Robotic Process Automation (RPA) hat sich - nicht nur in Corona-Zeiten - als effektives Werkzeug erwiesen, um sich wiederholende manuelle Prozesse in Unternehmen jeder Branche schnell und kostengünstig zu automatisieren. Allerdings ist der RPA-Betrieb auch mit Risiken verbunden. Die Bots verarbeiten sensible Daten und bewegen sie über Systeme hinweg von einem Prozess zum anderen. Sind die Daten dabei nicht gesichert, können Hacker auf diese zugreifen und bei Unternehmen so im schlimmsten Fall einen Millionenschaden verursachen.
Laut Naved Rashid, Associate Principal Analyst bei Gartner, gibt es zwei Hauptrisiken im Zusammenhang mit RPA: Datenlecks und Betrug. Ohne angemessene Sicherheitsmaßnahmen könnten etwa so sensible Daten wie beispielsweise die Anmeldeinformationen des RPA-Bots oder die vom Softwareroboter verarbeiteten Kundendaten in falsche Hände geraten.
Der Gartner-Analyst empfiehlt Unternehmen daher eine angemessene Governance sowie die Nutzung von Security Frameworks, um diese Risiken zu mindern. Konkret sind es aus Sicht von Gartner vier Maßnahmen, die IT-Leiter ergreifen sollten, um eine sichere, robotergestützte Prozessautomatisierung zu implementieren.
1. Verantwortlichkeit für Bot-Aktionen regeln
Während der COVID-19-Pandemie implementierten zahlreiche Unternehmen unter Zeitdruck RPA-Projekte, um durch die Automatisierung Folgen der Krise abzuschwächen. Laut Gartner wurde dabei leider häufig der Fehler gemacht, nicht zwischen Bot-Operatoren und Bot-Identitäten zu unterscheiden.
Das Analystenhaus empfiehlt Unternehmen, hier nachzubessern und dedizierte Identifikationsnachweise und Benennungsstandards sicherzustellen, indem jedem RPA-Bot und -Prozess eine eindeutige Identität zugewiesen wird. Zusätzlich sollten sie eine Zwei-Faktor-Authentifizierung zwischen Mensch und System zusammen mit der Authentifizierung durch Benutzername und Passwort implementieren.
2. Bot-Rechte einschränken
Mit der Implementierung von RPA passiert es häufig, dass die Kontoprivilegien ausgeweitet werden - womit sich auch das Betrugsrisiko erhöht. Gartner-Analyst Rashid legt den Sicherheitsverantwortlichen entsprechend nahe, den RPA-Zugriff auf das zu beschränken, was jeder Bot unbedingt benötigt, um die ihm zugewiesene Aufgabe auszuführen. Beispielsweise sollte ein RPA-Skript mit einem Bot, der bestimmte Werte aus einer Datenbank kopiert und in eine E-Mail einfügt, nur Lese- und keinen Schreibzugriff auf die Datenbank haben.
Ein zusätzlicher Tipp von Gartner: "Nutzen Sie Session-Management-Funktionen wie Screenshots oder Videoüberwachung, um Betrüger abzuschrecken und forensische Untersuchungen durchzuführen."
3. Schützen Sie die Log-Integrität
Für den Fall, dass die Sicherheitsvorkehrungen ins Leere liefen, bleibt dem Security-Team die Aufgabe, die Log-Einträge zu überprüfen. Best Practice laut Gartner ist hier, dass Unternehmen die RPA-Protokolle in ein separates System einspeisen, wo die Protokolle sicher gespeichert werden und forensisch einwandfrei sind.
Die Verantwortlichen für IT-Security und Risikomanagement müssen außerdem sicherstellen, dass das ausgewählte RPA-Tool ein vollständiges, vom System generiertes Protokoll ohne Lücken liefert, da diese die Untersuchung beeinträchtigen könnten.
4. RPA-Security by Design implementieren
Um die Inbetriebnahme neuer Bots zu beschleunigen, neigen manche Unternehmen dazu, zunächst die RPA-Skripts zu entwickeln, bevor sie sich Gedanken über die Sicherheit machen. Wie Gartner-Analyst Rashid erklärt, ist die RPA-Entwicklung jedoch ein fortlaufender Prozess und keine einmalige Aktivität. Sie muss am Laufen bleiben, um auch vor künftigen Schwachstellen und Bedrohungen gefeit zu sein.
Sein Tipp: Etablieren Sie proaktive Dialoge und regelmäßige Abstimmungen zwischen dem IT-Security-Team und dem Line-of-Business-Team, das die RPA-Initiative leitet. Dazu gehört auch die Erstellung eines Risikorahmens, der die RPA-Implementierung als Ganzes sowie die einzelnen Skripte bewertet. Außerdem sollten RPA-Skripts regelmäßige überprüft und getestet werden, mit besonderem Augenmerk auf Schwachstellen in der Geschäftslogik.
Weitere Informationen zum Thema RPA-Security erhalten Gartner-Klienten in dem Research Paper Four Steps to Ensure Robotic Process Automation Security.
- Roman Schäfer, Blue Reply
Das Wort „Übergangstechnologie“ klingt arg negativ. Irgendwie ist doch alles eine Übergangstechnologie. Nach SAP R3 kommt S4 HANA, nach Windows 7 kommt Windows 10, da spricht niemand von Übergangstechnologien. Ich spreche daher lieber von Release-Zyklen. - Andreas Zehent, Deloitte
Die flächendeckende Technologiekompetenz fehlt noch immer in den meisten Unternehmen, da bei Einstellungsverfahren in Fachabteilungen noch zu wenig Wert darauf gelegt wird. In vielen Abteilungen vieler Unternehmen können Sie außerhalb der IT die Leute, die zumindest die nötigen Grundkenntnisse mitbringen, an den Fingern einer Hand abzählen. - Dr. Rami-Habib Eid-Sabbagh, Lana Labs
Das Schöne an RPA ist doch: Die Technologien sind heute einfach zu nutzen. Durch diesen Vorteil sinkt die Hemmschwelle zur Modernisierung, und neue Türen werden aufgestoßen – mit Machine Learning und Process Mining werden in Zukunft automatisch gezielt smarte Bots gebaut werden können. - Jan Wunschick, Lufthansa Industry Solutions
Viele Firmen machen immer wieder den gleichen Fehler, sehr viele starre Prozesse zu implementieren, vor allem im Bereich der IT-Sicherheit. Der Aufwand, die Legacy-Architektur umzubauen, steigt auf diese Weise exponentiell. Gerade hier sind Plattformansätze hochspannend, weil sie den Aufwand deutlich reduzieren und viele Einsparmöglichkeiten bieten. - Alexander Steiner, meta:proc
Gerade wenn nach günstigen und schnell umzusetzenden Lösungen gesucht wird, verspricht eine RPA schnelle Wertschöpfung. Doch eigentlich ist sie nur eine Übergangstechnologie, und zwar bis zu dem Punkt, an dem eine Schnittstellentechnologie besser passt. - Timo Nolle, PAFnow
KI und Machine Learning können das Process Mining entscheidend voranbringen. Das automatische Auffinden von Anomalien in Unternehmensprozessen ist zum Beispiel ein interessantes Szenario. Dieser Ansatz geht über die heutigen Möglichkeiten von RPA hinaus, da so nicht mehr nur Prozessbilder erstellt werden, sondern automatisch Learnings gezogen werden können. - Jörg Richter, Pegasystems
Kunden kommen häufig mit großen Ambitionen. Doch nach der Implementierung einer Technologie kommt es oft vor, dass der Betrieb stockt und die Lösung unproduktiv wird. RPA ist im Endeffekt eine Lösung, die dazu dient, die Legacy zu verwalten. Unbedingt vermeiden sollte man einen Wildwuchs an Bots: Wir raten unseren Kunden daher, für sich die Frage zu beantworten, wie für sie am Ende die ideale Lösung aussehen soll, und dann danach zu handeln. - Julian Beckers, Weissenberg Business Consulting
Erfolgreiches RPA ist für mich, wenn wir eine funktionierende, verständliche und portionierbare Lösung vorlegen können, die für sich funktioniert. Auf CIO-Ebene muss immer alles gleich in große Gesamtlösungen integriert sein und reibungslos darin aufgehen. Die Realität sieht aber häufig anders aus. Wir unterliegen im Alltag natürlich vielen technologischen Beschränkungen und müssen mit dem arbeiten, was wir haben.