Normalerweise wird der Bereitstellungsprozess für Benutzer-IDs oder die Aufrechterhaltung eines ordnungsgemäßen Zugriffsverwaltungsprozesses für diese Benutzer-IDs durch Definition genau festgelegter Rollen und ihrer Rechte geregelt. Mit der Einführung von Robotic Process Automation (RPA), bei dem die Roboter Zugriff auf viele wichtige Anwendungen im Unternehmen erhalten, taucht plötzlich ein bislang unbekanntes Sicherheitsrisiko auf.
Bestehende Prozesse für die Vergabe von Berechtigungen in Unternehmen wurden für Menschen und nicht für Roboter entwickelt. Um bestehende Prozesse gemäß den Audit- und Compliance-Anforderungen des Unternehmens anzupassen, müssen individuelle Roboter-Benutzer-IDs erstellt werden.
Was ist eine Roboter-Benutzer-ID?
Für neue Mitarbeiter werden in der Regel durch automatisierte Back-Office-Prozesse, basierend auf dem Stellenprofil, neue User-IDs mit den erforderlichen Rechten und Berechtigungen für verschiedene Anwendungen und Plattformen angelegt. Spezielle Rechte und Berechtigungen können zudem individuell beantragt werden.
Aber wie sieht es bei einem Software-Roboter aus? Bekommt er den identischen Rechtesatz wie sein menschlicher Kollege oder vielleicht sogar mehr Rechte? Erscheint er im Unternehmensverzeichnis? Diese Frage lässt sich nicht pauschal beantworten. Entscheidend ist, dass der Roboter auf die bestehende Softwarelandschaft wie ERP-Systeme oder Mailing-Programme zugreifen kann – und zwar wie ein menschlicher Benutzer über die Benutzeroberfläche. Jeder Roboter benötigt einen individuellen Satz an Rechten und Berechtigungen, um diese Anwendungen ausführen zu können. Ein Bot in der Personalabteilung verfügt selbstverständlich über andere Zugriffsrechte als ein Bot in der Buchhaltung. Natürlich können sich die benötigten Zugriffsrechte mit der Zeit ändern. Der Einfachheit halber könnte man dem Bot einen allgemeinen Rechtesatz gewähren, aber ähnlich wie bei den menschlichen Kollegen verbietet sich der Gedanke aus Compliance- und Sicherheitsaspekten. Die Kombination der individuellen und allgemeinen Rechte des Bots mit der Benutzer-ID bezeichnet man als Roboter-Benutzer-ID.
Warum wird eine Roboter-Benutzer-ID erstellt?
Um zwischen der Arbeit von Menschen und Robotern zu unterscheiden, ist eine eindeutige Roboter-ID zwingend erforderlich. Diese ID sollte eine Master-ID, Anmeldedaten für Anwendungen und, falls erforderlich, eine eindeutige E-Mail-Adresse enthalten. Durch die Verwendung dieser individuellen Nummer für jeden Roboter können Compliance- und Sicherheitsaspekte sichergestellt werden. Darüber hinaus kann der Roboter überwacht und eine statistische Auswertung vorgenommen werden. Durch die Protokollierung der Aktionen des Bots in Verbindung mit seiner spezifischen Roboter-Benutzer-ID ist die Revisionsfähigkeit stets gewährleistet. Ob der Bot auch einen Namen oder nur eine ID-Nummer hat, hängt sehr stark von der Frage ab, ob der Roboter als virtueller Mitarbeiter angesehen wird – er also in vielerlei Hinsicht ähnlich wie eine menschliche Ressource behandelt wird – oder nur als technisches Skript, das ihn als reinen Automatisierungstreiber positioniert.
Das Erstellen einer rein funktionalen System-ID für Roboter verursacht verschiedene Richtlinien- und Betriebsprobleme, da funktionalen IDs oft kein Zugriff auf Anwendungen gewährt wird, weil dies nachgelagerte Systemauswirkungen und Compliance-Probleme hat. Es empfiehlt sich daher, eine Roboter-ID zu erstellen, die über eine Systemfunktions-IDs hinausgeht und Attribute wie Name, zugeordneter Manager, definierte Organisationsstruktur und Roboter-Kennung aufweist.
Wie erstellt man eine Roboter-Benutzer-ID?
Der Prozess zur Erstellung einer Roboter-Benutzer-ID sollte dem Standardprozess zur Erstellung einer ID für einen menschlichen Benutzer folgen, um ihn einfach in das bestehendes Compliance- und Sicherheitskonzept zu integrieren. Somit ist es nicht erforderlich, neue Prozesse speziell für RPA von Grund auf neu zu erstellen und der zusätzliche Arbeitsaufwand für die Implementierung von RPA beschränkt sich auf geringfügige Modifikationen des bestehenden Prozesses.
Der Prozess der Erstellung einer Roboter-Benutzer-ID besteht normalerweise aus zwei Schritten: