Unter dem Einfluss strengerer regulatorischer Anforderungen und angesichts steigender Risiken gilt es nicht nur technologisch mitzuhalten, ebenso bedarf es effektiver Kontrollmechanismen beim Einsatz von Robotic Process Automation (RPA).

Neue Technologien (Big Data, Internet of Things, Cloud Computing, Robotics), neue Märkte und Zielgruppen, verstärkte Kundenbindung, Gewinnsteigerung, erhöhte Vernetzung und Mobilität, Produktivitätssteigerung  – der digitale Wandel bringt zahlreiche Chancen mit sich. Durch die Digitalisierung wachsen exponentiell auch die technischen, organisatorischen und rechtlichen Herausforderungen für Unternehmen. Heterogene Systemlandschaften, steigende Prozessautomatisierung, digitale Identitäten und unstrukturierte Datenmengen verschaffen dem Identity & Access Management (IAM) eine neue, zentrale Rolle in allen Unternehmen und Sektoren. Um die Potenziale der Digitalisierung auszuschöpfen und gleichzeitig die Risiken zu minimieren, müssen sich auch die IAM-Prozesse einem Wandel unterziehen.

Robotic Process Automation (RPA) im Kontext von IAM (RPA-IAM)

Durch Industrie 4.0 sind kognitive Systeme und Maschinen oder künstliche Intelligenz für Unternehmen keine Fremdbegriffe mehr. Dennoch müssen Anwender in verschiedenen Unternehmen und Branchen immer noch viele Informationen und Daten manuell verarbeiten, was sehr zeitaufwendig, kostspielig und risikobehaftet sein kann. Beispielsweise werden im IAM-Umfeld die Anlagen von digitalen Identitäten (Usern / Benutzern) und die Zuordnungen von notwendigen Berechtigungen auf Basis der fachlichen Jobbeschreibungen weiterhin manuell umgesetzt. RPA (Robotic Process Automation) ermöglicht die Automatisierung von diesen repetitiven standardisierten Aufgaben entlang verschiedener Systeme mittels Softwarerobotern unter Einsatz von künstlicher Intelligenz.

Durch die Fähigkeit eines Softwareroboters, aus diversen Verhaltensmustern der Anwender zu lernen und somit die menschliche Interaktion mit dem User Interface des Systems nachzuahmen, ist die Verwendung von weiteren Systemschnittstellen nicht mehr zwingend notwendig. Mittels RPA werden die Self-Service-Funktionalitäten im IAM Umfeld gestärkt, ohne dabei die Compliance-, Security- und Risikomanagementanforderungen zu verletzen. RPA ist eine benutzerfreundliche Technologie, da die Anwender wie bei klassischen IT-Anwendungen keine Spezialkenntnisse brauchen, um den Softwareroboter anzuwenden.

Vorteile und Herausforderungen bei der Verwendung von RPA-IAM

Durch robotergestützte Automatisierung der Identitäts- und Zugangsverwaltung können die Kosten und Risiken im Vergleich zu manueller Administration erheblich reduziert werden. Softwareroboter arbeiten mit der vorhandenen Systemlandschaft und zeichnen sich durch eine schnelle Implementierung, hohe Flexibilität und einen dadurch sehr hohen ROI (Return on Investment) aus. Gleichzeitig sind Softwareroboter 24/7 verfügbar, besitzen eine hohe Fehlerresistenz und gewährleisten Revisionssicherheit durch Compliance-gerechte Protokollierung aller IAM-Abläufe.

ey-switzerland-blog-Robotic Process Automation

Um einen optimalen Automatisierungsgrad der IAM-Prozesse zu erreichen, müssen Organisationen ein entsprechendes Rahmenwerk mit den dazugehörigen Kontrollmechanismen schaffen, die den erfolgreichen Einsatz von RPA-Technologien sicherstellen, wie z. B. gezielte RPA-Ausrichtung der bestehenden IAM-Richtlinien, Prozesse, Rollen, Verantwortlichkeiten und Kontrollen. Um auf notwendige Änderungen der implementierten RPA-Logik entsprechend reagieren zu können, müssen entsprechende Prozesse und Verantwortlichkeiten definiert werden, damit entsprechendem Missbrauch vorgebeugt wird. Weiters ist es notwendig, regelmäßige Kontrollen der Softwareroboter auf Fehlfunktionen und eine ordnungsgemäße Protokollierung der RPA-Vorgänge sicherzustellen.

Anwendungsbereiche für RPA-IAM

Typische Anwendungsbereiche für RPA sind strukturierte regelbasierte Prozesse, die regelmäßig ausgeführt werden, mit einem hohen manuellen Aufwand und einer hohen Fehleranfälligkeit verbunden sind und typischerweise mehrere IT-Systeme betreffen. Genau diese Faktoren sind in den IAM-Prozessen vollständig zutreffend: Es gibt viele unterschiedliche Mitarbeiter in Unternehmen, die jeweils meist mehrere Business-Rollen (fachliche Rollen und Verantwortlichkeiten) wahrnehmen. Ausgehend von diesen Business-Rollen werden den Benutzern mit ihren IT-Systemaccounts entsprechende Systemrollen zugewiesen. Nachdem ein Mitarbeiter oft viele unterschiedliche Systeme mit unterschiedlichen Risikoeinstufungen bedient, müssen die Berechtigungen manuell in unterschiedlichen Systemen verwaltet werden. Zusätzlich dazu gibt es häufig notwendige Änderungen der Berechtigungen, z. B., wenn ein Mitarbeiter eine neue oder andere fachliche Rolle im Unternehmen übernimmt. Diese Änderungen resultieren in vielen manuellen Arbeitsschritten, die zeitintensiv und fehleranfällig sind. Um dem entgegenzuwirken, können Softwareroboter raschen Mehrwert bringen, indem sie automatisiert und systemübergreifend IAM-Prozesse steuern. Basierend auf vorab definierten Rollen, Berechtigungen und Regeln springen die Roboter von System zu System und nehmen Anpassungen bzw. Zuweisungen der angeforderten und geprüften Anforderungen vor. Selbst laufende Kontrollen wie z. B., ob ein Mitarbeiter auch tatsächlich die notwendigen Systemberechtigungen hat, die auf seine aktuelle Stellenbeschreibung zutreffen, oder ob die Funktionstrennung (Segregation of Duties, SoD) in allen Prozessen eingehalten wird, können mit Softwarerobotern rasch umgesetzt werden.

Wir unterstützen Sie

EY unterstützt Organisationen dabei, RPA-Potenziale und Einsatzmöglichkeiten für Softwareroboter im Rahmen von IAM zu identifizieren, Analysen durchzuführen, Prozesse zu automatisieren, die virtuellen Arbeitskräfte nachhaltig in das Unternehmen zu integrieren und Antworten auf folgende Fragen zu finden:

  • Wie muss sich ein effektives Berechtigungsmanagement auf digitale Technologien einstellen?
  • Ist das Prinzip meiner Zugriffskontrollen agil genug, um situationsbedingt einen bedarfsgerechten Zugriff auf Unternehmensdaten und Informationen abbilden zu können?
  • Welche Informationen generiere ich, wenn ich unstrukturierte Unternehmensdaten in Relation setze und wer darf auf diese neu gewonnenen Informationen zugreifen?
  • Welche Berechtigungen vergebe ich an einen „Robotic-User“, der im Prozessverlauf meine Mitarbeiter unterstützt oder gar autark agiert? Wie verhält es sich hier mit dem Prinzip der Funktionstrennung?