Prostock-studio - stock.adobe.co
Best Practices: Robotic Process Automation richtig absichern
Robotic Process Automation führt viele bisher von Menschen erledigte Aufgaben automatisch aus. Die dafür verwendeten Bots müssen aber in die Sicherheitsstruktur integriert werden.
Robotic Process Automation (RPA) ist eine noch relativ junge Methode, um wiederkehrende Business-Prozesse nahezu ohne menschliche Interaktion durchzuführen. Stattdessen setzt RPA auf automatisierte Bots, maschinelles Lernen und künstliche Intelligenz (KI).
Die Technik ist unter anderem in der Lage, viele zeitfressende, aber bisher manuell durchgeführte Prozesse automatisch zu erledigen. So können viele Abläufe im Unternehmen optimiert und verbessert werden.
Dabei treten jedoch aus Sicherheitssicht neue und teils auch alte Bedenken auf, mit denen sich alle Firmen auseinandersetzen müssen, die RPA bereits nutzen oder einen Einsatz planen. Manche der Bedenken hängen mit den Nutzern zusammen, die diese Aufgaben bislang erledigt haben. Andere mit den Bots, die das nun übernehmen sollen.
Ohne geeignete Sicherheitsmaßnahmen kann Robotic Process Automation schnell zu einem Problem und nicht zu einem Vorteil für das jeweilige Unternehmen werden.
Anwender verwalten Bots, Bots verhalten sich wie Anwender
Auch wenn RPA Menschen mit Bots ersetzen soll, werden weiterhin Mitarbeiter benötigt, um den Einsatz der Bots zu planen, zu überwachen und immer wieder an aktuelle Gegebenheiten anzupassen. Um diese Aufgabe erfolgreich und sicher erledigen zu können, benötigen Admins umfangreiches Wissen, darüber „wer was macht“. Zugriffskontrollen sind also sowohl für Menschen als auch für Bots nötig.
Wie auch bereits in anderen Bereichen ist es demzufolge wichtig, sich damit auseinanderzusetzen, wer eine bestimmte Aufgabe erledigen kann.
Wenn es um RPA geht, heißt die Frage zudem, was diese Aufgabe erledigen kann. Dazu kommen detaillierte Problemstellungen, die sich etwa damit beschäftigen müssen, zu welchen Zeiten oder an welchen Tagen in der Woche eine Person oder ein Bot Zugriff auf eine Ressource haben soll.
Manche Anbieter nennen dies auch Rollen-basierte Zugriffskontrollen (RBAC, Role Based Access Control). Aber gleichgültig, wie dieses Vorgehen bezeichnet wird, muss sich jedes RPA-fähige System damit beschäftigen. Legen Sie genau fest, wie die einzelnen Berechtigungen gesetzt werden können. Je detaillierter sie sind, desto mehr Möglichkeiten bieten sie, um festzulegen, worauf ein bestimmter Anwender zugreifen darf –und worauf nicht.
Für eine Applikation im Unternehmen ist ein Bot aber nichts anderes als ein weiterer Anwender, der sich ihr gegenüber authentifizieren muss. Nur nach zum Beispiel einem Login-Vorgang ist es dann möglich, auf ein bestimmtes System zuzugreifen.
Informieren Sie sich bei dem RPA-Anbieter außerdem, wo die Zugangsdaten abgespeichert werden, wenn sie nicht aktiv benötigt werden und wie sie dabei gesichert sind. Wird der Speicherbereich zum Beispiel durch Verschlüsselung geschützt oder nicht? Wer ist im Besitz der Schlüssel?
Auch wenn der Bot im aktiven Einsatz ist, müssen Sie wissen, wo und wie die Zugangsdaten abgelegt wurden. Wenn sie etwa im Klartext im durch den Bot belegten Arbeitsspeicher liegen, dann können sie möglicherweise durch einen Angreifer eingesehen und gestohlen werden.
Bot-spezifische Sicherheitsbedenken
Ein Bot, der ja im Grunde auch nichts anderes als eine Anwendung ist, ist immer Teil eines Geschäftsprozesses. Damit gehört er ebenfalls zu den geistigen Besitztümern des Unternehmens. Es ist deswegen von erheblicher Bedeutung, dass der Quellcode des Bots vor nicht autorisierten Zugriffen geschützt wird.
Wenn Sie Kontakt mit einem RPA-Anbieter aufnehmen, sollten Sie deswegen die Frage stellen, ob die Bots zum Beispiel durch Code Obfuscation geschützt werden. Mit dieser Technik kann verhindert werden, dass der Code aus einem laufenden System ausgelesen werden kann.
Da sich die Bots ähnlich wie Anwender verhalten, interagieren sie mit anderen Anwendungen auch durch Tastatur- und Mauseingaben. Ein Angreifer, der sich Zugang zu einem Computer verschafft, auf dem ein Bot gestartet wurde, kann die gesendeten Daten manipulieren.
Wenn er physischen Zugriff auf ein Gerät hat, kann er dazu auch die angeschlossenen Peripherie-Geräte verwenden. Prüfen Sie deshalb, ob der in Betracht gezogene Anbieter eine Möglichkeit vorgesehen hat, die physische Tastatur und Maus zu deaktivieren, nachdem ein oder mehrere Bots gestartet wurden.
Manche Hersteller gehen sogar noch einen Schritt weiter und bieten einen Stealth-Mode für ihre RPA-Produkte an. In diesem Modus kann dann niemand mehr auf dem Bildschirm eines Rechners sehen, dass dort gerade im Hintergrund ein Bot aktiv ist. Das ist allerdings hinderlich, wenn ein Bot etwa per Debugging geprüft werden soll. Bei produktiv eingesetzten Bots ist es jedoch eine sinnvolle Sicherheitsmaßnahme.
RPA in die bestehende Sicherheitsinfrastruktur integrieren
Da die Absicherung der Bots auch ein Teil der gesamten Sicherheitsstrategie eines Unternehmens sein sollte, müssen RPA-Lösungen nicht nur Daten bereitstellen, sondern sich auch in die vorhandenen Enterprise-Security-Systeme integrieren können.
Zunächst einmal müssen Unternehmen sicherstellen können, dass die von ihnen ausgewählten RPA-Systeme detaillierte Audit-Logs aller Aktivitäten bereitstellen können. Finden Sie heraus, welche Daten aufgezeichnet werden können, in welchem Detailgrad das möglich ist und welche Kontrollmöglichkeiten Sie darüber haben.
Wenn ein Unternehmen Single Sign-On oder SAML (Security Assertion Markup Language) für die Verwaltung der Nutzerdaten verwendet, dann müssen die in die engere Auswahl gezogenen RPA-Lösungen dies ebenfalls unterstützen.
Nicht zuletzt müssen Unternehmen, die SIEM-Lösungen (Security Information and Event Management) verwenden, dafür sorgen, dass ihre RPA-Software ein dafür geeignetes Interface bietet. Nur so erhalten die Security-Teams ein komplettes Lagebild der gesamten genutzten IT-Infrastruktur.
Darüber hinaus gibt es noch viele weitere Aspekte, wenn es um die Sicherheit von Robotic Process Automation geht. Manche davon sind für ein bestimmtes Unternehmen wichtiger als andere. Trotzdem sollten Sie alle Bereiche prüfen und sicherstellen, dass die von Ihnen ins Auge gefassten RPA-Anbieter die Voraussetzungen Ihres Unternehmens und auch Ihrer Sicherheitsspezialisten erfüllen.
