So hackst du einen Power BI Bericht

Sicherheit in Power BI Berichten: Was du beachten solltest

Manchmal hilft es, sich in die Rolle des „bösen Buben“ zu versetzen, um zu verstehen, wie Sicherheit wirklich funktioniert. Keine Sorge, es geht hier nicht darum, Systeme zu zerstören oder Daten zu stehlen, sondern darum, die eigenen Power BI Berichte kritisch zu hinterfragen. Denn nur wer mögliche Schwachstellen kennt, kann sie auch schließen.

Das Setting: Zwei Browser, zwei Perspektiven

Im Beispiel in meinem Video gibt es zwei Rollen: Der blaue Browser steht für den Adminuser, also jemanden mit vollen Berechtigungen, der Berichte erstellen, veröffentlichen und verwalten darf. Der grüne Browser gehört Rainer Reader – einem Benutzer mit reiner Leseberechtigung, der nur Daten aus Frankreich sehen darf.

Soweit alles klar und sicher, oder? Rainer hat keinen Zugriff auf andere Arbeitsbereiche, keine Bearbeitungsrechte und darf nur konsumieren. Doch genau hier wird es spannend.

Neue Funktionen in Power BI bergen neue Risiken

Microsoft entwickelt Power BI ständig weiter und liefert regelmäßig neue Features aus – oftmals automatisch aktiviert. Das ist aus Nutzersicht großartig, weil man direkt Zugriff auf neue Möglichkeiten bekommt. Aus Sicherheitssicht kann das aber problematisch sein.

Ein Beispiel dafür ist das Feature „Erkunden“ (Explore), das Nutzern erlaubt, Datasets direkt zu analysieren – auch wenn sie eigentlich nur Leseberechtigungen haben. Diese Funktion ist gut gemeint, denn sie soll mehr Selbstständigkeit ermöglichen. Aber sie öffnet auch Türen, die aus Sicht der Datensicherheit besser geschlossen blieben.

Das Problem mit dem Erkunden

Wenn ein Benutzer über „Erkunden“ Zugriff auf das Dataset erhält, greifen zwar weiterhin die Row Level Security Regeln – er sieht also nur die Zeilen, für die er berechtigt ist. Trotzdem bekommt er mehr Einblick, als ursprünglich gedacht: Er sieht zum Beispiel Tabellennamen, Spaltenstrukturen und kann über visuelle Elemente Zusammenhänge erkennen, die ihm der ursprüngliche Bericht gar nicht zeigen wollte.

Diese explorativen Analysen kann er sogar speichern – natürlich nur in seinem eigenen Arbeitsbereich, aber das reicht aus, um auf Dauer mit den Daten zu experimentieren. Und genau das ist der Punkt: Er kann mehr sehen, als er soll.

Admin-Einstellung: Feature deaktivieren

Zum Glück lässt sich dieses Verhalten steuern. Im Power BI Admin Portal findest du unter den Mandateneinstellungen den Punkt „Erkunden (Vorschau) – Benutzer mit Ansichtsberechtigung können die Funktion Erkunden starten“. Wenn du diesen Schalter deaktivierst, steht das Feature für reine Viewer nicht mehr zur Verfügung.

Damit hast du schon einen großen Schritt in Richtung Kontrolle getan – aber eben nur einen.

Der zweite Blick: Semantisches Modell anzeigen

Selbst wenn das Erkunden deaktiviert ist, können Benutzer über die Funktion „Semantisches Modell anzeigen“ noch einiges erkennen.Sie sehen Tabellennamen, Beziehungen und Strukturen – quasi den Bauplan deines Datasets. Und wer weiß, welche Tabellen es gibt, kann schon erahnen, welche Daten im Hintergrund stecken.

Jetzt kommt der spannende Teil: Auch ohne direkte Berechtigung kann man mit etwas Wissen über die URL-Parameter in Power BI gezielt Filter an den Bericht anhängen. Die offizielle Microsoft-Dokumentation beschreibt, wie man Berichte über Abfragezeichenfolgenparameter steuern kann – eigentlich für sinnvolle Zwecke, wie das gezielte Öffnen eines gefilterten Berichts. Aber diese Technik kann eben auch missbraucht werden.

Ein kleiner Trick mit großer Wirkung

Angenommen, jemand weiß, dass es eine Tabelle „Produkt“ gibt, und vermutet dort weitere Werte. Dann kann er über die URL einen Filterparameter anhängen und so Berichte mit verschiedenen Produktwerten aufrufen – auch solche, die ihm ursprünglich nicht angezeigt wurden. Die Row Level Security schützt zwar weiterhin den Datenzugriff, aber wenn im Bericht Felder oder Filter nicht konsequent eingeschränkt sind, lassen sich Inhalte sichtbar machen, die eigentlich verborgen bleiben sollten.

Das bedeutet: Ausblenden schützt nicht. Nur weil du etwas nicht im Bericht zeigst, heißt das nicht, dass man nicht darauf zugreifen kann.

Was du daraus mitnehmen solltest

Wenn du deine Power BI Berichte wirklich sicher gestalten willst, reicht es nicht, einfach Spalten oder Visuals zu verstecken. Entscheidend ist, welche Daten überhaupt im Dataset enthalten sind. Wenn bestimmte Personen keine bestimmten Informationen sehen dürfen, dann dürfen diese Daten gar nicht erst im Modell enthalten sein. Alles andere ist nur eine optische Barriere.

Darüber hinaus solltest du regelmäßig prüfen:

• Welche Features im Power BI Service aktiv sind

• Wer welche Berechtigungen auf Dataset-Ebene hat

• Ob Berichte mit dynamischen Filtern oder Parametern angesteuert werden können

• Ob sensible Daten konsequent aus dem Modell ausgeschlossen wurden

Fazit zur Sicherheit in Power BI

Dieses Beispiel zeigt: Sicherheit in Power BI ist kein Zustand, sondern ein Prozess. Neue Funktionen bringen Komfort, aber eben auch neue Risiken. Nur wer sich regelmäßig mit den Möglichkeiten – und Grenzen – der Plattform beschäftigt, kann seine Daten langfristig schützen. Denn Wissen ist immer noch der beste Schutz.

Wenn du neugierig geworden bist, welche weiteren Möglichkeiten in Power BI stecken und du deine Fähigkeiten erweitern möchtest, dann schau dir unser Power BI Training auf der Daten-WG Website an. In diesem Training gehen wir tiefer in die Praxis, zeigen fortgeschrittene Use Cases und viele Tipps aus echten Projekten.