resourcen hat.
    Aber man muss die eigenen Mitarbeiter auch nicht gleich erstmal als verdächtige Kriminelle behandeln und eine Fort Knox Deluxe Lösung bauen wollen.
    Sowas zahlt Dir kein Auftraggeber.


    Das wird jetzt aber OT.

  • Vielen Dank für die vielen ausführlichen Tips.


    Das werde ich mich intensiv mit beschäftigen.




    Zum Thema Sicheheit:



    Selbst ein digital signiertes PDF-Dokument ist nicht sicher, wenn man es als Bitmap exportiert und anschliessend wieder als PDF-wandelt.


    Hat man das Dokument allerdings mit einem PKI-Zertifikate versehen und digital signiert, wären die Zertifikate nicht mehr vorhanden und eine Manipulation würde sofort auffallen.



    @Spider1982


    Ein Wasserzeichen wäre nicht zweckmässig. Das Dokument wird und muss von mehreren Personen spaltenweise verändert werden können. Jede Person hat seine eigene Spalte, die nach der Signierung schreibgeschütz wird. Person A darf die Eingaben von Person B nicht verändern können. Also darf der Schreibschutz lediglich auf die zu bearbeitnde Spalte wirken.

  • Nö. Das war recht einfach zu machen. Siehe hier. http://www.denisreis.com/excel…z-ohne-kennwort-aufheben/

    OK, dass es so banal ist, hatte ich nicht gewusst.
    Aber nochmals: Wenn man die Mitarbeiter als Kriminelle verdächtigen muss, dann läuft was schief.

  • Nö. Das war recht einfach zu machen. Siehe hier. denisreis.com/excel-vba-wie-si…z-ohne-kennwort-aufheben/

    :gahh: WTF??


    Mal was leicht out of the box:
    Welche Situation soll denn vermieden werden?


    -Ein Mitarbeiter darf keinen Eintrag auf "Leiter ist in Ordnung" ändern und dann behaupten, dass Shodan das so abgesegnet hat.
    -Ein Mitarbeiter darf keine Spalten leeren und dann sagen, dass Shodan gar nix geprüft hat.
    -Die Datei muss vor Shodan selber geschützt werden, damit er sich nicht durch Fälschung aus irgendwas rausreden kann.


    Wenn das Excel wie üblich benutzbar sein soll, dann wird es bestimmt mehr als ausreichend sein, die zu schützenden Zellinhalte als String durch den privaten Schlüssel verwursten zu lassen und die Zellen zu sperren.


    Man könnte aber auch festlegen, dass so ein ausgefülltes Excel nur per EMail, evtl. gar in CC an einen unbeteiligten 3. versendet werden darf. Das schließt nicht aus, dass verfälschte Dateien in Umlauf gebracht werden können, aber der Originalzustand wird nachweisbar.


    Oder nach einem Webdiesnt ausschau halten, der sich ein bisschen wie ein Fileserver mit eingebauter Versionskontrolle verhält.

  • Ich fasse mal meine Wunschvorstellungen zusammen: :)


    - Es gibt einen gemeisamen Ordner in unserem Firmen-Intranet. ( In meinem Fall ist es der Ordner "Arbeitssicherheit" ). Auf diesen Ordner haben bereits alle meine Kollegen zugriff, welche mit dem Thema Arbeitssicherheit, Leiterprüfung, DGUV usw. zu tun haben und berechtigt sind auch Leitern zu prüfen.


    - In dem Arbeitssicherheitsordner befindet sich nach Kostenstelle sortiert, für jede einzelne Leiter das benannte Leiterprüfblatt.


    - Jährlich wird dieses Blatt geöffnet und die Spalte ausgefüllt, welche die aktuelle Prüfung umfasst. Wer zu dem Zeitpunkt prüft ist zeitpunktabhängig, wer gerade anwesend ist.


    - Ist diese Prüfung abgeschlossen, signiert der Prüfer digital die aktuelle Prüfung und sperrt somit ein nachträgliches Ändern der Prüfpunkte.


    - Im nächsten Jahr kann die nächste Spalte des Leiterprüfbnlattes für die nächstfolgende Prüfung ausgefüllt werden. Der Schreibschutz auf der vorherigen Spalte hat auf die aktuelle Spalte keinen Einfluss.




    Bisher gab es die Leiterprüfung ausschliesslich in Papierform in Aktenordnern abgeheftet, was recht umständlich ist.

  • Bei so vielen Akteuren wäre auch eine Datenbank Lösung denkbar.


    Beim Klicken auf "Senden" Button wird alles in einer DB geschickt und Audit-Sicherheit sollte dann von Anfang an eine Vorraussetzung sein.


    Ändert jemand das Blatt nachträglich und schickt es erneut hast du einen Audit-Trail.

  • So. Auf Arbeit ist es heute relativ ruhig. Also habe ich mich mal an mein Leiterprüfblatt gemacht.


    @syshack


    Das mit der Drop-Down-Auswahlliste und der Funktion "Dateiüberprüfung" habe ich hinbekommen und mir einige Auswahlfenster erstellt. Jetzt stehe ich aber vor einem kleinen Problem:



    Ich habe zur Zeit die Funktionen i.O., n.i.O. und einen Strich für "nicht vorhanden" im Auwahlmenü vorgesehen. Es wäre aber sinnvoll, wenn ich das Feld alternativ mit einem Freitext ausfüllen könnte, um ggf. einen kleineren Mangel zu beschreiben.


    Logischerweise beschwert sich Excel in der momentanen Situation mit einer Fehlermeldung.





    Gibt es eine Möglichkeit in einem und demselben Feld alternativ zum Drop-Down-Menü eine Freitexteingabe vorzusehen?