Jedem Roboter seine eigene ID

Mehr als nur eine rein formale System-ID notwendig

Normalerweise wird der Bereitstellungsprozess für Benutzer-IDs oder die Aufrechterhaltung eines ordnungsgemäßen Zugriffsverwaltungsprozesses für diese Benutzer-IDs durch Definition genau festgelegter Rollen und ihrer Rechte geregelt. Mit der Einführung von Robotic Process Automation (RPA), bei dem die Roboter Zugriff auf viele wichtige Anwendungen im Unternehmen erhalten, taucht plötzlich ein bislang unbekanntes Sicherheitsrisiko auf. Bestehende Prozesse für die Vergabe von Berechtigungen in Unternehmen wurden für Menschen und nicht für Roboter entwickelt. Um bestehende Prozesse gemäß den Audit- und Compliance-Anforderungen des Unternehmens anzupassen, müssen individuelle Roboter-Benutzer-IDs erstellt werden.

Für neue Mitarbeiter werden in der Regel durch automatisierte Back-Office-Prozesse, basierend auf dem Stellenprofil, neue User-IDs mit den erforderlichen Rechten und Berechtigungen für verschiedene Anwendungen und Plattformen angelegt. Spezielle Rechte und Berechtigungen können zudem individuell beantragt werden.

Aber wie sieht es bei einem Software-Roboter aus? Bekommt er den identischen Rechtesatz wie sein menschlicher Kollege oder vielleicht sogar mehr Rechte? Erscheint er im Unternehmensverzeichnis? Diese Frage lässt sich nicht pauschal beantworten. Entscheidend ist, dass der Roboter auf die bestehende Softwarelandschaft wie ERP-Systeme oder Mailing-Programme zugreifen kann – und zwar wie ein menschlicher Benutzer über die Benutzeroberfläche. Jeder Roboter benötigt einen individuellen Satz an Rechten und Berechtigungen, um diese Anwendungen ausführen zu können. Ein Bot in der Personalabteilung verfügt selbstverständlich über andere Zugriffsrechte als ein Bot in der Buchhaltung. Natürlich können sich die benötigten Zugriffsrechte mit der Zeit ändern. Der Einfachheit halber könnte man dem Bot einen allgemeinen Rechtesatz gewähren, aber ähnlich wie bei den menschlichen Kollegen verbietet sich der Gedanke aus Compliance- und Sicherheitsaspekten. Die Kombination der individuellen und allgemeinen Rechte des Bots mit der Benutzer-ID bezeichnet man als Roboter-Benutzer-ID.

Um zwischen der Arbeit von Menschen und Robotern zu unterscheiden, ist eine eindeutige Roboter-ID zwingend erforderlich. Diese ID sollte eine Master-ID, Anmeldedaten für Anwendungen und, falls erforderlich, eine eindeutige E-Mail-Adresse enthalten. Durch die Verwendung dieser individuellen Nummer für jeden Roboter können Compliance- und Sicherheitsaspekte sichergestellt werden. Darüber hinaus kann der Roboter überwacht und eine statistische Auswertung vorgenommen werden. Durch die Protokollierung der Aktionen des Bots in Verbindung mit seiner spezifischen Roboter-Benutzer-ID ist die Revisionsfähigkeit stets gewährleistet. Ob der Bot auch einen Namen oder nur eine ID-Nummer hat, hängt sehr stark von der Frage ab, ob der Roboter als virtueller Mitarbeiter angesehen wird – er also in vielerlei Hinsicht ähnlich wie eine menschliche Ressource behandelt wird – oder nur als technisches Skript, das ihn als reinen Automatisierungstreiber positioniert.

Das Erstellen einer rein funktionalen System-ID für Roboter verursacht verschiedene Richtlinien- und Betriebsprobleme, da funktionalen IDs oft kein Zugriff auf Anwendungen gewährt wird, weil dies nachgelagerte Systemauswirkungen und Compliance-Probleme hat. Es empfiehlt sich daher, eine Roboter-ID zu erstellen, die über eine Systemfunktions-IDs hinausgeht und Attribute wie Name, zugeordneter Manager, definierte Organisationsstruktur und Roboter-Kennung aufweist.

Der Prozess zur Erstellung einer Roboter-Benutzer-ID sollte dem Standardprozess zur Erstellung einer ID für einen menschlichen Benutzer folgen, um ihn einfach in das bestehendes Compliance- und Sicherheitskonzept zu integrieren. Somit ist es nicht erforderlich, neue Prozesse speziell für RPA von Grund auf neu zu erstellen und der zusätzliche Arbeitsaufwand für die Implementierung von RPA beschränkt sich auf geringfügige Modifikationen des bestehenden Prozesses.

Der Prozess der Erstellung einer Roboter-Benutzer-ID besteht normalerweise aus zwei Schritten:

Im Rahmen der technischen Einrichtung einer Roboter-Benutzer-ID verlangt normalerweise der Process-Owner die Einrichtung einer neuen Roboter-Benutzer-ID. Diese ID sollte in einer speziellen Mitarbeitergruppe innerhalb des ERP-Systems angelegt werden, um sicherzustellen, dass die Roboter-ID nicht mit menschlichen IDs verwechselt wird. Es ist wichtig, diese aus statistischen Gründen und aus Gründen der Lohnabrechnung zu trennen – um zu vermeiden, dass ein Roboter irrtümlicherweise Lohn auf ein bestimmtes Bankkonto überwiesen bekommt.

Das ERP-System ist in der Regel mit dem Gruppenverzeichnis verbunden, das den Zugriff auf Anwendungen innerhalb des Unternehmens steuert. Innerhalb dieses Systems sollte ein geschützter Bereich für Roboter angelegt werden. Dadurch wird sichergestellt, dass nur Anwendungen, die auf einer Positivliste stehen, mit der Roboter-Benutzer-ID interagieren und dass der Bereich der Anwendungen eingeschränkt ist und kontrolliert werden kann.

Im Anschluss an die technische Einrichtung der Roboter-ID müssen roboterspezifische Rollen und Berechtigungen erstellt werden. Durch die Verwendung der bestehenden Methoden zur Beantragung und Genehmigung von Rollen und Rechten für einen Roboter wird die Einhaltung der Compliance-Richtlinien in jeder Phase des Prozesses sichergestellt. Der “Robot Lead” ist für die Zuweisung von Anwendungsrechten, Rollen und Berechtigungen für den Roboter verantwortlich. Diese Rechte und Berechtigungen decken den erforderlichen Umfang der einzelnen roboterbezogenen Prozesse ab.

Die Rechte müssen also pro Prozess festgelegt werden, um die Roboterauslastung zu erhöhen und die Compliance-Anforderungen zu gewährleisten. Es ist empfehlenswert, den Ansatz des minimalen Rechtesatzes zu verfolgen und keine Admin-Rechte für den Roboter festzulegen. Ihn wie einen normalen Mitarbeiter zu behandeln, führt zu den wenigsten Compliance-Problemen. Bei den meisten Tools kann eine Lizenz verschiedene Benutzer-IDs und Instanzen verwalten. Da ein Roboter kein menschlicher Mitarbeiter ist, benötigt er auch nicht die gleichen Rechte. Daher werden Roboter nicht von Verfahren berücksichtigt, die nur für Menschen relevant sind (Mitarbeiterzahl, Gehalt, Zugangskarte zur Kantine). Sie benötigen aber folgende allgemeine Attribute:

  • Unter HR-Gesichtspunkten: Zuordnung zu einem Vorgesetzten
  • Unter IT-Gesichtspunkten: Master-ID, individuelle IDs, Konto im Unternehmensverzeichnis (geschützter Bereich), Konto im ERP, E-Mail-Konto, Desktop (Windows)-Zugang/SSO, Zugriff auf alle relevanten Netzlaufwerke
  • Unter prozessindividuellen Gesichtspunkten: Benutzerzugriff und Berechtigungen für prozessrelevante Anwendungen (innerhalb der Artefakte zu definieren)

In aller Regel werden Anmeldeinformationen der Bot-ID mit Hilfe einer 256-Bit-Verschlüsselung in Datenbanken gespeichert. Wie bei allen Anmeldeinformationen für Dienstkonten, die in einer Datenbank- /Konfigurationsdatei gespeichert sind, ist das Ändern der Kennwörter außerdem sehr mühsam. Infolgedessen werden diese IDs mit nicht ablaufenden Kennwörtern eingerichtet, was wiederum zu einem Sicherheitsrisiko führt. Bot-IDs sollten als privilegierte Konten behandelt werden, da das Risiko eines Sicherheitskompromisses hoch ist, wenn ein Angreifer die Kontrolle über eine Bot-ID bzw. das Kennwort, die nicht ordnungsgemäß geschützt ist, übernehmen kann.

Da eine kompromittierte Bot-ID im Netzwerk authentifiziert ist, kann ein Hacker die Befehlszeilenschnittstelle (Command Line Interface, CLI) aufrufen und als Einstiegspunkt / Sprungbrett verwenden, um das Netzwerk zu durchforsten und wichtige Informationen abgreifen. Eine relativ einfache Möglichkeit, die Bot-Anmeldeinformationen zu sichern, ist die Verwendung von PAM-Tools (Privileged Access Management), wie z. B. CyberArk, BeyondTrust, CA PAM oder Thycotic, die eine Vielzahl von Funktionen zum Verwalten privilegierter Konten einschließlich eines sicheren Tresors zum Speichern der Kennwörter Multifaktorauthentifizierung bieten.

Beschränken Sie die Anmeldeinformationen von Softwarerobotern auf bestimmte Aufgaben, sollten auch Prozesse, Systeme und Umgebungen begrenzt sein. Zudem sollte der Entwicklungsprozess für Softwareroboter, seine Rolle und die Berechtigungen klar definiert sein. Eine eindeutige Kennung ermöglicht effektive Überwachungs-, Berichts-, Zertifizierungs- und Analysefunktionen. Die Anmeldeinformationen von Softwarerobotern sollten in Tresoren für Anmeldeinformationen geschützt werden. Dies kann mit Single Sign-On kombiniert werden, um den Zugriff zu vereinfachen.

Wird der Software-Roboter nicht mehr benötigt, sollte die Roboter-ID abgemeldet werden. Somit werden verwaiste Softwareroboterkonten vermieden, die zu potenziellen Einfallstoren für gezielte Angriffe werden können.

  • https://weissenberg-solutions.de/was-ist-robotic-process-automation/
  • https://weissenberg-solutions.de/was-ist-ein-software-roboter/

Milad Safar ist Managing Partner der Weissenberg Group, die er 2013 mit dem Ziel gründete, Prozesse durch den Einsatz von intelligenten Automatisierungslösungen effizienter zu gestalten. Schon während seines Studiums der Volkswirtschaftslehre interessierte er sich für zukunftsweisende Technologien. Getrieben durch die Erkenntnis, dass viele Prozesse wertvolle Arbeitszeit verschlingen, beschäftigt sich Milad Safar von Beginn seiner Beratertätigkeit an mit den Themen Digitalisierung, Robotics und Künstliche Intelligenz, zu denen er auch regelmäßig Vorträge hält, an Expertenrunden teilnimmt und Beiträge in namhaften Fachmagazinen veröffentlicht. Er ist Co-Buchautor des 2019 von WEKA Media herausgegebenen vierbändigen IT-Lexikons “Informationstechnologie von A-Z”. Als Initiator rief er 2018 das jährlich stattfindende AI Camp Wolfsburg ins Leben, eine Diskussionsplattform rund um die Themen Künstliche Intelligenz, Robotics, Maschinelles Lernen und deren Anwendung.

Weissenberg Group mit Sitz in Wolfsburg wurde 2013 von Milad Safar und Marcel Graichen gegründet und beschäftigt 82 Mitarbeiter. Weissenberg Group ist der interdisziplinäre Ansprechpartner für hocheffiziente und innovative IT-Lösungen. Das Kerngeschäft der Weissenberg Group wird durch die Unternehmensbereiche Weissenberg Solutions und Weissenberg Intelligence abgedeckt.

Das Kerngeschäft von Weissenberg Intelligence bilden die vielfältigen Anwendungsmöglichkeiten, die sich für Unternehmen durch den Einsatz von Robotic Process Automation und Künstlicher Intelligenz ergeben. Im Zentrum steht die Automatisierung standardisierter, regelbasierter Prozesse durch Software-Roboter, um die vorhandenen Ressourcen effizienter einzusetzen und damit für die Unternehmen letztendlich einen wirtschaftlichen Mehrwert zu schaffen.