Digitale Mitarbeiter brauchen sichere digitale Identitäten

Von Alan Radford

Megatrend RPA zwingt Unternehmen, sichere Identitäten neu zu definieren

Die Robotic Process Automation (RPA, deutsch: robotergesteuerte Prozessautomatisierung) ist einer der wachsenden Megatrends. Gartner prognostiziert, dass bis 2022 bereits 90 % der Unternehmen weltweit RPA eingeführt haben werden. Allein in den letzten beiden Jahren wurden dafür Investitionen in Höhe von über 1,8 Milliarden US-Dollar getätigt. Obwohl RPA für alle Branchen erhebliche Auswirkungen hat, ist vielen gar nicht bewusst, wie weit verbreitet die Technologie inzwischen ist und dass sie bereits regelmäßig mit ihr interagieren.

Das betrifft beispielsweise die Verlagerung hin zu Remote-Working-Szenarien: Unternehmen in sämtlichen Branchen haben vermutlich irgendeine Form von RPA implementiert, um Abläufe zu vereinfachen und Aufgaben zu automatisieren. Als beispielsweise große Fluggesellschaften zu Beginn der Pandemie mit Stornierungsanfragen bombardiert wurden, wurde RPA zu einem wesentlichen Bestandteil ihrer Kundenservice-Strategien. Allein, um die Flut von Anfragen zu bewältigen.

Alan Radford, Regional CTO bei One Identity

Forrester hat herausgefunden, dass eine große Fluggesellschaft in den ersten Wochen der Pandemie über 120.000 Stornierungen zu bewältigen hatte. RPA wurde eingesetzt, um den  Ansturm abzuarbeiten. Die Fluggesellschaft konnte zudem ihren Rückerstattungsprozess vereinfachen und den Kunden zeitnah helfen. Ohne RPA-Technologie wäre es nahezu unmöglich gewesen, diese Art von rationalisiertem Prozess aufzusetzen. Jedenfalls dann, wenn er derart hohen Anforderungen ausgesetzt ist.

Es liegt also auf der Hand, RPA wird zukünftig kaum weniger wichtig werden. Denn Firmen stehen unter hohem Druck, weiterhin Innovationen voranzutreiben, Prozesse zu automatisieren und Abläufe zu transformieren. Entsprechend groß ist das Interesse, RPA einzusetzen. Laut Gartner stiegen die Anfragen zum Thema RPA im Jahr 2020 um über 1000 %.

Wie bei vielen spannenden technologischen Innovationen, gibt es auch bei RPA einen Bereich, der gerne übersehen wird: Sicherheit. Wenn der Sicherheitsaspekt bei RPA nicht schon in den frühen Entwicklungsphasen implementiert wird, sind Unternehmen potenziell anfällig für Cyberangriffe. Allein die aktuellen mit RPA verbundenen Sicherheitslücken im Projektlebenszyklus, werden uns 2021 noch eine Reihe von erheblichen Sicherheitsverletzungen bescheren, sollten sie nicht unverzüglich behoben werden.

RPA – Ihr neuer „digitaler Mitarbeiter“

Mit RPA werden im Wesentlichen neue „digitale Mitarbeiter*innen“ geschaffen, um sich wiederholende manuelle Aufgaben zu automatisieren. Solche, die in der Vergangenheit Menschen übernommen haben. Folglich interagieren diese neuen Mitarbeiter*innen direkt mit Geschäftsanwendungen und ahmen dabei die Art und Weise nach, wie Menschen Anmeldeinformationen und Privilegien nutzen, um auf Anwendungen zuzugreifen. Allerdings arbeitet diese neu geschaffene RPA-Identität sehr viel schneller als jede menschliche Identität – und sie isst nicht, schläft nicht, macht keinen Urlaub, streikt nicht und wird auch nicht entlohnt.

Obwohl RPA-“Arbeiter“ für Unternehmen wie die vorbildlichen Arbeitnehmer*innen schlechthin klingen mögen – auch sie benötigen Zugriff auf dieselben Netzwerke, Systeme und Anwendungen, die ihre menschlichen Counterparts beanspruchen. Und obwohl sie vielleicht nicht so fehleranfällig arbeiten wie Menschen, gewähren einige Unternehmen RPAs fälschlich Zugriff auf die „Schlüssel zum Königreich“, d. h. auf privilegierte Anmeldeinformationen. Verizon führt mehr als die Hälfte aller Sicherheitsverletzungen auf den Missbrauch privilegierter Anmeldeinformationen zurück. Nicht überwachte, uneingeschränkt (und manchmal unnötige) vergebene Zugriffsrechte für RPA, machen die Technologie anfällig für Sicherheitsverletzungen.

Um dieses Risiko zu vermeiden, sollten Unternehmen ihre Prozesse für Identitäts-Governance und privilegierten Zugriff ausweiten, und die digitale Workforce ebenso managen wie ihre menschlichen Kolleg*innen. Aktuell besteht in einigen Geschäftsbereichen das Problem, dass Joiner-, Mover- und Leaver-Prozesse (Eintritt, Wechsel und Ausscheiden aus dem Unternehmen) bestehende Sicherheitskontrollen, die für die Verwaltung von Accounts eingerichtet wurden, umgehen. Dadurch wird verhindert, dass bestehende Kontrollen das Risiko wie geplant senken, vor allem im Hinblick auf den sogenannten „privileged Creep“ (also die schleichende Rechteausweitung), verwaiste Konten, fehlerhafte Attribute ohne Bedeutung oder Kontext, die Preisgabe von Passwörtern und Geheimnissen und das Fehlen eines definierten Pfads der tatsächlichen Eigentümerschaft.


Eine sichere Zukunft für RPA


Der erste Schritt zur Lösung eines Problems besteht darin, zu erkennen, dass überhaupt eines besteht. In diesem Fall ist die Erkenntnis, dass diese neuen digitalen Arbeiter Identitäten haben, der erste und wichtigste Schritt für eine sichere RPA-Zukunft.

Die eindeutigen geschäftlichen Vorteile einer Investition in RPA und die potenzielle Rendite aus der gesteigerten Produktivität machen es zu einer ziemlich eindeutigen Geschäftsentscheidung. Selbst unter Berücksichtigung eines geschärften Sicherheitsbewusstsein. Allerdings machen viele Sicherheitslösungen die Investition schwer durchsetzbar, da sie bei der Bereitstellung und Integration zu kostspielig sind. Das macht es problematisch, die erwünschten Renditen zu erwirtschaften – umso mehr, wenn gerade Sicherheits-Assessments anstehen und die Prüfer schon auf der Matte stehen.

RPA-Lösungen konzentrieren sich derzeit nicht darauf, Sicherheitsprobleme zu lösen, sondern darauf, die Produktivität zu steigern. Um mittels angemessener Kontrollen die Risiken zu senken, braucht man Sicherheitslösungen von Dritten. Die am einfachsten anzuwendende dieser Kontrollen ist das Privileged Access Management (kurz PAM). Unternehmen sollten das bei der Implementierung aller RPA-Projekte im Hinterkopf behalten.

Ein PAM-System mit Konnektivität zu RPA-Systemen, ist in der Lage, die von Robotern verwendeten Anmeldeinformationen und Privilegien effektiv zu sichern, zu kontrollieren und zu überprüfen. Dabei sollte die PAM-Lösung einfach bereitzustellen und zu integrieren sein, um den erwünschten ROI des RPA-Programms nicht zu beeinträchtigen – und, was entscheidend ist, erst recht nicht die Produktivität.

Ein gutes Beispiel

Ein internationales, privates Sicherheitsunternehmen konnte unmittelbar nach einer Investition in eine RPA-Lösung die Vorteile des Ansatzes praktisch erfahren. Das Unternehmen hat weltweit über 160.000 Mitarbeiter. Durch die eingesetzte PAM-Lösung war es möglich, auch digitale Mitarbeiter hinzuzunehmen.

Dadurch wurden zeitliche Ressourcen freigesetzt, und die Mehrzahl der Mitarbeiter*innen kann sich jetzt auf wichtige, höherwertige Aufgaben konzentrieren. Durch die Implementierung eines PAM-Systems, das sich nahtlos in die bestehende RPA-Lösung einfügt, war es zudem möglich, die privilegierten Zugriffe der digitalen Belegschaft automatisch zu kontrollieren. Wenn jetzt ein digitaler Mitarbeiter einen privilegierten Zugriff benötigt, kann der Roboter die Anmeldeinformationen automatisch aus dem PAM-System abrufen, ohne dass die Bot-Besitzer oder Entwickler das mitbekommen. So entsteht ein vollständiger Prüfpfad dazu, welche digitalen Mitarbeiter auf welche Anwendungen Zugriff hatten. Dies wiederum erlaubt es, eine individuelle Verantwortlichkeit zuzuweisen und gleichzeitig den Nachweis zu erbringen, dass Passwörter nur regelkonform vergeben werden. Durch dieses System hat das betreffende Unternehmen seine digitale Belegschaft in nur zwei Jahren auf 14 Geschäftsbereiche ausgedehnt, zirka 350.000 Stunden gewonnen und dies, ohne die Sicherheit zu kompromittieren.

Identität ist der neue Perimeter

Wer hätte gedacht, dass es bis 2021 dauern würde, bis Unternehmen ernst machen mit Antworten auf Fragen wie: Wie werden Roboter in einem Unternehmen bereitgestellt? Wie werden ihre Accounts erstellt, verwendet und wieder gelöscht? Wer kontrolliert die Aktivitäten der Roboter und wie bekommen Sie mit, ob ein Bot kompromittiert wurde? Wissen Sie, wie viele der Datensätze in einem HR-System in Wirklichkeit keine Personal-Ressourcen sind?

Das Jahr 2021 und noch darüber hinaus werden Sicherheitsteams zunehmend erkennen, dass viele der bislang nicht berücksichtigten Sicherheitsprobleme bei RPA und etliche grundlegende Schwierigkeiten sämtlich auf einen gemeinsamen Perimeter zurückgehen – Identität.

Aufmacherbild / Quelle / Lizenz
Photo by Yuyeung Lau on Unsplash