Bei der Implementierung von Robotic Process Automation (RPA) spielen
ökonomische Erwägungen meist die Hauptrolle. Das Thema Sicherheit und
Compliance wird hingegen gern vernachlässigt und nur am Rande berücksichtigt.
Diese Einstellung kann jedoch böse nach hinten losgehen. Ähnlich wie menschliche
Mitarbeiter müssen auch Roboter gewissenhaft mit sensiblen Daten umgehen und
genau wie andere Software müssen sie gegen Angriffe von außen geschützt werden.
Kunden und Anbieter von RPA-Bots sollten in dieser Frage so eng wie möglich
zusammenarbeiten.
Rechtliche und finanzielle Folgen drohen
Vor allem, wenn eine deutliche Steigerung der Produktivität und Effizienz im
Raum steht, ist für Sicherheitserwägungen oft kaum Platz. Die Hauptsache, so
scheint es, ist, dass der Bot möglichst schnell möglichst viele Prozesse
übernehmen kann. Dabei werden nicht selten gesetzliche Richtlinien und
unternehmenseigene Sicherheitsprotokolle verletzt – oft aus Unkenntnis.
Hauptproblem dabei ist die technologische Vielseitigkeit. Natürlich kann ein
Bot auf viele Daten zugreifen und diese pausenlos und ohne Fehler bearbeiten.
Die Frage ist nur: Darf und sollte er das auch so frei tun können? Unterminiert
eine Software durch unzureichende Sicherheitsbeschränkungen geltendes Recht, so
drohen erhebliche rechtliche und damit auch finanzielle Konsequenzen – vom
Verlust des Kundenvertrauens mal ganz abgesehen.
Zugang zu den Bots muss beschränkt sein
Gerade Low-Code-Lösungen wie RPA-Bots benötigen einen klaren, oft sehr simplen
Input. Tue dies, lese jenes ein, speichere das dort ab. Entsprechend gering
sind die Spezialkenntnisse, die es braucht, um einem RPA-Bot
Handlungsanweisungen zuzuteilen. Das verführt dazu, dass auch wenig geschulte
Mitarbeiter eingesetzt werden, um Bots zu programmieren. Mit jedem Zugang zu
einer Software steigt aber auch die Gefahr für Fehler jeglicher Art. Daher
sollten Unternehmen nicht nur ihre Mitarbeiter umfassend schulen, sondern auch
den Zugang zu den RPA-Bots strikt reglementieren.
Automatisiertes Credential Management
schützt vor Missbrauch
RPA Bots nutzen bekanntlich die üblichen Oberflächen wie SAP oder Windows, um
Prozesse abzuarbeiten. Folglich werden zur Anmeldung auch ganz normale
Passwörter und Anmeldeinformationen (Credentials) verwendet. Diese liegen oft
statisch auf dem Server der RPA-Anwendung oder extern ab und sind so höchst
angreifbar. Besser ist es, Credentials automatisiert und dynamisch zu rotieren,
ohne den Workflow zu bremsen. Dazu sind entweder zusätzliche Lösungen zu
implementieren, oder aber die RPA-Softwares selbst müssen solche Zusatzservices
in ihre Dienste einbauen. In jedem Fall aber müssen Roboter mindestens
dieselben Sicherheitsstrategien befolgen wie menschliche Mitarbeiter auch.
Monitoring durch Menschen ist und bleibt
essentiell
Gerade beim Thema Sicherheit sollte nie vergessen werden, dass Roboter, so
nützlich sie auch sein mögen, über keine kognitiven Fähigkeiten verfügen. Sie
folgen den Vorgaben für bestimmte Prozesse, mehr nicht. Ein Bot kann weder
offensichtliche noch versteckte Gefahren erkennen und hat auch nicht die
Fähigkeiten, Risiken einzuschätzen und abzuwägen. Daher sind menschliche
Supervisors beim Einsatz von RPA unabdingbar. Entsprechend geschultes Personal
muss sicherstellen, dass Zugriffe, Anmeldungen und Zugangsprivilegien korrekt
erfolgen. Außerdem müssen diese Mitarbeiter die Roboter bezüglich anormalen
Verhaltens überwachen und deren Tätigkeiten genauestens protokollieren und
analysieren. Nur so lassen sich Missstände schnell aufdecken, ehe sie größeren
Schaden anrichten. Anders als Menschen können Roboter nämlich auch nicht
zugeben, dass sie etwas falsch gemacht haben – denn sie merken es ja gar nicht.
Auch Anbieter von RPA sind gefordert
Die AmdoSoft Systems GmbH als Anbieter von RPA-Lösungen ist bestrebt, die
Produkte weiterzuentwickeln und auch in puncto Sicherheit zu verbessern. Das
Unternehmen hat nicht nur die Produktivität des Kunden, sondern auch deren
Sicherheit im Sinn. Daher berät Sie AmdoSoft bei der Implementierung seiner Lösungen
gern dabei, alle Prozesse gemäß geltender rechtlicher Bestimmungen zu
optimieren.
Über AmdoSoft Systems GmbH
AmdoSoft ist
ein Softwarehersteller aus München, der sich seit 1998 mit seiner
Softwarelösung b4 auf die IT- und Prozessautomatisierung spezialisiert hat.
Mit mehr als 20 Jahren Erfahrung, zählt sich das Unternehmen zu den Experten, wenn es um die Überprüfung von
IT-Infrastruktur und Anwendungen sowie die Automatisierung und Absicherung von
IT-gestützten Prozessen geht.
