[datensicherheit.de, 28.02.2026] KI-gestützte Deepfakes und Falschinformationen erhöhen die Wirksamkeit identitätsbasierter Angriffe. Der Diebstahl von Anmeldedaten ist mit 67 Prozent (58 % in Deutschland) die häufigste Angriffstechnik gegen Cloud-Infrastrukturen. Fast 60 Prozent (51 % in Deutschland) der Unternehmen melden Vorfälle im Zusammenhang mit Deepfakes. 48 Prozent (47 % in Deutschland) leiden unter Reputationsschäden aufgrund von KI-generierten Falschinformationen.

Zunehmende Investitionen in KI-Sicherheit

Die Investitionen in KI-Sicherheit nehmen zu: 30 Prozent (30 % in Deutschland) der Unternehmen stellen spezielle Budgets bereit, 53 Prozent (48 % in Deutschland) verlassen sich jedoch weiterhin auf bestehende Sicherheits-Tools.

Die Infographik verdeutlicht wie sich die Sicherheitsprioritäten durch KI verschieben (Quelle: Thales DTR 2026)

KI als Insider-Bedrohung

Nach Angaben des Thales 2026 Data Threat Reports erklären Organisationen aus verschiedenen Branchen, darunter die Automobilindustrie, der Energie-, der Finanzensektor und der Einzelhandel, dass das rasante Tempo der KI-getriebenen Transformation derzeit ihre größte Herausforderung im Bereich Sicherheit darstellt. Basierend auf der von S&P Global 451 Research im Jahr 2025 durchgeführten Studie nennen 71 Prozent (70 % in Deutschland) KI als ihr größtes Datensicherheitsrisiko. Die Sorge gilt nicht nur bösartiger KI, sondern auch dem Zugriff, der ihr gewährt wird, wenn sie sich von einem reinen Werkzeug zu einem vertrauenswürdigen „Insider“ wandelt.

Während Unternehmen die Einführung von KI beschleunigen, fällt es der Governance in Bezug auf Datentransparenz, Identität und Sicherheitskontrollen schwer, Schritt zu halten. Die Ergebnisse des Berichts für 2026 zeigen, dass KI-Systeme zunehmend, wie vertrauenswürdige Insider agieren. Dies geschieht oft mit umfassendem, automatisiertem Zugriff auf Unternehmensdaten, jedoch ohne die Überwachung oder Kontrollen, die traditionell für menschliche Benutzer gelten.

Sebastien Cano, Senior Vice President für Cybersicherheitsprodukte bei Thales, Bild: Thales

„Insider-Risiken betreffen nicht mehr nur Menschen. Sie betreffen auch automatisierte Systeme, denen zu schnell Vertrauen geschenkt wurde“, sagt Sebastien Cano, Senior Vice President für Cybersicherheitsprodukte bei Thales. „Selbst wenn KI innerhalb von Sicherheitskontrollen arbeitet, beschleunigt KI bei schwachen Zugriffsrichtlinien, Identitätsverwaltung oder Datenschutz diese Schwächen in Umgebungen weitaus schneller, als menschliche Benutzer dies jemals könnten.“

Sichtbarkeitslücken vergrößern sich, während KI die Reichweite von Daten erhöht

Der Bericht offenbart eine beunruhigende Diskrepanz zwischen der KI-Einführung und der Datenkontrolle. Nur 34 Prozent (33 % in Deutschland) der Unternehmen wissen, wo alle ihre Daten gespeichert sind.Lediglich 39 Prozent können ihre Daten vollständig klassifizieren. Gleichzeitig bleiben 47 Prozent (48 % in Deutschland) der sensiblen Cloud-Daten unverschlüsselt.

KI-Systeme erfassen und verarbeiten Daten aus Cloud- und SaaS-Umgebungen. Dabei erschwert die eingeschränkte Transparenz die Durchsetzung des Prinzips der geringsten Berechtigungen und erhöht das Risiko, wenn Anmeldedaten kompromittiert werden.

Die Identitätsinfrastruktur ist heute die primäre Angriffsfläche. Der Diebstahl von Anmeldedaten ist nach wie vor die häufigste Angriffstechnik gegen Cloud-Management-Infrastrukturen und wird von 67 Prozent (64 % in Deutschland) der Unternehmen genannt, die Cloud-Angriffe erlebt haben. Gleichzeitig stufen 50 Prozent (49 % in Deutschland) das Geheimnismanagement als eine ihrer größten Herausforderungen im Bereich der Anwendungssicherheit ein. Dies spiegelt die zunehmende Komplexität der Verwaltung von Maschinenidentitäten, API-Schlüsseln und Tokens in großem Maßstab wider.

KI ermöglicht schlagkräftigere Angriffe

Während Unternehmen sich beeilen, KI einzuführen, tun Angreifer dasselbe. Fast 60 Prozent (51 % in Deutschland) der Unternehmen geben an, dass sie Deepfake-basierte Angriffe erlebt haben. 48 Prozent (47 % in Deutschland) berichten von Reputationsschäden im Zusammenhang mit KI-generierten Falschinformationen oder Identitätsdiebstahlkampagnen.

KI bringt nicht nur neue Risiken mit sich, sondern verstärkt auch bereits bestehende. Menschliches Versagen ist bereits für 28 Prozent (32 % in Deutschland) aller Sicherheitsverletzungen verantwortlich. Durch die zusätzliche Automatisierung können sich kleine Fehler schneller ausweiten und weiterverbreiten.

Sicherheitsinvestitionen verschieben sich, jedoch nicht im gleichen Tempo wie die neuen Risiken

Unternehmen beginnen, ihre Sicherheitsausgaben anzupassen, um gegen KI-bezogene Bedrohungen zu bestehen. 30 Prozent (30 % in Deutschland) stellen nun spezielle Budgets für KI-Sicherheit bereit, gegenüber 20 Prozent (18 % in Deutschland) im Vorjahr. Allerdings verlassen sich 53 Prozent (48 % in Deutschland) weiterhin auf bestehende Sicherheitsinvestitionen, die nicht für maschinengesteuerte oder autonome Risikomodelle ausgelegt sind.

„KI wird zunehmend in Unternehmensabläufe integriert. Deshalb ist das Management der Datensicherheit nicht mehr nur ein Randthema, sondern eine strategische Notwendigkeit“, sagt Eric Hanselman, Chefanalyst bei S&P Global Market Intelligence 451 Research. „Unternehmen müssen Datensicherheit als Grundlage für Innovation betrachten und nicht als davon getrenntes Thema.“ [1]

Vertrauen muss sich weiterentwickeln, wenn Maschinen Zugang erhalten

KI ersetzt traditionelle Bedrohungen nicht, sondern verstärkt sie vielmehr, indem sie deren Geschwindigkeit, Umfang und Reichweite erhöht. Da automatisierte Systeme einen immer umfassenderen Zugang zu Unternehmensdaten erhalten, müssen Organisationen Identität, Verschlüsselung und Datentransparenz als Kerninfrastruktur neu überdenken. Diejenigen, die eine starke Governance in ihre KI-Strategien integrieren, sind besser in der Lage, sich sicher weiterzuentwickeln und zu vermeiden, dass KI zu ihrer neuesten Insider-Bedrohung wird.

[1] Thales 2026 Data Threat Report

Weitere Informationen zum Thema:

datensicherheit.de, 26.02.2026
ISO/IEC 42001: Verantwortungsvolle KI – ein neuer Standard für Cybersicherheit

datensicherheit.de, 26.02.2026
KI-Agenten für Cybersicherheit: Hintergründe zum Vorgehen

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 30.06.2020] Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch größere Gefahr vergessen – die Bedrohung durch Insider. Insider-Bedrohungen sind laut Verizon inzwischen für 34 Prozent aller Datenverstöße verantwortlich und können von unachtsamen Angestellten bis hin zu verärgerten Dienstleistern reichen. Das vielleicht stärkste Risiko geht jedoch von einer bestimmten Untergruppe aus – den ausscheidenden Mitarbeitern.

Sicherheitsrisiken durch ausscheidende Mitarbeiter

Für Unternehmen aller Größenordnungen haben ausscheidende Mitarbeiter schon immer ein Problem dargestellt. Denn sie verfügen nicht nur über den notwendigen Zugriff und das Wissen, wo sich sensible Daten befinden, sondern haben in der Regel auch ein Motiv. In einigen Fällen kann es einfach der Wunsch sein, Kopien der eigenen Arbeit für zukünftige Referenzen mitzunehmen. In anderen Fällen allerdings sollen sensible Daten an ein Konkurrenzunternehmen verkauft oder Insider-Wissen den Medien zugespielt werden. Hohe finanzielle Verluste und Reputationsschäden können die Folge sein. Aufgrund der unbekannten Variablen sind Unternehmen im Nachteil, wenn sie sich dieser Art von Bedrohung stellen müssen. Deshalb ist es wichtig, auf verdächtige Aktivitäten und Verhaltensweisen zu achten, die auf eine potenzielle Insider-Bedrohung hinweisen.

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian. Bild: Digital Guardian

Transparenz der Datenbewegungen zum Schutz vor Datendiebstahl

Um sich vor Datendiebstahl durch Insider zu schützen, ist in erster Linie eine Datensichtbarkeit an den Endpunkten erforderlich, aber auch dort, wo Daten das Unternehmen verlassen oder intern übertragen werden. Zumindest sollten Organisationen in der Lage sein, alle Arten von Dateibewegungen und Datenaustritten zu verfolgen und einen Audit-Trail darüber zu erstellen, was jeder Mitarbeiter vor seinem Ausscheiden aus dem Unternehmen gemacht hat. Auf diese Weise kann das Verhalten eines Mitarbeiters zwischen dem Zeitpunkt seiner Kündigung und seinem Ausscheiden genau überwacht und ihm, falls erforderlich, sogar beim Abschlussgespräch zur Klärung vorgelegt werden.

Warnzeichen für Insider-Bedrohungen durch ausscheidende Mitarbeiter

Zu den häufigsten Warnzeichen, die einen ausscheidenden Mitarbeiter als Insider-Bedrohung entlarven können, zählen Spitzen im Datenbewegungsvolumen, das heißt große Datenmengen, die auf USB-Geräte oder Cloud-Speicherorte wie Dropbox oder Google Drive gelangen. Wenn ein Unternehmen über eine Data Loss Prevention (DLP)-Lösung verfügt, ist es möglich, Dateien nach dem Grad ihrer Sensibilität zu kennzeichnen, sodass leichter zu erkennen ist, wie vertraulich die exfiltrierten Daten sind. Werden beispielsweise vertrauliche Dateien an E-Mails angehängt und entgegen den Unternehmensrichtlinien an eine private Domain wie Gmail oder Hotmail gesendet, würde die DLP-Lösung dies melden. Ein Sicherheitsanalytiker kann daraufhin den Vorfall untersuchen, um die Absicht der Person festzustellen, die die Datei versendet hat, und prüfen, wie sensibel ihr Inhalt war.

Maschinelles Lernen zur Verhaltensanalyse

In jüngerer Zeit haben Sicherheitsanbieter begonnen, maschinelles Lernen in ihren Lösungen einzusetzen, um Analysten zu entlasten, die in der Vergangenheit jeden Alarm manuell untersuchen mussten. Machine Learning bietet zudem die Fähigkeit, im Laufe der Zeit ein Standardverhaltensprofil für eine Person oder Maschine zu erzeugen. Einmal erstellt, wird alles, was außerhalb des Normalverhaltens liegt, automatisch für die weitere Analyse markiert, sodass die Sicherheitsteams verdächtige Aktivitäten viel schneller ausmachen können.

Natürlich ist die Bewegung großer Datenmengen nicht immer Grund zur Beunruhigung. Oftmals kann dies einfach das Ergebnis von Datensicherungen in Unternehmen sein. Andererseits können viele sensible Geschäftsgeheimnisse in nur einer einzigen Datei gestohlen werden. Deshalb ist es wichtig, genau zu wissen, welche Personen oder Applikationen auf sensible Informationen zugreifen, und sicherzustellen, dass die Daten angemessen geschützt sind.

Glücklicherweise haben sich die Vorgehensweisen ausscheidender Mitarbeiter in den letzten 15 Jahren nicht dramatisch geändert. Zwar mag es gelegentlich einen Mitarbeiter geben, der über das technische Know-how verfügt, gestohlene Daten in einer Bilddatei zu verstecken und mithilfe von Steganografie hinauszuschmuggeln, doch solche Fälle sind extrem selten. Mit den richtigen Sicherheitsvorkehrungen zur Überwachung auf verdächtiges Verhalten können Unternehmen Insider-Bedrohungen durch ausscheidende Mitarbeiter erheblich minimieren.

Weitere Informationen zum Thema:

datensicherheit.de, 18.05.2020
Cloud: Bewährte Methoden zur Eindämmung von Insider-Bedrohungen

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

Ein Beitrag von unserem Gastautor Jürgen Venhorst, Country Manager DACH bei Netwrix

[datensicherheit.de, 18.05.2020] Laut Gartner werden bis 2022 mindestens 95 Prozent der Cloud-Sicherheitsprobleme vom Kunden verschuldet. Auch wenn Cloud-Anbieter wie Microsoft jetzt zusätzliche Sicherheitsdienste anbieten (zum Beispiel das Microsoft 365 Security Center), brauchen Unternehmen zum Schutz ihrer Daten und Dienste auch eigene Kontrollen.

Warum? Viele unterschiedliche Cloud-Benutzertypen, darunter IT-Teams, Manager und Auftragnehmer, gefährden Unternehmensdaten. Der Netwrix Cloud Data Security Report 2019 stellte jedoch fest, dass die größte Bedrohung in der Cloud von gewöhnlichen Geschäftsanwendern ausgeht. Tatsächlich geben 43 Prozent der Unternehmen an, dass ihre Geschäftsanwender für Sicherheitsvorfälle in der Cloud verantwortlich seien. Das sind zehn Prozent mehr als vor einem Jahr. Um das Risiko eines Vorfalls zu verringern, müssen Unternehmen daher zusätzliche Kontrollen implementieren.

Was genau sind die mit Geschäftsanwendern verbundenen Hauptrisiken und wie können Unternehmen diese Risiken mindern?

Jürgen Venhorst, Country Manager DACH bei Netwrix, Bild: Netwrix

Gründe für die Anfälligkeit von Unternehmen

Einer der Hauptvorteile der Cloud besteht darin, dass Geschäftsanwender jederzeit und von nahezu jedem Ort aus einfacher auf Daten zugreifen können. Leider verstehen nicht alle Geschäftsanwender ihre Verantwortung im Zusammenhang mit der Datensicherheit, und viele Unternehmen bieten kein Cybersicherheitstraining an, um das Sicherheitsbewusstsein zu verbessern. Infolgedessen machen Benutzer vermutlich Fehler, die zu Sicherheitsvorfällen führen können

Tatsächlich ergab die Umfrage von 2019, dass die häufigste Ursache für Sicherheitsvorfälle in der Cloud Versehen waren – bei 45 Prozent der Befragten traten Vorfälle aufgrund von Fehlern auf, ein Anstieg von 28 Prozent im Vergleich zum Vorjahr.

Einblick in das Nutzerverhalten

Tiefgehender Einblick in das Nutzerverhalten ist eine großartige Methode, mit der Unternehmen das Risiko von Datenverletzungen, die durch den Faktor Mensch verursacht werden, verringern können. 36 Prozent der Unternehmen in der Netwrix-Umfrage von 2019 konnten jedoch nicht feststellen, wer für Sicherheitsvorfälle verantwortlich war – ein dramatischer Anstieg von nur sechs Prozent im Jahr 2018. Dies zeigt, dass das Maß an Einblick in Benutzeraktivitäten rund um die Daten in diesen Unternehmen viel zu wünschen übriglässt.

Eine weitere Möglichkeit, das Insider-Risiko zu verringern, besteht darin, mithilfe eines Datenerkennungs- und Klassifizierungstools (DDC) zu ermitteln, über wie viele Daten Unternehmen verfügen, wer Zugriff darauf hat und welche Informationen am kritischsten sind und geschützt werden müssen. Leider hat die Umfrage ergeben, dass viele Unternehmen dieses wichtige Verfahren vernachlässigen: In Unternehmen, in denen Geschäftsanwender an Sicherheitsvorfällen beteiligt waren, hatten 86 Prozent nicht alle in der Cloud gespeicherten Daten klassifiziert.

Maßnahmen zur Risikominderung

Zum Insider-Bedrohungen müssen Unternehmen Insider-Bedrohungen ergreifen, um die Mitarbeiteraktivitäten unter Kontrolle zu halten. Einige Unternehmen planen bereits Schritte: Sie sind bereit, in die Ausbildung des derzeitigen IT-Personals zu investieren (37 Prozent), ein ausreichendes Budget bereitzustellen (36 Prozent) und regelmäßige Statusberichte anzufordern (31 Prozent). Dennoch gibt fast ein Viertel (23 Prozent) der IT-Teams an, dass ihr Management nichts unternimmt, um Cloud-Sicherheitsinitiativen zu unterstützen, sodass sie auf die wachsenden Sicherheitsrisiken in der Cloud schlecht vorbereitet sind.

Empfehlungen

Basierend auf 15-jähriger Erfahrung in der Zusammenarbeit mit Unternehmen bei der Bekämpfung von Insider-Bedrohungen sind folgende drei bewährten Methoden am effektivsten:

• Mitarbeiter sollten stets geschult sein: Man sollte niemals den Wert des menschlichen Faktors für die Cybersicherheit unterschätzen. Regelmäßige Bewusstseinsschulungen und Prüfungen stellen sicher, dass alle Mitarbeiter mit den grundlegenden Sicherheitspraktiken vertraut sind und nicht versehentlich wichtige Daten und die gesamte Infrastruktur gefährden.
• Konkreten Einblick in die Cloud verschaffen: Da sowohl Benutzerfehler als auch Cyberangriffe unvermeidlich sind, muss die Cloud-Umgebung regelmäßig überprüft werden, um feststellen zu können, wer was wann und wo getan hat. Doch in der Lage zu sein, die Ereignisse der Vergangenheit zu überprüfen, ist nur die halbe Miete. Man muss ebenso in der Lage sein, abnormales Verhalten zu erkennen und darauf zu reagieren, bevor es zu einem Sicherheitsvorfall führt. Darüber hinaus kann man konkrete Einblicke in Systeme und Daten erhalten, um Vorfälle ordnungsgemäß zu untersuchen, damit ähnliche Probleme in Zukunft vermieden werden können.
• Klassifizieren der Daten: Mit Datenklassifizierungstechnologie kann man weit kommen – man kann genau nachvollziehen, welche Daten vorhanden sind und wo diese abliegen. Dadurch kann man das Bewusstsein für deren Wert und Sensibilität schärfen, um angemessene Kontrollen zu implementieren und diese Daten ordnungsgemäß zu schützen. Datenklassifizierung ist ein hervorragendes Instrument, um das Risiko eines versehentlichen Datenverlusts aufgrund der Fehler von Geschäftsanwendern zu verringern.

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2020
Eskalierende Datenmengen benötigen skalierbaren Datenschutz

datensicherheit.de, 11.10.2018
Netwrix-Studie: 73 Prozent der deutschen Unternehmen scheitern daran Sicherheitsvorfälle effektiv zu entdecken

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

[datensicherheit.de, 24.04.2019] Entgegen anders lautender Befunde sind Insider-Bedrohungen weiterhin einer der stärksten Gefährdungsfaktoren in Sachen IT-Sicherheit. Dabei spielt es keine Rolle, ob es sich um Innentäter handelt, die das Vertrauen des Unternehmens genießen oder um Benutzer, die unabsichtlich zum Verursacher werden. Die vorliegende Studie von Cybersecurity Insiders und Crowd Research Partners (mit Unterstützung von securonix) basiert auf einer Online-Befragung von 472 Cybersicherheitsexperten zum Thema Insider Threats. Befragt wurden sowohl IT- und IT-Sicherheitsexperten auf der Führungsebene (Director, Manager, CTO/CIO/CISO/CMO) als auch technische Spezialisten und Praktiker.

Die wichtigsten Ergebnisse auf einen Blick:

• 90 % aller befragten Unternehmen fühlen sich durch Insider-Angriffe verwundbar. Dabei gehen die größten Risiken von Nutzern mit deutlich erweiterten Zugriffsberechtigungen aus (37 %), fast gleichauf mit Bedrohungen, die von der steigenden Zahl der Geräte ausgehen, mit denen man auf vertrauliche Daten zugreifen kann (36 %). Eine zunehmend komplexer werdende IT-Infrastruktur bildet zudem den idealen Nährboden für Insider-Bedrohungen (35 %).
• 53 % der Befragten geben an, allein in den zurückliegenden 12 Monaten Opfer eines Insider-Vorfalls geworden zu sein und 27 % sind überzeugt davon, dass Insider-Angriffe zugenommen haben.
• Angesichts dieser Befunde verwundert es nicht, dass Unternehmen ihren Fokus auf das Erkennen von Insider-Bedrohungen verlagert haben (64 %). Eine der wichtigsten Methoden, um potentiellen Innentätern auf die Schliche zu kommen, ist die Überwachung des Benutzer-verhaltens: 94 % der Befragten geben an wenigstens eine Methode zur Überwachung des Benutzerverhaltens einzusetzen, und 93 % überwachen den Zugriff auf vertrauliche Daten.
• Zu den populärsten Technologien um Insider-Bedrohungen aufzudecken und in den Griff zu bekommen gehören Data Loss Prevention, Verschlüsselung und Identity und Access Management-Lösungen (IAM). Wenn es darum geht laufende Angriffe zu erkennen, setzen Firmen Intrusion Detection und Prevention-Lösungen (IDS) ein, ebenso wie Log-Management- und SIEM-Plattformen.
• Die überwiegende Mehrzahl der Befragten verfügt bereits über entsprechende Programme gegen Insider-Angriffe oder arbeitet an deren Umsetzung (86 %).

Die Natur von Insider-Bedrohungen

Immer noch hält sich einigermaßen hartnäckig die Ansicht, dass Insider-Bedrohungen hauptsächlich von böswillig agierenden Innentätern ausgehen, die ganz bewusst einer Firma schaden wollen oder ganz simpel Datenklau und Industriespionage betreiben. Diese Wahrnehmung ist nicht falsch. Allerdings lässt sie außer Acht, dass fast ebenso viele Datenschutzverletzungen unbeabsichtigt von Mitarbeitern oder externen Vertragspartner verursacht werden, nämlich 51 % verglichen mit böswillig agierenden Insidern (47 %). Das Risiko geht dabei nicht nur von durchschnittlichen Benutzern aus (56 %), sondern vor allem von privilegierten Benutzern (also solchen, die über erweiterte Zugriffsberechtigungen verfügen) und von Administratoren. Wenig überraschend geht ein nicht zu unterschätzendes Risiko zusätzlich von Vertragspartnern, Lieferanten und sonstigen externen Dritten aus (42 %). Im Fokus von Insider-Angriffen stehen dabei alle Arten von vertraulichen Daten wie Firmengeheimnisse, vertrauliche Personal- oder/und Kundendaten sowie Daten, welche die betriebliche Infrastruktur betreffen und natürlich Anmeldeinformationen zu Konten mit erweiterten Rechten, sogenannten Privileged Accounts.

Cyberkriminelle gehen dabei durchaus effizient vor und zielen insbesondere auf die Speicherorte an denen solche Daten in großen Mengen zusammengefasst vorliegen: Datenbanken (50 %) und File Server(46 %) sind demzufolge dem größten Risiko ausgesetzt. Zumindest was die Resultate dieser Befragung angeht, werden mobile Endgeräte als weniger großes Risiko wahrgenommen und bilden hinter Active Directory und geschäftlichen Anwendungen das Schlusslicht in der Risikohierarchie (25 %).

Für nicht absichtlich verursachte Insider-Bedrohungen gibt es eine Reihe von Gründen. Ganz oben auf der Liste der üblichen Verdächtigen steht nach wie vor Phishing, verantwortlich für 67 %  dieser Form von Insider-Bedrohungen. Gefolgt von schwachen oder mehrfach genutzten Passwörtern (56 %) und der gerade bei privilegierten Konten nicht unüblichen Praxis, Passwörter gemeinsam zu nutzen.

Im Wesentlichen sind es drei Risikofaktoren, die Sicherheitsexperten als Voraussetzung für erfolgreiche Insiderangriffe betrachten: Das ist zum einen eine steigende Zahl von Benutzern mit erweiterten Zugriffsberechtigungen, aber auch die wachsende Anzahl von Geräten mit denen sich problemlos auf vertrauliche Datenbestände zugreifen lässt und nicht zuletzt die schon angesprochene Komplexitäts-hürde, die sich an vielen Stellen negativ auf den Sicherheitslevel auswirkt.

Entsprechend realistisch schätzen IT-Experten die Situation ein: die überwältigende Mehrzahl aller Befragten fühlt sich durch Insider-Bedrohungen angreifbar (90 %), wenn auch der Grad der potenziellen Verwundbarkeit variiert. Lediglich magere 6 % der Befragten fühlen sich in Sachen Insider-Bedrohungen komplett auf der sicheren Seite.

Insider-Attacken und die Folgen

Die Zahl der Insider-Bedrohungen ist gestiegen und mit ihr die Wahrscheinlichkeit selbst Opfer eines Angriffs zu werden. 66 % der Befragten schätzen, dass solche Angriffe oder unabsichtlich verursachte Datenschutzverletzungen sehr viel wahrscheinlicher sind als externe Attacken. Eine Zahl mutet in diesem Zusammenhang allerdings überraschend an. Denn nur 11 % der Befragten gehen davon aus, dass der von einer nicht beabsichtigen Datenschutzverletzung verursachte Schaden am größten sein könnte. Man darf davon ausgehen, dass sich in dieser Zahl widerspiegelt, dass solche Vorkommnisse fast wider besseren Wissens in ihren Auswirkungen unterschätzt werden. Auch wenn sich die Kosten für einen erfolgreich durchgeführten Insider-Angriff schwer quantifizieren lassen, pegeln sich die Befragten auf Werte zwischen 100.000 und 500.000 US-Dollar (27 %) und über 500.000 US-Dollar (24 %) ein. Die Erfahrung hat allerdings bereits gelehrt, dass die Folgekosten in der Regel deutlich höher sind als erwartet.

Die Komplexitätshürde

Insider-Bedrohungen zu verhindern oder wenigstens so frühzeitig wie möglich zu erkennen schraubt die ohnehin existierende Komplexitätshürde bei der IT-Sicherheit noch ein wenig höher. Das betrifft die Vergabe und Verwaltung von Berechtigungen ebenso wie die Überwachung wie diese Berechtigungen tatsächlich von den Nutzern verwendet werden. Trotzdem haben nur 15 % der befragten Unternehmen keine ausreichenden Kontrollmöglichkeiten, während demgegenüber 73 % angeben sowohl über die entsprechenden Kontrollen als auch die notwendigen Policies zu verfügen um Insider-Threats zu begegnen. In jedem Unternehmen setzt sich das Rahmenwerk zur Kontrolle der Sicherheitslage aus verschiedenen Methoden und Technologien zusammen. Die Abgrenzung der Verantwortlichkeiten spielt dabei eine ebenso wichtige Rolle wie Best Practices-Empfehlungen. Die meisten Befragten setzen dabei entweder auf die Data Loss Prevention (60 %) oder auf Verschlüsselung (60 %). Es gibt unterschiedliche Methoden und Tools, die den Verantwortlichen dabei helfen, Insider-Bedrohungen zu erkennen und zu analysieren. Das hat sich in der Praxis niedergeschlagen, und die meisten der Befragten setzen mehr als eine Methode oder ein bestimmtes Tool ein, wenn es um das Erkennen von Insider-Bedrohungen geht. Indem sie Daten aus unterschiedlichen Quellen zusammenziehen und analysieren haben Unternehmen eine weitaus bessere Möglichkeit mit Datenschutzverletzungen umzugehen. Die meisten Insider-Bedrohungen werden demnach von IDS/IPS-Lösungen, Log-Management oder Security Information and Event Management-Tools (SIEM) aufgedeckt.

Insider überwachen

Die steigende Zahl von Insider-Bedrohungen hat unter anderem dazu geführt, dass Sicherheitsverantwortliche einen genaueren Blick auf das Verhalten der Benutzer werfen. Dazu dienen vornehmlich UBA (User Behaviour Analytics)-Tools. Sie sollen auffälliges Verhalten nicht nur erkennen, sondern auch einordnen und bei nachgewiesenen Anomalien entsprechende Benachrichtigungen auslösen. Die Zahl der Unternehmen, die in irgendeiner Form solche Tools einsetzen, ist im Verhältnis zu den Ergebnissen der Vorjahresbefragung erheblich gestiegen, nämlich von 42 % auf 94 %. Dabei werden vornehmlich Schlüsselanwendungen überwacht sowie die Server-Logs. Nicht alle Insider-Bedrohungen entstehen aus böser Absicht. Einige sind das Resultat eines Fehlers, andere das Resultat eines zu sorglosen Umgangs mit Sicherheitsbelangen. Das Verhalten und die Aktivitäten der Benutzer zu überwachsen senkt das Risiko für solche Bedrohungen. Ein entscheidender Part ist es dabei, die Nutzer zu identifizieren von denen potenziell ein erhöhtes Risiko ausgeht. Verhaltensprofile erstellen und übliche Arbeitsschemata zu erkennen, hilft solche Hochrisiko-Nutzer zu identifizieren. Ausgesprochene Feindseligkeiten gegenüber anderen Angestellten, verspätet abgelieferte oder gänzlich fehlende Arbeitsergebnisse, unübliche Tätigkeiten außerhalb der Arbeitszeiten oder auch eine abfallende Leistungskurve sind Anzeichen, die zumindest eine erhöhte Wachsamkeit erfordern. Die hier Befragten haben dazu eine klare Haltung. 88 % sind überzeugt, dass es absolut notwendig ist Hochrisiko-Insider anhand ihres Verhaltens zu überwachen. Inzwischen setzen bereits über die Hälfte der Befragten Lösungen ein, die entsprechende Analysen der erhobenen Befunde bereitstellen (55 %).

Fazit

Die überwiegende Mehrzahl der Befragten hat erkannt wie wichtig es ist, Insider-Bedrohungen frühzeitig zu erkennen und zu analysieren.  Firmen investieren zunehmend in Programme und Lösungen die das Problem adressieren. Das geht nicht von heute auf morgen, aber immerhin 36 % der Befragten verfügen bereits über entsprechende Programme und weitere 50 % arbeiten daran. Trotzdem gibt es noch einige Hürden zu überwinden. Die höchste besteht nun schon im dritten Jahr in Folge in fehlenden Trainings und mangelnder Expertise. Das sagen über die Hälfte der Befragten (52 %). Datenschutzverletzungen, die auf Nutzer zurückgehen, die entweder legitime Nutzer sind oder die sich der Anmeldeinformationen legitimer Nutzer bedienen sind deutlich schwerer aufzudecken als externe Bedrohungen. Etwas über ein Fünftel der Befragten ist in der Lage solche Bedrohungen innerhalb von Minuten aufzudecken, 33 % immerhin noch innerhalb von Stunden oder 25 % innerhalb eines Tages. Das wirkt sich auch auf die Zeitspanne aus innerhalb derer Unternehmen sich von einem Angriff erholen. 89 % der Befragten gehen davon aus dazu nicht mehr als eine Woche zu brauchen. Das sind 18 % mehr als im vorigen Jahr. Etwas gegen den in anderen Umfragen postulierten Trend geht eine höhere Zahl an Befragten hier davon aus, dass die IT-Sicherheitsbudgets steigen werden (49 %). Vorbeugen und ein erhöhtes Sicherheitsbewusstsein sind dabei die strategischen Eckpfeiler gegen Insiderbedrohungen. Das ist bei der Mehrzahl der Befragten angekommen und wird über entsprechende Maßnahmen wie etwa Schulungen und Trainings für Mitarbeiter und formelle Richtlinienvorgaben umgesetzt.

Weitere Informationen zum Thema:

Securonix
2018 Insider Threat Report

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 22.08.2016
Insider-Bedrohungen Hauptursache für steigende Zahl von Datendiebstählen

datensicherheit.de, 23.06.2016
Cyber-Attacken zu 60 Prozent der Fälle Insider-Jobs

datensicherheit.de, 31.03.2016
Imperva Hacker Intelligence Initiative Report: Insiderbedrohungen in 100 Prozent der untersuchten Umgebungen