In den letzten Jahren – besonders im Zuge der globalen Pandemie – haben Unternehmen vermehrt das Thema Prozessautomatisierung mit Robotic Process Automation (RPA) für sich entdeckt. Mithilfe von RPA können Mitarbeiter*innen innerhalb kürzester Zeit bei ihren täglichen Aufgaben entlastet werden. Es ist daher sehr verführerisch, schnell mehr und mehr Prozesse zu automatisieren, um die positiven Effekte sichtbar zu machen.

Man sollte in aller Euphorie allerdings immer beachten, dass für die erfolgreiche und nachhaltige Einführung und Etablierung der Technologie das Thema Sicherheit als Bestandteil einer guten Governance unabdingbar ist. Aus diesem Grund möchten wir euch im Folgenden die Aspekte vorstellen, die aus unserer Sicht im Zusammenhang mit RPA Security besonders wichtig sind. Dazu geben wir euch in diesem Artikel zunächst einen Überblick möglicher Risiken. Zudem teilen wir mit euch einige Maßnahmen & Best-Practices, mit denen ihr eure RPA Initiative von Grund auf so zu gestalten könnt, dass ihr im Hinblick auf das Thema Sicherheit gut aufgestellt seid. Wir zeigen euch, wie ihr sicherstellt, dass Risiken von Anfang an Berücksichtigung in allen Prozessen & Maßnahmen finden.

Wie arbeitet ein RPA Roboter?

Um die Risiken in Bezug auf RPA Security im Detail nachvollziehen zu können, gehen wir noch einmal auf die Funktionsweise bzw. das operative Umfeld von Software-Robotern ein.

Nutzt ein Unternehmen RPA für die Optimierung von eigenen Prozessen, kommen sogenannte Software-Roboter zum Einsatz. Diese bewegen sich nach vordefinierten Regeln und Abfolgen teilweise oder komplett autark in den genutzten Systemen (ERP, CRM, etc.). Ist die RPA Initiative fortgeschrittener, sind in der Regel mehrere Roboter in einer zweistelligen, wenn nicht sogar dreistelligen, Anzahl an Prozessen in unterschiedlichen Systemen unterwegs.

Die Roboter verhalten sich zunächst genau nach den Regeln, die vorher festgelegt wurden. Sie verarbeiten und teilen jedoch unter Umständen vertrauliche Daten und benötigen eigene Login-Daten, um Zugriff auf beteiligte Systeme zu bekommen.

Ein Software-Roboter hat, genauso wie Mitarbeiter*innen, die Möglichkeit mit sämtlichen IT-Anwendungen zu interagieren und in ihnen Aktionen durchzuführen. Zusätzlich kann der Roboter in bestimmten Anwendungen Schnittstellen nutzen, um Aktionen direkt und nicht über die Oberfläche auszuführen.

Diese Aktionen bzw. Aktivitäten lassen sich in einen sinnvollen Ablauf bringen. Daraus entsteht der abzubildende Prozess. Dieser kann dann durch den Roboter repetitiv ausgeführt werden. Angereichert durch künstliche Intelligenz können zusätzlich Entscheidungen o.ä. durch vorher angelernte Modelle getroffen werden. Für detailliertere Informationen rund um RPA und dessen Funktionsweise könnt ihr gerne in unserem Blog vorbeischauen.

RPA Security – wo können Sicherheitslücken entstehen?

Diese grundlegende Funktionsweise lässt folgende Bereiche sicherheitsrelevant werden:

  • Input-Daten:

    Oft benötigt ein Roboter Input-Daten, um einen Prozess durchzuführen. Soll er beispielsweise Urlaube buchen, werden Daten über den Zeitraum und den/die Mitarbeiter*in benötigt. Soll der Roboter einen Report erzeugen, braucht er ggf. Parameter über die Granularität, den Bereich und den Zeitraum. Ist die Quelle des Daten-Inputs zugänglich für einen internen Angreifer, kann dieser an Daten gelangen oder über den Prozess des Roboters Daten im System manipulieren. Unter normalen Umständen hätte er/sie zu mit den eigenen Zugängen keinen Zugriff .

  • Output-Daten:

    Am Ende eines Prozesses steht häufig die Ablage oder der Versand der Ergebnisse. Auch hier gilt: Können die parametrisierten Empfänger-Daten manipuliert werden, gelangen die Informationen (bspw. Reports) an Personen, die dafür unter Umständen nicht berechtigt sind. Insbesondere bei Intellectual Property (IP) oder personenbezogenen Daten ist hier eine besondere Aufmerksamkeit gefragt.

  • Roboter-Login:

    Die Roboter benötigen für die Durchführung der Prozesse Zugang zu beteiligten Systemen. Da hier zusätzliche Login-Daten im Umlauf sind, entsteht automatisch ein potentielles Risiko. Mit diesen könnte sich ein Angreifer mühelos im gesicherten System bewegen. Besonders hoch ist das Risiko, wenn ihr die Login-Daten an ungesicherten, dezentralen Orten aufbewahrt.

  • Roboter-Berechtigungen:

    Da ein Roboter häufig viele Prozesse aus unterschiedlichen Bereichen bearbeiten kann, werden logischerweise Berechtigungen für all diese Bereiche benötigt. Führt ein Roboter zum Beispiel sowohl Prozesse für das Controlling als auch im Bereich Supply Chain Management durch, werden System-Berechtigungen für all diese Bereiche benötigt. Normale Mitarbeiter*innen haben mit einem User in der Regel lediglich Zugriff auf Systeme im eigenen Tätigkeitsbereich. Der RPA Roboter hingegen bündelt all diese Berechtigungen in einem User, wodurch ein erhöhtes Risiko der RPA Security entsteht.

Risiken

Aus den bisher beschriebenen, sicherheitsrelevanten Bereichen ergeben sich 2 maßgebliche Bereiche, die für RPA Security relevante sind: Das Datenleck, also die Entwendung bzw. Offenlegung von Daten. Sowie der Missbrauch von Zugängen.

📳 Datenleck

Ein Roboter arbeitet in der Regel in der unternehmensinternen Infrastruktur auf virtuellen Maschinen oder den Rechnern der Mitarbeiter*innen.  Auch wenn dadurch zunächst einmal keine Daten nach außen dringen, so müssen die verarbeiteten Daten dennoch irgendwo abgelegt und verwaltet werden. Hier solltet ihr darauf achten, dass die Zugriffe berechtigungsgerecht zu gestalten. Gerade wenn es um sensible Daten geht. Dennoch können Situationen auftreten, in denen Daten zu externen Empfängern übermittelt werden (Output-Daten). Wir empfehlen dringend von Anfang an in enger Abstimmung mit eurer IT-Security ein Regelwerk aufzustellen, das Daten- und Empfängerklassifizierung berücksichtigt. Dabei solltet ihr, je nach Anforderung, verschlüsselte Kanäle in Betracht ziehen, um Compliance-konform zu sein.

❌ Missbrauch

Bewahrt ihr beispielsweise Login-Daten für Bot-User in beteiligten Systemen an unterschiedlichen, dezentralen Orten auf, erhöht sich das Risiko, dass jemand diese unberechtigterweise für sich nutzbar macht. Verfügt ein User über sämtliche Berechtigungen, um bspw. Prozesse in SAP aus unterschiedlichen Bereichen durchzuführen, können sich Angreifer*innen hier frei bewegen.
Hinzu kommt, dass durch die Einführung von RPA ein komplexes Geflecht mit neuer Infrastruktur und Zugängen für unterschiedlichste Nutzer*innen entstehen kann. So steigt natürlich auch das Risiko der falschen Nutzung von Daten. Ist die Quelle für die Input-Daten der Roboter frei zugänglich, können Angreifer*innen sich dies zu nutze machen. Zum Beispiel, um bestimmte Transaktionen im System durch den Bot durchführen oder sich selbst Informationen durch den Bot zukommen zu lassen.

Mögliche Lösungen

Durch neue Initiativen entstehen neue Risiken. Das schöne ist allerdings, dass ihr viele dieser Risiken von Anfang an einfangen könnt. Wir denken sogar, dass eine Automatisierungsinitiative, die von Anfang an Aspekte der RPA Security mitberücksichtigt, das Gesamtrisiko im Unternehmen reduzieren kann! Durch die Automatisierung erledigen die Roboter die Aufgaben in geschützter Umgebung. So könnt ihr die Art und Weise der Datenverarbeitung für diese Bereiche zentral konzipieren, steuern und überwachen. Das menschliche Risiko der manuellen Bearbeitung entfällt. Wir wollen euch nun zeigen, welche Maßnahmen wir für sinnvoll erachten, um RPA Initiativen von Anfang an sicher zu gestalten. Dazu betrachten wir die 3 Kernbereiche einer Automatisierungs-Initiative – Infrastruktur, Governance und Operations.

  • Zentralisierte Verwaltung von Nutzerdaten: Bei der Nutzung von RPA in unterschiedlichen Abteilungen bzw. Bereichen erstellt ihr üblicherweise für diverse Anwendungen jeweils unterschiedliche User, die die Roboter dann nutzen. Wir empfehlen, die Login-Daten hierbei unbedingt zentralisiert zu verwalten. Zudem solltet ihr die Passwörter in regelmäßigen Abständen austauschen, um eine solide RPA Security zu gewährleisten. Hier bieten RPA Anbietern in der Regel zentrale Services zur Verwaltung der Credentials an. Bei Bedarf könnt ihr diese dann verschlüsselt an die Roboter versenden, sodass keine Passwörter in Klartext im Umlauf sind.
  • SSO mit AD Anbindung: Oft gibt es im Unternehmen bereits bestehende Rollenkonzepte und Nutzerverwaltungen, zum Beispiel in Form eines Active Directory. Ist dies der Fall, empfehlen wir euch diese auch für eure RPA Initiative zu nutzen. Bei einigen RPA Anbietern gibt es die Möglichkeit, für das Verwaltungstool der Roboter (bspw. Orchestrator von UiPath) den Login bzw. die Nutzerverwaltung an das Active Directory (AD) zu koppeln und sogar Single Sign On (SSO) zu nutzen. So spart ihr euch den Verwaltungsaufwand von neu anzulegenden Nutzern und könnt bestehendes bei hoher Sicherheit nutzen.
  • Bot-User Management: Jeder Verantwortungsbereich braucht einen Besitzer. Ähnliches gilt bei der Verwendung von Bot-Usern. Wir empfehlen euch von Anfang an zu überlegen, wie ihr die Bot-User aufsetzen wollt. Wenn diese mit sämtlichen Rechten ausgestattet sind, um die Kapazität der Roboter/User möglichst weit auszureizen, erhöht sich das Sicherheitsrisiko. Außerdem ist die Nachverfolgbarkeit der Aktionen im System eingeschränkt, da in den Logs immer der gleiche Nutzer auftaucht. Ihr solltet folgende Überlegungen machen:
    • Ist es sinnvoll, dass wir für jede Abteilung, bzw. jedes Team, einen eigenen Zugang zur Produktivumgebung (virtuelle Maschine)  nutzen?
    • Wo können wir sinnvollerweise User für Anwendungen (bspw. ERP, CRM) trennen und unterschiedlichen Teams für bestimmte Zwecke zuordnen?
    • Wie können wir einen Prozess aufsetzen, um Naming-Standards für diese User zu etablieren und diese ggf. disziplinarisch ins Organigramm zu integrieren, um somit auch die Verantwortung in einzelne Teams bringen?
  • Least Privilege Prinzip: Bei der Vergabe von Rechten für Bot-User gilt das Prinzip: Jeder Bot-User soll so wenig Berechtigungen wie möglich und so viele wie nötig erhalten. So wird selbst bei Missbrauch sichergestellt, dass keine anderen Aktionen durchgeführt werden können. Ist bspw. die Anforderung nur das Lesen von Daten aus einem System, solltet ihr die Berechtigung des Users auch genauso erteilen. So kann der Nutzer keine Daten verändern.
  • Verwaltung von Input/Output-Daten: Wie bereits beschrieben, arbeitet ein Roboter oft mit Eingabeparametern bzw. Input-Daten und produziert Output-Daten. Im Anschluss legt er diese dann entweder ab oder versendet sie. Werden Input-Daten manipuliert, besteht die Möglichkeit, dass auch der der Durchlauf des Roboters manipuliert wird. Sind Output-Daten nicht geschützt abgelegt, können nicht-berechtigte Personen darauf zugreifen. Egal ob ihr hierfür eine Datenbank, eine SharePoint-Liste oder ein einfaches Netzlaufwerk nutzt. Es macht Sinn sich zu überlegen, wer Zugriff benötigt und diesen möglichst einzuschränken. Allein schon um zu vermeiden, dass durch falsche Bedienung fehlerhafte Durchläufe entstehen.
  • Alignment IT-Security: Falls vorhanden, empfehlen wir proaktiv mit der IT-Security zusammenzuarbeiten. Legt gemeinsam fest welche Daten mit welchen Sicherheitsmechanismen überhaupt nach extern verschickt werden dürfen. Gerade im Hinblick auf personenbezogene Daten oder Intellectual Property ist es sinnvoll, diese Überlegungen im Entwicklungsprozess einzubeziehen.
  • Alignment Datenschutz: Eine Automatisierungen muss natürlich stets DSGVO / GDPR konform sei. Hier müsst ihr ggf. evaluieren, welche Daten verwendet werden sollen, ob das begründbar ist und innerhalb welches Zeitraums diese wieder zu löschen sind. Wenn ihr diese Themen in den Entwicklungsprozess einbettet, seid ihr in jedem Fall auf der sicheren Seite.
  • Datenflussanalyse: Um schon während der Entwicklung neuer Automatisierungen sicherzustellen, dass diese gewissen Standards unterliegen, solltet ihr Code-Reviews durchführen. Einige Anbieter (u.a. UiPath) unterstützen dies sogar. Sie bieten die Möglichkeit, Regeln für neue Projekte festzulegen, sodass bestimmte Aktivitäten (bspw. Code Injection) gar nicht oder nur eingeschränkt genutzt werden dürfen. Zusätzlich können automatisierte Datenflussanalysen durchgeführt werden, um Schwachstellen zu erkennen.
  • Erweiterte Log-Funktionalitäten: Viele Maßnahmen zur RPA Security könnt ihr bereits vor dem Go-Live treffen. Es ist aber natürlich genauso wichtig, dass ihr im Falle eines Datenlecks, eines Missbrauch oder allgemein bei fehlerhaften Durchläufen die Möglichkeit der Nachverfolgbarkeit habt. Dafür bieten RPA-Tools in der Regel detaillierte Log-Funktionalitäten für alle Aktionen an. Zudem könnt ihr eure eigenen Automatisierungen zusätzlich mit Logging-Funktionalitäten anreichern, um bei der Fehlersuche einen besseren Überblick zu erhalten. Hier wird der Vorteil von strikt getrennten Bot-Usern dann noch einmal deutlich.

Fazit

Robotic Process Automation bietet viele Vorteile und Erleichterungen in der Prozessausführung. Aus der Natur der Sache ergeben sich jedoch auch einige Schwachpunkte in Bezug auf RPA Security. Aus diesen leiten sich bestimmte Risiken ab, die sich besonders durch das Offenlegen von Daten und Missbrauch mit Daten oder Nutzern ergeben. Konsequenzen könnten dabei rechtlicher Natur sein. Auf der anderen Seite des Risikos steht – wie so oft – aber die Chance zu einer Datenlandschaft mit erhöhter Sicherheit. Wenn ihr in allen RPA-Bereichen sämtliche Maßnahmen ergreift, um diese sicher zu betreiben, entfallen die Risiken, die sich durch die menschliche Bearbeitung ergeben. Somit könnt ihr Risiken zentralisiert erfassen und steuern.

Die von uns beschriebenen Maßnahmen sollen euch dafür eine kleine Starthilfe geben. Sie sollen zeigen, in welchen Bereichen, von Initialsetup über Governance bis hin zum Tagesgeschäft, welche Punkte wichtig sind, um das Thema RPA Security ganzheitlich und von Anfang an nachhaltig zu behandeln.

Wenn ihr Fragen zum Thema RPA und RPA Security habt, meldet euch gerne bei uns!