Unternehmen unterschätzen oft die mit RPA verbundenen Sicherheitsgefahren. Ohne eine zuverlässige Verwaltung, Sicherung und Überwachung der administrativen, privilegierten und automatisierten Zugriffe bleiben RPA-Systeme leicht angreifbar.

In immer stärkerem Maße setzen Unternehmen bei der Prozesssteuerung und -automatisierung Robotic Process Automation (RPA) ein. Die Nutzung ist mit zahlreichen Vorteilen verbunden: So führt die Reduzierung fehleranfälliger manueller Tätigkeiten etwa zu einer Zeit- und Kosteneinsparung, einer Erhöhung von Qualität, Konsistenz und Transparenz sowie zu einer Beseitigung redundanter Prozesse. Zudem sind automatisierte Prozesse einfacher zu verwalten und zu kontrollieren.

Ein zentrales Problem ist aber, dass die RPA-Einführung in der Regel nur aus Business-Sicht erfolgt – oft sogar ohne jegliche Einbindung der IT. Infolgedessen spielen auch Sicherheitsfragen meistens keine Rolle. Unternehmen übersehen dabei, dass RPA-Implementierungen zwangsläufig die Angriffsfläche für Cyber-Attacken erweitern.

Wenn Software-Roboter routinemäßig Geschäftsprozesse über mehrere Systeme hinweg automatisieren und ausführen, benötigen sie Zugangsdaten, vielfach sogar privilegierte Rechte, etwa beim Zugriff auf Business-Applikationen oder geschäftskritische Daten. Gelingt es Angreifern – seien es externe Hacker oder böswillige Insider –, solche Rechte missbräuchlich zu nutzen, besteht die Gefahr, dass sie Zugang zu sensitiven Informationen wie Finanzdaten, Kundenadressen, Kreditkartennummern oder Passwörtern erhalten. Zur Minimierung dieser Risiken ist deshalb die Sicherung der von RPA-Agenten verwendeten Zugangsdaten von erheblicher Bedeutung. Abgesehen von den Zugriffsprivilegien der Software-Roboter selbst müssen auch diejenigen von Workflow-Entwicklern für die Roboter berücksichtigt werden. Überdies arbeiten Roboter in der Theorie zwar vollständig autonom, in der Praxis ist aber oft auch ein Eingriff durch Menschen erforderlich ist – und damit benötigen etwa Administratoren eine Zugriffsmöglichkeit. Auch diese administrativen Zugriffe müssen gesichert und überwacht werden.

Die für die Automatisierung erforderlichen Anmeldeinformationen (Credentials) für den Zugriff auf Systeme, Applikationen und vertrauliche Daten werden normalerweise von der RPA-Lösung bereitgestellt, zum Beispiel für Windows Accounts oder ERP-Anwendungen. Allerdings werden diese Credentials von der RPA-Plattform nicht adäquat verwaltet und geschützt – und vor allem nicht regelmäßig geändert. In der Regel werden Zugangsdaten im Speicher der RPA-Lösung selbst oder auch in einer externen Datenbank statisch vorgehalten, ohne dass eine periodische Rotation stattfindet. Die damit verbundenen Gefahren liegen auf der Hand. Die regelmäßige Änderung von Passwörtern oder Zugangsdaten sollte hinsichtlich IT-Sicherheit inzwischen eine Selbstverständlichkeit sein.

Die sichere Provisionierung von Credentials im Umfeld von RPA-Lösungen (Quelle: CyberArk)

Folglich muss eine ergänzende Credential-Management-Lösung genutzt werden, die eine zentrale Verwaltung und Sicherung der Roboter-Zugangsdaten bietet. Sie muss gewährleisten, dass alle Credentials automatisiert, dynamisch und sicher bereitgestellt werden. Darüber hinaus ist es zwingend erforderlich, auch die RPA-Systeme selbst vor einem unbefugten Zugriff zu schützen, das heißt die RPA-Server-Infrastruktur und die einzelnen Roboter-Instanzen.

Auch wenn die Zugriffsmöglichkeiten von RPA-Lösungen prinzipiell das größte Sicherheitsrisiko darstellen, darf ein wichtiger Punkt beim Einsatz nicht übersehen werden: RPA-Anwendungen fehlen kognitive Fähigkeiten, um ungewöhnliche oder bösartige Informationen und Daten aufzuspüren. Die kognitiven Fähigkeiten von RPA-Lösungen beziehen sich auf Prozesse und Workflows, nicht auf IT-Sicherheitsrisiken. Wenn es der Prozess vorgibt, würde ein RPA-Roboter also auch das File „Trojan.pdf.exe“ in einer E-Mail des Absenders „Darth Vader“ öffnen. Folglich benötigen RPA-Anwendungen nicht nur eine ergänzende Lösung für die Verwaltung, Sicherung und Überwachung privilegierter Accounts und Zugriffe, sondern auch für die Applikationskontrolle. Das heißt, es muss klar geregelt sein, was Roboter mit erweiterten Rechten ausführen dürfen und was nicht und wie mit unbekannten Variablen zu verfahren ist. Auch eine solche Steuerung und Überwachung ist im RPA-Umfeld obligatorisch.

Unser Gastautor

Christian Goetz ist Director of Presales – DACH bei CyberArk

„RPA-Anwendungen fehlen kognitive Fähigkeiten, um ungewöhnliche oder bösartige Informationen und Daten aufzuspüren. Die kognitiven Fähigkeiten von RPA-Lösungen beziehen sich auf Prozesse und Workflows, nicht auf IT-Sicherheitsrisiken.“

Aufmacherbild / Quelle / Lizenz

Bild von Gordon Johnson auf Pixabay

CC BY-ND 4.0 DE

 

 

Sie dürfen:
  • Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
  • Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
  • Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
  • Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.