RPA Security – So vermeiden Sie Sicherheitsprobleme

Diese RPA-Sicherheitslücken sollten Sie von Anfang an schließen

 Künstliche Intelligenz

Eine entscheidende Komponente der digitalen Strategie von Unternehmen ist Robotic Process Automation (RPA). Die Software-Roboter sollen unter anderem die menschliche Fehlerquote minimieren und die Complianceregeln überwachen. Dafür benötigen die digitalen Mitarbeiter aber privilegierte Zugriffsberechtigungen. Im schlimmsten Fall kann der Software-Roboter damit selbst zu einem Sicherheitsrisiko werden. Welche Sicherheitslücken sich auftun können und wie man diese vermeiden bzw. schließen kann, zeigen wir Ihnen in diesem Beitrag.

Risiken und Gefahren einer Prozessautomatisierung

Trotz aller unbestreitbaren Vorzüge bietet RPA auch Angriffsflächen, die genutzt werden können, um sensible Daten und/oder hochwertige Informationen zu stehlen, zu zerstören oder zu modifizieren, auf nicht autorisierte Anwendungen und Systeme zuzugreifen und Schwachstellen auszunutzen, um unberechtigten Zugang zum Unternehmen zu erhalten.

An erster Stelle muss hier der Missbrauch privilegierter Zugangsdaten genannt werden. Um reguläre Geschäftsprozesse wie beispielsweise Dateiübertragung, Auftragsabwicklung oder Gehaltsabrechnungen automatisiert durchführen zu können, benötigt der Bot entsprechende Zugangsberechtigungen, die ihm den Zugriff auf vertrauliche Informationen (Inventarlisten, Kreditkartennummern, Adressen, Finanzinformationen) über Mitarbeiter, Kunden und Lieferanten des Unternehmens gewähren.

Risikofaktor Benutzerkonto

Wenn die privilegierten Berechtigungsnachweise, die von einem Software-Roboter verwendet werden, ungeschützt sind, kann sich der RPA-Prozesse schnell zu einer Hintertür entwickeln, durch die sich ein Angreifer in böswilliger Absicht Zugang zur Unternehmens-IT-Infrastruktur verschaffen kann. Durch die Kompromittierung eines hochprivilegierten Robotik-Benutzerkontos könnte der Angreifer leistungsstarke Berechtigungsnachweise erwerben, die er auf die gleiche Weise wie ein Software-Roboter verwenden kann, um sich bei denselben Geschäftssystemen und -anwendungen anzumelden und auf dieselben Daten wie der Roboter zugreifen.

Zugang zu sensiblen Daten

Es ist dabei unwahrscheinlich, dass der Zugriff von den Sicherheitssystemen des Unternehmens als verdächtige Aktivität gekennzeichnet wird. Der Angreifer hat freie Hand beim Lesen, Schreiben, Manipulieren, Kompromittieren und Kopieren aller Daten, die das System oder die Anwendung enthält - wie Finanz- oder Kundendaten, geistiges Eigentum (IP) oder andere vertrauliche oder kommerziell sensible Informationen. Hat er einmal Zugriff auf den Bot, könnte er ihn darauf trainieren, Kreditkarteninformationen in eine über das Web zugängliche Datenbank hochzuladen oder sensibles geistiges Eigentum zu stehlen, wobei es schwierig, wenn nicht gar unmöglich ist, die wahre Quelle des Lecks zu identifizieren.

Je mehr Bots, desto höher das Sicherheitsrisiko

Da Software-Roboter auch automatisch generiert werden können, erhöht sich mit steigender Anzahl auch das Sicherheitsrisiko, da die von Roboterskripten verwendeten Berechtigungsnachweise für privilegierte Konten eine mögliche Bedrohung erheblich erhöhen, wenn sie unsicher vergeben und gespeichert werden. Risiken können aber auch in Form von Fehlern innerhalb des Unternehmens auftreten, z.B. wenn der Fernzugriff auf automatisierte Prozesse an Personen außerhalb des Unternehmens gegeben wird oder wenn ein neues RPA-Projekt zwar erfolgreich installiert, aber nicht gut verschlüsselt ist. Glücklicherweise gibt es aber verschiedene Möglichkeiten, potenzielle Sicherheitslücken zu stopfen.

UiPath RPA-Technologieplattform

Stellen Sie den langfristigen Erfolg Ihrer RPA-Initiative sicher

Die Wartungs- und Verwaltungsstrategie eines Robotic Operations Center (ROC) bildet ein solides Fundament für eine Skalierung Ihrer Digital Workforce. Gerne sorgen wir auch in Ihrem Unternehmen für den reibungslosen Betrieb der Bots.

Wie kann man seine RPA-Systeme sichern / Sicherheitsrisiken vermeiden?

Um Sicherheitsrisiken bei der Implementierung von RPA zu minimieren bzw. auszuschließen, müssen alle technischen und prozessualen Faktoren des gesamten RPA-Ökosystems berücksichtigt werden. Das heißt, dass der gesamte Produktlebenszyklus von den Anforderungen, der Auswahl, der Architektur, der Implementierung bis hin zum laufenden Betrieb betrachtet werden muss.

Im Zentrum der Sicherheitsüberlegungen stehen dabei die Fragen:

  • Bin ich in der Lage, die Bot-Aktivitäten zu überwachen und zu verfolgen, um den Missbrauch von Robotik zu erkennen, der die Vertraulichkeit, Integrität oder Verfügbarkeit anderer Systeme/Daten beeinträchtigt?
  • Kann ich sensible Daten davor schützen, absichtlich oder versehentlich von Bot-Erstellern und Bot-Anwendern offengelegt zu werden?
  • Kann ich darauf vertrauen, dass die Daten und Ergebnisse, die ich von meinen Bots erhalte, nicht modifiziert oder verändert wurden?
  • Kann ich den Zugriff kontrollieren und privilegierte Konten schützen, die vom Software-Roboter und den Benutzern genutzt werden?

Governance first

Um die Fragen mit ja beantworten zu können, sollten einige grundlegende Maßnahmen ergriffen werden. Als erstes gilt es, einen Governance-Rahmen mit Rollen und Verantwortlichkeiten für die Erstellung und Sicherung der Bots zu schaffen. So dann sollten Strategien und Sicherheitsanforderungen für den Einsatz von RPA innerhalb der Richtlinien und zur Überwachung der Einhaltung der Sicherheit entwickelt werden. Dazu gehört auch, dass das Bewusstsein der Bot-Entwickler und der Bot-Anwender für die Risiken von RPA geschärft wird.

Umfangreiche Sicherheitsanalysen auf allen Ebenen

Im Rahmen der Software- und Produktsicherheit empfiehlt sich die Durchführung einer Risikoanalyse der Sicherheitsarchitektur der RPA-Lösungen. Die Analyse sollte auch die Bot-Erstellung und die Bot-Kontrolle einschließen. Die Überprüfung des Bot-Designs, einschließlich einer Datenflussanalyse, dient dazu zu verifizieren, ob die Kontrollen rund um die Sicherheit in die Bot-Authentifizierung, Autorisierung und Eingabevalidierung integriert sind. Scan-Bots helfen mit dynamischen Tests oder der Security-Fuzzing-Technologie Sicherheitsschwachstellen oder Sicherheitslücken zu identifizieren.

Die Überwachung von sensiblen Daten, die von den Bots verarbeitet werden, dient dem Zweck, die Einhaltung der Nutzungsrichtlinien zu überprüfen. Zudem sollten die Protokolldaten von Controllern und Bot-Runnern gesammelt werden, um einen Audit-Trail der Aktivitäten zu erstellen und anormale Spitzen bei der Aktivität und dem Zugriff der Bots auf die diversen Systeme sowie die Nutzung der privilegierten Konten zu überwachen.

Das Kontrollzentrum für Anmeldeinformationen

Die wichtigste Sicherheitsmaßnahme ist die Zuweisung verschiedener Rollen und Zugriffsberechtigungen in einem RPA-Team, wodurch die Aktivitäten jedes Mitglieds eingeschränkt werden und betrügerischen Aktivitäten weitgehend ein Riegel vorgeschoben wird. Um die Rollen zuweisen zu können, wird eine Active Directory-Integration verwendet, in der die Teamanmeldeinformationen für die Verwaltung zentralisiert werden. Es bildet quasi ein Kontrollzentrum für Anmeldeinformationen. Die Verwendung von Single Sign-On (SSO) mit Lightweight Directory Access Protocol (LDAP) unterstützt die sichere Anmeldung auf der RPA-Plattform. Die Verschlüsselung des Berechtigungsnachweises ergänzt die Active Directory-Integration als Mittel zur Sicherheit der Datennutzung. Während der rollenbasierte Zugriff die internen Sicherheitsrisiken verringert, gewährleistet die Verschlüsselung den Schutz des Unternehmens vor externen böswilligen Angriffen.

Whitepaper "Robotic Operations Center"

Whitepaper: Robotic Operations Center (ROC)

Erfahren Sie, wie Sie über ein Robotic Operations Center den reibungslosen Betrieb einer unternehmensweiten Digital Workforce - vom Development über die Inbetriebnahme bis zur Wartung der RPA Bots - sicherstellen.

Vom Risikofaktor zum Sicherheitschef

Wie immer gibt es auch bezüglich der Sicherheit von RPA zwei Seiten einer Medaille. RPA ist nicht nur ein potenzielles Sicherheitsrisiko, das man nicht unterschätzen darf. Die robotergestützte Prozessautomatisierung hat aber auch das Potenzial, Unternehmen in verschiedenen Bereichen der IT-Sicherheit durch automatisierte Kontrollen nachhaltig zu unterstützen und zur Verbesserung der Sicherheit beizutragen.

Denn Bots können beispielsweise schnell und effizient Konformitätstests auf der Basis der Richtlinien für Sicherheitseinstellungen auf Servern, Firewalls, Routern und Anwendungen durchführen und die Ergebnisse regelmäßiger Test im Dashbord darstellen. Kognitives Lernen kann dazu verwendet werden, um die Risikoklassifizierung von Anwendungen und Daten zu automatisieren, um Gate-Checks für Sicherheitsaktivitäten im Softwareentwicklungs-Lebenszyklus (SDLC) durchzuführen und um schnell und effizient Malware- und Bedrohungswarnungen auszuwerten. Eine Phishing-E-Mail richtig zu analysieren und darauf zu reagieren, kann schon bei einer einzigen E-Mail ein zeitaufwendiger Prozess sein. Das macht die Phishing-Analyse zu einem hervorragenden Kandidaten für die Automatisierung.

Zudem verringert RPA durch die Automatisierung von Prozessen die sicherheitsrelevanten Anstrengungen, die mit der Schulung von Mitarbeitern und der Vermittlung von Sicherheitsmaßnahmen (z. B. Kennwortverwaltung, Anwendung von Datenschutzvorgaben) verbunden sind. Durch den Wegfall manueller Arbeit minimiert die Automatisierung Sicherheitsrisiken auf Makroebene.

Fazit

Ein nicht unwesentlicher Grund für den Einsatz von Prozessautomatisierung in Unternehmen ist die Fähigkeit der Bots, das Fehlerrisiko menschlicher Arbeit zu verringern. Wer RPA zur Automatisierung von Prozessen einsetzt, sollte sich in jedem Fall auch mit den weitergehenden Sicherheitsrisiken befassen, die sich im Zusammenhang mit der Datennutzung und der Zugriffsberechtigung der Bots ergeben. So gesehen sollten RPA-Projekte mit Bedacht umgesetzt werden. Eine vorausschauende Implementierung bedeutet im Wesentlichen die Wahl eines RPA-Produkts, das eine ordnungsgemäße, ständige Überwachung der firmeninternen Sicherheitsrichtlinien ermöglicht und gleichzeitig auch die Überwachung der Bots unterstützt. Die Bereitstellung von rollenbasierten Zugriffsberechtigungen auf vertrauliche Daten und die Datenverschlüsselung sind dabei die wichtigsten Mittel, um die Sicherheitsrisiken zu minimieren.

Beitrag weiterempfehlen