Noch immer unterschätztes Cyberrisiko: Insider als Bedrohungsakteure

Risiken durch Insider – also Bedrohungen, welche von Personen mit legitimen Zugriffsrechten ausgehen – gehören zu den größten und kostspieligsten Herausforderungen für Unternehmen

[datensicherheit.de, 02.09.2025] „Viele Unternehmen übersehen beim Schutz ihrer IT-Ressourcen einen entscheidenden Aspekt: Sie richten ihren Fokus beinahe ausschließlich nach außen und übersehen die Bedrohung von innen“, so Matt Cooke, „Cybersecurity Strategist“ bei Proofpoint, in seiner aktuellen Stellungnahme. Dabei stellten Insider-Bedrohungen – also Risiken, die von Personen mit legitimen Zugriffsrechten ausgehen – eine der größten und kostspieligsten Herausforderungen für Unternehmen dar.

Matt Cooke warnt: „Insider-Bedrohungen haben viele Facetten und lassen sich nicht leicht erkennen…  

Insider-Bedrohungen: Schadensummen bei 17,4 Millionen US-Dollar jährlich

Das Ponemon Institute berichtet in diesem Zusammenhang – auf Basis einer Befragung von Unternehmen aus Nordamerika, Europa, dem Nahen Osten, Afrika und der Asiatisch-Pazifischen Region – von durchschnittlichen Schadensummen durch Insider-Bedrohungen in Höhe von 17,4 Millionen US-Dollar pro Jahr.

• Allein Datenschutzverletzungen durch Insider kosten laut IBM weltweit im Schnitt fast fünf Millionen Dollar pro Vorfall und Unternehmen.

41 Prozent der deutschen CISOs erachteten Insider-Bedrohungen als das größte Cybersicherheitsrisiko für ihr Unternehmen im nächsten Jahr.

Privilegierte Zugriffsrechte verstärken Insider-Bedrohungen

„Insider-Bedrohungen haben viele Facetten und lassen sich nicht leicht erkennen. Sie entstehen sowohl durch absichtliches Fehlverhalten – etwa Sabotage, Datendiebstahl oder Wirtschaftsspionage – als auch durch fahrlässige Handlungen wie das versehentliche Versenden vertraulicher Informationen oder das unbeabsichtigte Herunterladen von Malware.“

• Hinzu komme die Kategorie der kompromittierten Insider: „Dabei übernehmen externe Angreifer legitime Benutzerkonten“, erläutert Cooke.

Besonders tückisch sei, dass Insider häufig über privilegierte Zugriffsrechte verfügten und sich daher unbemerkt innerhalb des Netzwerks bewegen können. Während klassische Sicherheitsmaßnahmen wie Firewalls oder Antiviren-Programme auf externe Bedrohungen abzielten, seien sie gegen diese Art von Gefahren machtlos.

Selbst Großunternehmen mit ausgefeilten Sicherheitsarchitekturen nicht gegen Insider-Bedrohungen immun

Die Folgen eines erfolgreichen Insider-Angriffs könnten schwerwiegend sein: Neben unmittelbaren finanziellen Schäden drohen Reputationsverlust, Unterbrechungen des Geschäftsbetriebs und unter Umständen rechtliche Konsequenzen.

• Cooke berichtet: „Ein aktuelles Beispiel aus der Praxis ist der Fall eines ehemaligen Google-Technikers, der Tausende streng vertraulicher Dateien gestohlen hat, um seinem Arbeitgeber zu schaden.“ Dieser Google-Mitarbeiter habe heimliche Beziehungen mit chinesischen Unternehmen aufgenommen und nach dem Diebstahl CTO eines dieser Unternehmen werden wollen. „Zwar wurde er vor seiner Ausreise verhaftet, hätte mit seiner Tat aber auch nationale Sicherheitsinteressen (der USA) schaden können.“

Solch ein Vorfall unterstreiche, „dass selbst Technologie-Giganten mit ausgefeilten Sicherheitsarchitekturen nicht gegen Insider-Bedrohungen immun sind“.

„Insider-Threat-Programme“ wichtiger denn je

Angesichts der Komplexität und Vielschichtigkeit der Insider-Bedrohungen reiche es nicht aus, auf einzelne technische Lösungen oder punktuelle Sensibilisierungsmaßnahmen zu setzen. Vielmehr bedürfe es eines ganzheitlichen Ansatzes, „der organisatorische, technische und menschliche Faktoren gleichermaßen berücksichtigt“.

• Ein effektives „Insider-Threat“-Programm verfolge mehrere Ziele: Es solle potenzielle Bedrohungen frühzeitig erkennen, präventive Maßnahmen etablieren, im Ernstfall eine schnelle und zielgerichtete Reaktion ermöglichen und die Balance zwischen Sicherheit und Datenschutz wahren.

„Zentraler Bestandteil eines solchen Programms ist die kontinuierliche Überwachung der Nutzeraktivitäten. Moderne ,Tools‘ zur Verhaltensanalyse können beispielsweise auffällige Muster erkennen, etwa wenn ein Mitarbeiter plötzlich ungewöhnlich große Datenmengen herunterlädt oder auf Systeme zugreift, die außerhalb seines Aufgabenbereichs liegen.“

Balance zwischen Reaktion und Prävention: „Insider-Threat-Programm“ sollte auch Untersuchung und Behebung von Vorfällen umfassen

„Doch Technik allein genügt nicht!“ Ebenso wichtig sei es, eine Unternehmenskultur zu schaffen, in der Mitarbeiter für die Risiken sensibilisiert werden, um zu wissen, wie sie verdächtiges Verhalten erkennen und melden können. „Schulungen zur ,Cyberhygiene’, regelmäßige ,Awareness’-Kampagnen und klare Richtlinien zur Nutzung von IT-Ressourcen bilden hierfür die Grundlage“, betont Cooke.

• Trotz aller Prävention ließen sich Zwischenfälle aber nie vollständig ausschließen. Deshalb müsse jedes „Insider-Threat-Programm“ auch Prozesse zur Untersuchung und Behebung von Vorfällen vorsehen. „Hierzu gehört ein klar definierter ,Incident-Response-Plan’, der Verantwortlichkeiten regelt, Meldewege definiert und Maßnahmen zur Eindämmung sowie zur forensischen Analyse umfasst.“

Nur so könne im Ernstfall eine schnelle und angemessene Reaktion gewährleistet werden, um Schäden zu minimieren und aus dem Vorfall Schlüsse für die Zukunft zu ziehen.

Datenschutz und „Compliance“ als integrale Bestandteile der „Insider-Threat-Programme“

Ein weiterer wichtiger Aspekt sei der Schutz sensibler Daten durch technische Maßnahmen wie Zugriffskontrollen, Verschlüsselung und Data-Loss-Prevention-(DLP)-Lösungen. Dabei sollte der Grundsatz der minimalen Rechtevergabe gelten: „Jeder Mitarbeiter erhält nur die Zugriffsrechte, die er für seine Tätigkeit tatsächlich benötigt. Diese werden regelmäßig überprüft und bei Bedarf angepasst. Insbesondere beim Ausscheiden aus dem Unternehmen gilt es, den Datenzugriff umgehend zu unterbinden.“

• „Insider-Threat-Programme“ sähen sich nicht nur mit technischen und organisatorischen Herausforderungen konfrontiert, sondern müssten auch strenge gesetzliche Vorgaben erfüllen. Die Einhaltung von Datenschutzgesetzen wie der europäischen Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder weiterer lokaler Vorschriften sei zwingend erforderlich.

„Das bedeutet, dass sämtliche Maßnahmen zum Schutz vor Insider-Bedrohungen stets im Einklang mit dem Recht auf Privatsphäre stehen müssen!“ Unternehmen seien daher gefordert, transparent darzulegen, wie Daten erhoben, genutzt und gelöscht werden, welche Kontrollmechanismen existieren und wie die Rechte der Betroffenen gewahrt bleiben. „Nur wenn dieser Spagat gelingt – innerhalb der Organisation und aufseiten der Belegschaft – kann ein ,Insider-Threat-Programm’ langfristig Akzeptanz finden und erfolgreich sein.“

Der Mensch als potenzielle Insider-Bedrohung gehört in den Mittelpunkt

Letztlich stehe und falle der Erfolg eines „Insider-Threat-Programms“ mit den Menschen im Unternehmen. Eine reine Fokussierung auf technische Kontrollen greife zu kurz, „wenn nicht gleichzeitig das Bewusstsein für die Problematik geschärft wird“.

• Mitarbeiter müssten verstehen, „dass sie Teil der Sicherheitsmaßnahmen sind und durch umsichtiges Verhalten einen entscheidenden Beitrag leisten können“. Dies erfordere regelmäßige Schulungen und eine offene Kommunikationskultur, „in der Fehler gemeldet werden dürfen, ohne Angst vor Sanktionen haben zu müssen“. Gleichzeitig sollten klare Konsequenzen für vorsätzliches Fehlverhalten definiert und kommuniziert werden.

Auch die Zusammenarbeit verschiedener Abteilungen sei unerlässlich. Ein schlagkräftiges „Insider-Threat-Management-Team“ vereine Kompetenzen aus IT-Sicherheit, Personalwesen, Rechtsabteilung und Führungsebene. Nur so ließen sich technische, rechtliche und menschliche Aspekte ganzheitlich berücksichtigen und wirksame Strategien entwickeln.

Proaktives Handeln: Sicherheit als gemeinsame Aufgabe verankern

Die Zeiten, in denen Insider-Bedrohungen ein Nischenthema für IT-Security-Experten waren, sind laut Cooke passé: „Unternehmen, die den Schutz ihrer sensiblen Daten und Geschäftsgeheimnisse ernst nehmen, kommen an einem professionellen ,Insider-Threat-Programm’ nicht mehr vorbei!“

• Der Schlüssel liege in einem ausgewogenen Zusammenspiel aus technischer Überwachung, klaren Prozessen, umfassender Sensibilisierung und einer Unternehmenskultur, „die Sicherheit als gemeinsame Aufgabe erachtet“.

Cookes Fazit: „Nur wer proaktiv handelt, kann die Risiken effektiv minimieren, die wertvollsten Ressourcen seines Unternehmens schützen und sich so nachhaltig gegen die wachsenden Herausforderungen in der digitalen Welt wappnen!“

Weitere Informationen zum Thema:

proofpoint
Guide Users / Simplify behavior change with automated, risk-based learning / Transform your high-risk employees. Change risky behaviors and foster a strong security culture

proofpoint
Matt Cooke / Cybersecurity Strategist

GlobeNewswire by notified, 25.02.2025
Ponemon Cybersecurity Report: Insider Risk Management Enabling Early Breach Detection and Mitigation / Insider risk management budgets have more than doubled and are projected to grow further in 2025, as the average annual cost of insider threats reaches $17.4M USD

IBM, 2025
Data Breach / Cost of a Data Breach Report 2025

datensicherheit.de, 17.11.2023
Die interne Gefahr: Wie sich Unternehmen vor Insider-Bedrohungen schützen können / Cyberkriminellen konzentrieren sich auf den Diebstahl von Zugangsdaten

datensicherheit.de, 15.02.2022
Fachkräftemangel, Insiderbedrohungen und Home-Office – Cyber-Risiken mit Wurzeln in den Unternehmen / Hendrik Schless kommentiert die von Unternehmen viel zu häufig unterschätzten Risiken

datensicherheit.de, 30.06.2020
Insider-Bedrohungen durch ausscheidende Mitarbeiter / Best Practices zum Schutz vor Datendiebstahl

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff / Abwehr mit User and Entity Behavior Analysis auf Basis von Machine Learning

datensicherheit.de, 23.12.2016
Insider – die immer noch unterschätzte Gefahr / David Lin erläutert, warum es nicht immer gleich der externe russische Hacker sein muss