Robotic Process Automation – das unterschätzte Sicherheitsrisiko

Unternehmen setzen in den Bereichen Prozesssteuerung und -automatisierung zunehmend auf Robotic Process Automation. Die Nutzung verspricht viele Vorteile: Zeit- und Kosteneinsparung, Erhöhung von Qualität, Konsistenz und Transparenz durch Reduzierung manueller Tätigkeiten sowie Beseitigung redundanter Prozesse. In größeren Unternehmen finden sich RPA-Bots vielfach bereits im sechsstelligen Bereich.

Kurzsichtigkeit kann teuer werden

Die RPA-Einführung erfolgt in der Regel nur aus Business-Sicht. Häufig werden RPA-Projekte sogar ohne jeglichen Einbezug der IT durchgeführt. Folglich spielen auch Sicherheitsfragen eine eher untergeordnete Rolle – ein fataler Fehler, gerade auch, wenn man bedenkt, dass Security für RPA-Hersteller kein Fokusthema ist.

Die Nichtberücksichtigung der Sicherheit ist vor allem deshalb problematisch, weil RPA-Implementierungen unweigerlich die Angriffsfläche für Cyber-Attacken erweitern. Sobald Software-Roboter routinemäßig Geschäftsprozesse über mehrere Systeme hinweg automatisieren und ausführen, benötigen sie Zugangsdaten, vielfach sogar privilegierte Rechte, etwa beim Zugriff auf geschäftskritische Daten und Anwendungen oder bei der Verbindung mit System-APIs. Oft sind Roboter sogar mit mehr Rechten ausgestattet als ein einzelner Mensch, um auch umfangreiche Prozessschritte abarbeiten zu können. Gelangen Angreifer – seien es externe Hacker oder böswillige Insider – in den Besitz solcher Rechte, besteht die Gefahr, dass sie Zugang zu sensitiven Daten erhalten. Zur Minimierung dieser Risiken ist deshalb die Sicherung der RPA-Zugangsdaten von erheblicher Bedeutung. Darüber hinaus darf nicht unterschlagen werden, dass Roboter in der Theorie zwar vollständig autonom arbeiten, in der Praxis aber oft auch ein Eingriff durch Menschen erforderlich ist – und damit etwa Administratoren eine Zugriffsmöglichkeit benötigen. Auch diese administrativen Zugriffe müssen gesichert und überwacht werden.

Anmeldeinformationen sicher verwalten

Die für die Automatisierung erforderlichen Anmeldeinformationen (Credentials) für den Zugriff auf Systeme, Applikationen und vertrauliche Daten werden normalerweise von der RPA-Lösung bereitgestellt, zum Beispiel für Windows Accounts oder SAP-Anwendungen.

Allerdings werden die Credentials von der RPA-Plattform nicht adäquat verwaltet und geschützt – und nicht regelmäßig geändert. In der Regel werden Zugangsdaten im Speicher der RPA-Lösung selbst oder auch in einer externen Datenbank statisch vorgehalten, ohne dass eine periodische Rotation stattfindet. Die damit verbundenen Gefahren liegen auf der Hand. Dass die regelmäßige Änderung von Passwörtern oder Zugangsdaten Status quo in Sachen IT-Sicherheit sein muss, dürfte niemand guten Gewissens bestreiten.

Folglich muss eine ergänzende Credential-Management-Lösung genutzt werden, die eine zentrale Verwaltung und Sicherung der Roboter-Zugangsdaten bietet. Sie muss gewährleisten, dass alle Credentials automatisiert, dynamisch und sicher bereitgestellt werden. Darüber hinaus ist es zwingend erforderlich, auch die RPA-Systeme selbst vor einem unbefugten Zugriff zu schützen, das heißt die RPA-Server-Infrastruktur und die einzelnen Roboter-Instanzen.

Eine Best-Practice-Strategie für Security erfordert immer die ganzheitliche Adressierung von Sicherheitsherausforderungen und potenziellen Sicherheitslücken – und auch der RPA-Bereich darf hier keine Ausnahme bilden. Ohne eine zuverlässige Sicherung und Überwachung der administrativen, privilegierten und automatisierten Zugriffe in RPA-Umgebungen ist ein Unternehmen für jeden potenziellen Angreifer eine relativ leichte Beute.

Autor: Christian Goetz

(c)2019
Vogel Communications Group