Sicher automatisieren

In 4 Schritten zu mehr RPA-Security

14.05.2021
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Mit diesen vier Maßnahmen können Sie das Cybersecurity-Risiko beim Betrieb von Softwarerobotern senken.
Da Softwareroboter häufig auf sensible Daten zugreifen, muss der RPA-Betrieb gut abgesichert werden.
Da Softwareroboter häufig auf sensible Daten zugreifen, muss der RPA-Betrieb gut abgesichert werden.
Foto: Production Perig - shutterstock.com

Robotic Process Automation (RPA) hat sich - nicht nur in Corona-Zeiten - als effektives Werkzeug erwiesen, um sich wiederholende manuelle Prozesse in Unternehmen jeder Branche schnell und kostengünstig zu automatisieren. Allerdings ist der RPA-Betrieb auch mit Risiken verbunden. Die Bots verarbeiten sensible Daten und bewegen sie über Systeme hinweg von einem Prozess zum anderen. Sind die Daten dabei nicht gesichert, können Hacker auf diese zugreifen und bei Unternehmen so im schlimmsten Fall einen Millionenschaden verursachen.

Laut Naved Rashid, Associate Principal Analyst bei Gartner, gibt es zwei Hauptrisiken im Zusammenhang mit RPA: Datenlecks und Betrug. Ohne angemessene Sicherheitsmaßnahmen könnten etwa so sensible Daten wie beispielsweise die Anmeldeinformationen des RPA-Bots oder die vom Softwareroboter verarbeiteten Kundendaten in falsche Hände geraten.

Der Gartner-Analyst empfiehlt Unternehmen daher eine angemessene Governance sowie die Nutzung von Security Frameworks, um diese Risiken zu mindern. Konkret sind es aus Sicht von Gartner vier Maßnahmen, die IT-Leiter ergreifen sollten, um eine sichere, robotergestützte Prozessautomatisierung zu implementieren.

1. Verantwortlichkeit für Bot-Aktionen regeln

Während der COVID-19-Pandemie implementierten zahlreiche Unternehmen unter Zeitdruck RPA-Projekte, um durch die Automatisierung Folgen der Krise abzuschwächen. Laut Gartner wurde dabei leider häufig der Fehler gemacht, nicht zwischen Bot-Operatoren und Bot-Identitäten zu unterscheiden.

Das Analystenhaus empfiehlt Unternehmen, hier nachzubessern und dedizierte Identifikationsnachweise und Benennungsstandards sicherzustellen, indem jedem RPA-Bot und -Prozess eine eindeutige Identität zugewiesen wird. Zusätzlich sollten sie eine Zwei-Faktor-Authentifizierung zwischen Mensch und System zusammen mit der Authentifizierung durch Benutzername und Passwort implementieren.

2. Bot-Rechte einschränken

Mit der Implementierung von RPA passiert es häufig, dass die Kontoprivilegien ausgeweitet werden - womit sich auch das Betrugsrisiko erhöht. Gartner-Analyst Rashid legt den Sicherheitsverantwortlichen entsprechend nahe, den RPA-Zugriff auf das zu beschränken, was jeder Bot unbedingt benötigt, um die ihm zugewiesene Aufgabe auszuführen. Beispielsweise sollte ein RPA-Skript mit einem Bot, der bestimmte Werte aus einer Datenbank kopiert und in eine E-Mail einfügt, nur Lese- und keinen Schreibzugriff auf die Datenbank haben.

Ein zusätzlicher Tipp von Gartner: "Nutzen Sie Session-Management-Funktionen wie Screenshots oder Videoüberwachung, um Betrüger abzuschrecken und forensische Untersuchungen durchzuführen."

3. Schützen Sie die Log-Integrität

Für den Fall, dass die Sicherheitsvorkehrungen ins Leere liefen, bleibt dem Security-Team die Aufgabe, die Log-Einträge zu überprüfen. Best Practice laut Gartner ist hier, dass Unternehmen die RPA-Protokolle in ein separates System einspeisen, wo die Protokolle sicher gespeichert werden und forensisch einwandfrei sind.

Die Verantwortlichen für IT-Security und Risikomanagement müssen außerdem sicherstellen, dass das ausgewählte RPA-Tool ein vollständiges, vom System generiertes Protokoll ohne Lücken liefert, da diese die Untersuchung beeinträchtigen könnten.

4. RPA-Security by Design implementieren

Um die Inbetriebnahme neuer Bots zu beschleunigen, neigen manche Unternehmen dazu, zunächst die RPA-Skripts zu entwickeln, bevor sie sich Gedanken über die Sicherheit machen. Wie Gartner-Analyst Rashid erklärt, ist die RPA-Entwicklung jedoch ein fortlaufender Prozess und keine einmalige Aktivität. Sie muss am Laufen bleiben, um auch vor künftigen Schwachstellen und Bedrohungen gefeit zu sein.

Sein Tipp: Etablieren Sie proaktive Dialoge und regelmäßige Abstimmungen zwischen dem IT-Security-Team und dem Line-of-Business-Team, das die RPA-Initiative leitet. Dazu gehört auch die Erstellung eines Risikorahmens, der die RPA-Implementierung als Ganzes sowie die einzelnen Skripte bewertet. Außerdem sollten RPA-Skripts regelmäßige überprüft und getestet werden, mit besonderem Augenmerk auf Schwachstellen in der Geschäftslogik.

Weitere Informationen zum Thema RPA-Security erhalten Gartner-Klienten in dem Research Paper Four Steps to Ensure Robotic Process Automation Security.