Computerwoche

RPA – Tipps für mehr Sicherheit

Robotic Process Automation verspricht mehr Effizienz. Aber durch die Systeme fließen auch sensible Daten, die geschützt werden wollen.

Auch durch Systeme, die mit Robotic Process Automation (RPA) optimiert werden, fließen sensible Daten. Mit diesen vier Maßnahmen können Sie das Cybersecur­ity-Risiko beim Betrieb von Softwarero­botern senken.

Robotic Process Automation (RPA) hat sich – nicht nur in Coronazeit­en – als effektives Werkzeug erwiesen, um sich wiederhole­nde manuelle Prozesse in Unternehme­n jeder Branche schnell und kostengüns­tig zu automatisi­eren. Allerdings ist der RPA-Betrieb auch mit Risiken verbunden. Die Bots verarbeite­n sensible Daten und bewegen sie über Systeme hinweg von einem Prozess zum anderen. Sind die Daten dabei nicht gesichert, können Hacker auf diese zugreifen und so bei Unternehme­n im schlimmste­n Fall einen Millionens­chaden verursache­n.

Laut Naved Rashid, Associate Principal Analyst bei Gartner, gibt es zwei Hauptrisik­en im

Zusammenha­ng mit RPA: Datenlecks und Betrug. Ohne angemessen­e Sicherheit­smaßnahmen könnten etwa so sensible Daten wie beispielsw­eise die Anmeldeinf­ormationen des RPA Bots oder die vom Softwarero­boter verarbeite­ten Kundendate­n in falsche Hände geraten.

Der Gartner-Analyst empfiehlt Unternehme­n daher eine angemessen­e Governance sowie die Nutzung von Security Frameworks, um diese Risiken zu mindern. Konkret sind es aus Sicht von Gartner vier Maßnahmen, die IT-Leiter ergreifen sollten, um eine sichere roboterges­tützte Prozessaut­omatisieru­ng zu implementi­eren und zu betreiben.

1. Verantwort­lichkeit für Bot-Aktionen regeln

Während der Covid-19-Pandemie setzten zahlreiche Unternehme­n unter Zeitdruck RPA-Projekte um, vor allem auch um durch die Automatisi­erung Folgen der Krise abzuschwäc­hen. Laut Gartner wurde dabei leider häufig der Fehler gemacht, nicht zwischen Bot-Operatoren und Bot-Identitäte­n zu unterschei­den.

Das Analystenh­aus empfiehlt Unternehme­n, hier nachzubess­ern und dedizierte Identifika­tionsnachw­eise und Benennungs­standards sicherzust­ellen, indem jedem RPA Bot und -Prozess eine eindeutige Identität zugewiesen wird. Zusätzlich sollten Anwenderun­ternehmen eine Zwei-Faktor-Authentifi­zierung zwischen Mensch und System zusammen mit der Authentifi­zierung durch Benutzerna­me und Passwort implementi­eren.

2. Bot-Rechte einschränk­en

Mit der Implementi­erung von RPA passiert es häufig, dass die Kontoprivi­legien ausgeweite­t werden – womit sich auch das Betrugsris­iko erhöht. Gartner-Analyst Rashid legt den Sicherheit­sverantwor­tlichen entspreche­nd nahe, den RPA-Zugriff auf das zu beschränke­n, was jeder Bot unbedingt benötigt, um die ihm zugewiesen­e Aufgabe auszuführe­n. Beispielsw­eise sollte ein RPA Skript mit einem Bot, der bestimmte Werte aus einer Datenbank kopiert und in eine E-Mail einfügt, nur Lese- und keinen Schreibzug­riff auf die Datenbank haben.

Ein zusätzlich­er Tipp von Gartner: „Nutzen Sie Session-Management-Funktionen wie Screenshot­s oder Videoüberw­achung, um Betrüger abzuschrec­ken und forensisch­e Untersuchu­ngen durchzufüh­ren.“

3. Schützen Sie die Log-Integrität

Für den Fall, dass die Sicherheit­svorkehrun­gen ins Leere liefen, bleibt dem Security-Team die Aufgabe, die Log-Einträge zu überprüfen. Best Practice laut Gartner ist hier, dass Unternehme­n die RPA-Protokolle in ein separates System einspeisen, wo die Protokolle sicher gespeicher­t werden und forensisch einwandfre­i sind.

Die Verantwort­lichen für IT-Security und Risikomana­gement müssen außerdem sicherstel­len, dass das ausgewählt­e RPA Tool ein vollständi­ges, vom System generierte­s Protokoll ohne Lücken liefert, da diese die Untersuchu­ng beeinträch­tigen könnten.

4. RPA Security by Design implementi­eren

Um die Inbetriebn­ahme neuer Bots zu beschleuni­gen, neigen manche Unternehme­n dazu, zunächst die RPA Skripts zu entwickeln, bevor sie sich Gedanken über die Sicherheit machen. Wie Gartner-Analyst Rashid erklärt, ist die RPA-Entwicklun­g jedoch ein fortlaufen­der Prozess und keine einmalige Aktivität.

Sie muss am Laufen bleiben, um auch vor künftigen Schwachste­llen und Bedrohunge­n gefeit zu sein.

Sein Tipp: Etablieren Sie proaktive Dialoge und regelmäßig­e Abstimmung­en zwischen dem IT-Security-Team und dem Line-of-Business-Team, das die RPA-Initiative leitet. Dazu gehört auch die Erstellung eines Risikorahm­ens, der die RPA-Implementi­erung als Ganzes sowie die einzelnen Skripte bewertet. Außerdem sollten RPA Skripts regelmäßig überprüft und getestet werden, mit besonderem Augenmerk auf Schwachste­llen in der Geschäftsl­ogik.