ISMS

Insider Threats: Wenn die Bedrohung von innen kommt

15 Min. Lesezeit
TL;DR
  • Insider Threats verursachen laut Studien durchschnittlich höhere Schäden pro Vorfall als externe Angriffe, weil Insider bereits Zugang und Vertrauen besitzen.
  • Die drei Typen sind böswillige Insider (gezielte Schädigung), fahrlässige Insider (Fehler und Unwissen) und kompromittierte Insider (übernommene Accounts).
  • Technische Erkennung durch DLP, UEBA und zentrales Logging muss mit organisatorischen Maßnahmen wie Least Privilege, Separation of Duties und klaren Offboarding-Prozessen kombiniert werden.
  • In Deutschland setzen Datenschutz, DSGVO und Betriebsverfassungsgesetz enge Grenzen für Mitarbeiterüberwachung, die bei der Implementierung von Erkennungsmaßnahmen zwingend beachtet werden müssen.
  • Der wirksamste Schutz ist eine Kombination aus technischen Kontrollen, gesunder Unternehmenskultur und Prozessen, die Fehlverhalten erschweren, ohne Mitarbeiter unter Generalverdacht zu stellen.

Die unterschätzte Gefahr

Wenn Unternehmen an Cyberbedrohungen denken, haben die meisten Hacker im Kapuzenpullover vor Augen, die von außen in Systeme eindringen. Die Realität sieht anders aus. Ein erheblicher Teil aller Sicherheitsvorfälle geht nicht von externen Angreifern aus, sondern von Personen, die bereits legitimen Zugang zu Systemen und Daten haben: Mitarbeiter, ehemalige Mitarbeiter, Dienstleister und Geschäftspartner.

Das Ponemon Institute beziffert die durchschnittlichen Kosten eines Insider-Threat-Vorfalls auf über 15 Millionen US-Dollar für große Unternehmen. Für den Mittelstand sind die absoluten Zahlen kleiner, aber relativ zum Umsatz oft existenzbedrohend. Ein Mitarbeiter, der vor seinem Wechsel zur Konkurrenz systematisch Kundendaten und Konstruktionszeichnungen kopiert, kann ein mittelständisches Unternehmen härter treffen als jeder Ransomware-Angriff.

Das Thema ist heikel, weil es das Spannungsfeld zwischen Sicherheit und Vertrauen berührt. Kein Unternehmen möchte seine Mitarbeiter unter Generalverdacht stellen. Gleichzeitig wäre es fahrlässig, das Risiko zu ignorieren. Die Kunst liegt darin, Maßnahmen zu implementieren, die wirksam schützen, ohne die Unternehmenskultur zu vergiften. Und genau darum geht es in diesem Artikel.

Die drei Typen von Insider Threats

Insider Threats lassen sich in drei grundlegend verschiedene Kategorien einteilen, die jeweils eigene Motivationen, Muster und Gegenmaßnahmen haben.

Böswillige Insider (Malicious Insiders)

Böswillige Insider handeln absichtlich zum Schaden des Unternehmens. Die Motivationen sind vielfältig: finanzielle Bereicherung, Rache nach Konflikten oder Kündigung, ideologische Überzeugung oder Anwerbung durch Wettbewerber oder fremde Nachrichtendienste.

Typische Szenarien umfassen den Diebstahl von geistigem Eigentum (Konstruktionszeichnungen, Quellcode, Kundenlisten, Rezepturen), die Sabotage von Systemen (Löschen von Daten, Einschleusen von Schadsoftware, Manipulation von Produktionssystemen), den Verkauf von Zugangsdaten oder vertraulichen Informationen an Dritte und den Betrug (Manipulation von Finanzdaten, Umleitung von Zahlungen, Abrechnungsbetrug).

Böswillige Insider sind schwer zu erkennen, weil sie im Rahmen ihrer normalen Tätigkeit auf Systeme zugreifen, die sie legitim nutzen dürfen. Der Unterschied zwischen einer normalen Nutzung und einem Datendiebstahl liegt oft nur in der Absicht und im Kontext, nicht in den technischen Zugriffen selbst.

Ein anonymisiertes Beispiel: Ein Entwickler in einem Softwareunternehmen hatte nach einer als ungerecht empfundenen Leistungsbeurteilung beschlossen, das Unternehmen zu verlassen. In den Wochen vor seinem Ausscheiden kopierte er systematisch den Quellcode der Kernprodukte auf einen privaten Cloud-Speicher. Die Zugriffe fielen nicht auf, weil er als Entwickler täglich mit dem Quellcode arbeitete. Erst als der Mitarbeiter bei einem direkten Wettbewerber auftauchte und dort ein auffällig ähnliches Produkt entstand, wurde der Verdacht geweckt. Die forensische Aufarbeitung zeigte, dass die Datenexfiltration über Wochen stattgefunden hatte.

Fahrlässige Insider (Negligent Insiders)

Fahrlässige Insider verursachen Sicherheitsvorfälle nicht absichtlich, sondern durch Unwissen, Unachtsamkeit oder die Umgehung von Sicherheitsrichtlinien aus Bequemlichkeit. Dieser Typ ist quantitativ der häufigste und verursacht in Summe die meisten Schäden, auch wenn der einzelne Vorfall meist weniger gravierend ist als bei böswilligem Handeln.

Typische Szenarien sind das Versenden vertraulicher Dokumente an falsche Empfänger, die Nutzung unsicherer Passwörter oder die Weitergabe von Zugangsdaten, das Umgehen von Sicherheitsrichtlinien (zum Beispiel Übertragen von Arbeitsdaten auf private USB-Sticks, weil die VPN-Verbindung zu langsam ist), das Klicken auf Phishing-Links oder das Öffnen schadhafter Anhänge, die unsachgemäße Entsorgung vertraulicher Dokumente und die Fehlkonfiguration von Cloud-Diensten, die zu Datenexposition führt.

Der entscheidende Unterschied zum böswilligen Insider: Fahrlässige Insider wollen keinen Schaden anrichten. Sie schneiden Ecken ab, weil Sicherheitsmaßnahmen als hinderlich empfunden werden, oder sie machen Fehler, weil ihnen das Bewusstsein für die Konsequenzen fehlt. Das bedeutet auch, dass die Gegenmaßnahmen andere sind: Schulung, benutzerfreundliche Sicherheitslösungen und eine Kultur, die Sicherheit als selbstverständlich betrachtet, statt als lästige Pflicht.

Kompromittierte Insider (Compromised Insiders)

Kompromittierte Insider sind Mitarbeiter, deren Zugangsdaten oder Geräte von externen Angreifern übernommen wurden. Der Mitarbeiter selbst ist nicht der Angreifer, sondern das unwissentliche Werkzeug. Aus der Perspektive der Erkennung sieht es jedoch so aus, als würde der Mitarbeiter selbst die schädlichen Aktionen durchführen.

Die Kompromittierung kann durch erfolgreiche Phishing-Angriffe (Zugangsdaten abgegriffen), Malware auf dem Arbeitsgerät, unsichere private Geräte, die für berufliche Zwecke genutzt werden, oder kompromittierte Passwörter aus Datenlecks bei anderen Diensten erfolgen.

Dieser Typ ist besonders heimtückisch, weil die Aktionen technisch von einem legitimen Benutzeraccount ausgehen. Ein Angreifer, der sich mit gestohlenen Zugangsdaten eines Administrators einloggt, hat dieselben Rechte wie der echte Administrator. Klassische Perimeter-Sicherheit ist wirkungslos, weil der Angreifer bereits "drinnen" ist.

Warnsignale erkennen

Insider Threats kündigen sich oft durch Warnsignale an, die bei aufmerksamem Hinsehen erkennbar sind. Diese Warnsignale allein beweisen nichts, aber ihre Häufung oder Kombination sollte Anlass für eine genauere Prüfung sein.

Technische Warnsignale

  • Ungewöhnliche Zugriffszeiten: Zugriffe auf sensible Systeme zu unüblichen Zeiten (nachts, am Wochenende), die nicht zum normalen Arbeitsmuster passen.
  • Massenhafte Datenzugriffe: Ein Mitarbeiter lädt plötzlich deutlich mehr Daten herunter als in seinem normalen Arbeitsablauf üblich.
  • Zugriff auf ungewöhnliche Ressourcen: Ein Mitarbeiter der Marketingabteilung greift auf Finanzdaten zu, die er für seine Arbeit nicht benötigt.
  • Nutzung nicht autorisierter Speichermedien: USB-Sticks, private Cloud-Speicher oder E-Mail-Weiterleitungen an private Adressen.
  • Umgehung von Sicherheitskontrollen: Deaktivierung von Endpoint Protection, Nutzung von VPN-Tunneln oder Tor-Browser, Verschlüsselung von Daten vor dem Transfer.
  • Ungewöhnliche Netzwerkaktivität: Große Datenmengen, die das Netzwerk verlassen, insbesondere zu unbekannten Zielen.

Verhaltensbasierte Warnsignale

  • Unzufriedenheit: Offener oder verdeckter Frust über das Unternehmen, Vorgesetzte oder Kollegen, insbesondere nach Konflikten, übergangenen Beförderungen oder Gehaltsverhandlungen.
  • Finanzieller Druck: Erkennbare finanzielle Schwierigkeiten, die einen Motivator für Datendiebstahl oder Betrug darstellen können.
  • Kündigung oder bevorstehender Wechsel: Die Phase zwischen Kündigung und tatsächlichem Ausscheiden ist statistisch die kritischste für Datendiebstahl.
  • Verstöße gegen Richtlinien: Wiederholte, bewusste Verstöße gegen Sicherheitsrichtlinien deuten auf eine generelle Missachtung von Regeln hin.
  • Übermäßige Überstunden: Arbeiten zu ungewöhnlichen Zeiten, wenn weniger Kontrolle stattfindet, kann ein Warnsignal sein, muss es aber nicht.

Es ist entscheidend, diese Warnsignale im Kontext zu bewerten. Ein Entwickler, der am Wochenende arbeitet, weil ein Release ansteht, zeigt kein verdächtiges Verhalten. Derselbe Entwickler, der am Wochenende nach seiner Kündigung massenhaft Quellcode herunterlädt, hingegen schon. Der Kontext macht den Unterschied.

Technische Erkennungsmaßnahmen

Verschiedene Technologien unterstützen die Erkennung von Insider Threats. Keine davon ist für sich allein ausreichend, aber in Kombination bilden sie ein wirksames Erkennungssystem.

Data Loss Prevention (DLP)

DLP-Systeme überwachen den Datenfluss und verhindern die unautorisierte Übertragung sensibler Daten. Sie können auf drei Ebenen wirken:

Netzwerk-DLP überwacht den Netzwerkverkehr und erkennt, wenn klassifizierte Daten per E-Mail, Webupload oder andere Kanäle das Unternehmensnetz verlassen. Beispiel: Eine E-Mail mit einer Datei, die als "Vertraulich" klassifiziert ist, an eine externe Adresse wird blockiert und der Sicherheitsbeauftragte benachrichtigt.

Endpoint-DLP überwacht Aktivitäten auf Endgeräten, einschließlich Kopieren auf USB-Sticks, Drucken, Screenshots und Dateitransfers. Besonders in der Phase zwischen Kündigung und Ausscheiden kann Endpoint-DLP wertvolle Hinweise liefern.

Cloud-DLP kontrolliert den Datenfluss in Cloud-Anwendungen und verhindert, dass sensible Daten in nicht autorisierte Cloud-Speicher hochgeladen werden.

Für den Mittelstand ist eine vollständige DLP-Implementierung oft zu komplex und kostspielig. Ein pragmatischer Ansatz konzentriert sich auf die kritischsten Daten (geistiges Eigentum, Kundendaten, Finanzdaten) und die wahrscheinlichsten Exfiltrationskanäle (E-Mail, Cloud-Speicher, USB).

User and Entity Behavior Analytics (UEBA)

UEBA-Systeme erstellen Verhaltensprofile für Benutzer und Systeme und erkennen Abweichungen vom normalen Muster. Wenn ein Mitarbeiter normalerweise zwischen 8 und 18 Uhr auf zehn Dateien pro Tag zugreift und plötzlich nachts hunderte Dateien herunterlädt, löst UEBA einen Alarm aus.

Der Vorteil von UEBA gegenüber regelbasierten Systemen: UEBA erkennt auch neuartige Muster, die nicht durch vordefinierte Regeln abgedeckt sind. Der Nachteil: UEBA-Systeme benötigen eine Anlernphase, erzeugen False Positives und erfordern qualifiziertes Personal für die Bewertung der Alarme.

Für kleinere Unternehmen, die kein dediziertes UEBA-Tool rechtfertigen können, bieten viele SIEM-Lösungen grundlegende Verhaltensanalyse-Funktionen. Auch die Audit-Logs von Microsoft 365 und Azure Active Directory enthalten Informationen, die für eine manuelle Anomalie-Erkennung genutzt werden können.

Zentrales Logging und SIEM

Ein zentrales Logging aller sicherheitsrelevanten Ereignisse ist die Grundvoraussetzung für jede Insider-Threat-Erkennung. Wenn du nicht weißt, wer wann auf welche Daten zugegriffen hat, kannst du verdächtiges Verhalten weder erkennen noch nachträglich aufklären.

Relevante Logquellen für die Insider-Threat-Erkennung umfassen Authentifizierungslogs (erfolgreiche und fehlgeschlagene Anmeldungen, MFA-Events), Dateizugriffslogs (wer hat welche Dateien geöffnet, kopiert, gelöscht), E-Mail-Logs (Empfänger, Anhänge, externe Weiterleitungen), VPN- und Netzwerkzugriffslogs, Cloud-Service-Logs (SharePoint, OneDrive, Azure, AWS), Druckprotokolle und USB-Aktivitätslogs auf Endgeräten.

Die Logs allein nützen wenig, wenn sie nicht ausgewertet werden. Definiere Alerting-Regeln für offensichtliche Warnsignale (zum Beispiel: Massenhafter Dateidownload durch einen Benutzer, der gekündigt hat) und plane regelmäßige Reviews der Logdaten für subtilere Muster.

Privileged Access Monitoring

Administrative und privilegierte Zugänge stellen ein besonderes Risiko dar, weil sie weitreichende Berechtigungen haben. Privileged Access Management (PAM) Lösungen protokollieren und kontrollieren alle Aktivitäten privilegierter Benutzer, können Session Recordings anfertigen und Just-in-Time-Zugänge bereitstellen, die nur für die Dauer einer konkreten Aufgabe aktiv sind.

Für den Mittelstand ist ein vollständiges PAM oft überdimensioniert, aber einzelne Elemente wie die Protokollierung administrativer Zugriffe, die Trennung von Admin- und Benutzerkonten und die Einschränkung permanenter Admin-Rechte sind pragmatische Schritte, die das Risiko deutlich reduzieren.

Organisatorische Maßnahmen

Technische Maßnahmen sind notwendig, aber nicht hinreichend. Organisatorische Maßnahmen adressieren die Ursachen und schaffen Rahmenbedingungen, die Insider Threats erschweren.

Least Privilege Prinzip

Das Prinzip der minimalen Rechte besagt, dass jeder Benutzer nur die Berechtigungen erhalten soll, die er für seine aktuelle Aufgabe tatsächlich benötigt. Ein sauber implementiertes Berechtigungskonzept ist die Grundlage dafür. Nicht mehr und nicht weniger. Das klingt selbstverständlich, wird aber in der Praxis häufig verletzt.

Typische Verstöße: Mitarbeiter behalten Berechtigungen aus früheren Rollen (Berechtigungsakkumulation). Administratoren arbeiten dauerhaft mit Admin-Konten, auch für alltägliche Aufgaben. Auszubildende erhalten dieselben Berechtigungen wie erfahrene Mitarbeiter. Und bei Projekten werden großzügig Zugänge vergeben, die nach Projektende nicht wieder entzogen werden.

Ein regelmäßiger Berechtigungs-Review (mindestens halbjährlich für kritische Systeme) stellt sicher, dass die tatsächlichen Berechtigungen dem aktuellen Bedarf entsprechen. Automatisierte Tools zur Berechtigungsanalyse können dabei helfen, übermäßige Rechte zu identifizieren.

Separation of Duties

Separation of Duties (Funktionstrennung) stellt sicher, dass kritische Prozesse nicht von einer einzelnen Person kontrolliert werden. Wenn die Person, die Bestellungen anlegt, nicht dieselbe ist, die Zahlungen freigibt, wird Betrug deutlich schwieriger.

Typische Anwendungen umfassen die Trennung von Bestell- und Zahlungsfreigabe, die Trennung von Entwicklung und Produktionsdeployment, die Trennung von Benutzerverwaltung und Systemadministration und die Trennung von Datensicherung und Datenlöschung.

Für kleine Unternehmen, in denen eine vollständige Funktionstrennung personell nicht umsetzbar ist, bietet das Vier-Augen-Prinzip eine Alternative: Zwei Personen müssen kritische Aktionen gemeinsam freigeben.

Saubere Onboarding- und Offboarding-Prozesse

Die Phase des Mitarbeitereintritts und -austritts ist für die Insider-Threat-Prävention besonders kritisch.

Beim Onboarding werden Berechtigungen vergeben, die dem tatsächlichen Aufgabenprofil entsprechen sollten. Ein standardisierter Onboarding-Prozess mit rollenbasierten Berechtigungspaketen verhindert, dass neue Mitarbeiter zu viele Rechte erhalten.

Beim Offboarding müssen alle Zugänge zeitnah und vollständig deaktiviert werden. Das umfasst nicht nur den AD-Account, sondern auch VPN-Zugänge, Cloud-Dienste, API-Keys, physische Zugangsmedien und alle weiteren Systeme, zu denen der Mitarbeiter Zugang hatte. Ein definierter Offboarding-Prozess mit Checkliste ist hier unerlässlich.

Die Praxis zeigt, dass gerade beim Offboarding regelmäßig Zugänge vergessen werden, besonders bei Cloud-Diensten und SaaS-Anwendungen, die dezentral beschafft wurden. Eine zentrale Übersicht aller Zugänge pro Mitarbeiter (idealerweise aus dem Identity Management System) ist die Grundlage für ein vollständiges Offboarding.

Unternehmenskultur und offene Kommunikation

Mitarbeiter, die sich wertgeschätzt, fair behandelt und gehört fühlen, stellen ein geringeres Insider-Threat-Risiko dar als frustrierte, ausgegrenzte oder unter Druck gesetzte Mitarbeiter. Das ist keine naive Hoffnung, sondern ein durch Forschung belegter Zusammenhang.

Das bedeutet nicht, dass eine gute Unternehmenskultur Insider Threats verhindert. Aber sie reduziert die Motivation für böswilliges Handeln und fördert eine Atmosphäre, in der Mitarbeiter verdächtiges Verhalten eher melden, Sicherheitsrichtlinien eher befolgen und Fehler eher zugeben, bevor sie eskalieren.

Konkrete Maßnahmen: Offene Feedback-Kanäle, faire Konfliktlösungsprozesse, transparente Entscheidungen bei Beförderungen und Gehaltsanpassungen und eine Sicherheitskultur, die das Melden von Sicherheitsvorfällen belohnt statt bestraft.

Rechtliche Grenzen der Überwachung

Die Erkennung von Insider Threats erfordert die Überwachung von Mitarbeiteraktivitäten. In Deutschland setzen Datenschutzrecht, DSGVO und Betriebsverfassungsgesetz dabei enge Grenzen, die zwingend beachtet werden müssen. Verstöße gegen diese Grenzen können nicht nur zu empfindlichen Bußgeldern führen, sondern machen erhobene Beweise im Ernstfall auch unverwertbar.

Datenschutzrechtliche Vorgaben

Die Verarbeitung von Beschäftigtendaten ist nach § 26 BDSG (beziehungsweise § 28 BDSG-neu) zulässig, wenn sie für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Sicherheitsmaßnahmen, die dem Schutz des Unternehmens dienen, fallen grundsätzlich unter diese Erlaubnis, müssen aber verhältnismäßig sein.

Das bedeutet konkret: Du darfst nicht pauschal den gesamten E-Mail-Verkehr aller Mitarbeiter mitlesen. Du darfst aber bei einem konkreten Verdacht und unter Einhaltung des Verhältnismäßigkeitsprinzips gezielte Untersuchungen durchführen. Die anlasslose Massenüberwachung ist unzulässig. Die anlassbezogene, verhältnismäßige Kontrolle bei begründetem Verdacht hingegen schon.

Betriebsrat und Mitbestimmung

Wenn dein Unternehmen einen Betriebsrat hat, unterliegen viele technische Überwachungsmaßnahmen der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Das gilt für die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

DLP-Systeme, UEBA-Tools und umfassende Logging-Lösungen fallen in der Regel unter diese Mitbestimmungspflicht. Das bedeutet: Du musst den Betriebsrat vor der Einführung informieren und eine Betriebsvereinbarung abschließen, die den Umfang der Überwachung, die Zweckbindung der erhobenen Daten, die Zugriffsberechtigungen und die Löschfristen regelt.

Das ist kein Hindernis, sondern kann sogar ein Vorteil sein. Eine Betriebsvereinbarung schafft Rechtssicherheit für beide Seiten und signalisiert den Mitarbeitern, dass die Überwachung nach klaren, transparenten Regeln erfolgt und nicht willkürlich ist.

Verhältnismäßigkeit in der Praxis

Die Verhältnismäßigkeit verlangt, dass die Überwachungsmaßnahme geeignet ist (sie muss das Sicherheitsziel tatsächlich erreichen können), erforderlich ist (es gibt kein milderes Mittel, das denselben Zweck erfüllt), angemessen ist (die Schwere des Eingriffs in die Rechte der Mitarbeiter steht in einem vertretbaren Verhältnis zum verfolgten Sicherheitsziel).

Praxisbeispiel: Die automatische Alarmierung bei massenhaftem Dateidownload durch einen gekündigten Mitarbeiter ist in der Regel verhältnismäßig. Die permanente Aufzeichnung aller Bildschirminhalte aller Mitarbeiter ist es in der Regel nicht.

Bei konkretem Verdacht auf strafbare Handlungen (Datendiebstahl, Betrug, Sabotage) sind weitergehende Maßnahmen zulässig, die im Normalbetrieb unverhältnismäßig wären. Aber auch hier gilt: Dokumentiere den Verdacht, die Abwägung und die Maßnahme sorgfältig. Im Zweifel sollte die Rechtsabteilung oder ein auf Arbeitsrecht spezialisierter Anwalt hinzugezogen werden.

Praxisbeispiele und Lessons Learned

Die folgenden anonymisierten Beispiele illustrieren typische Insider-Threat-Szenarien und die Lehren daraus.

Der frustrierte Administrator

Ein Systemadministrator in einem mittelständischen Unternehmen wurde bei einer Beförderung übergangen. In den folgenden Wochen begann er, Backdoor-Zugänge in verschiedene Systeme einzubauen. Als ihm schließlich gekündigt wurde, nutzte er diese Backdoors, um von außen auf die Systeme zuzugreifen und Daten zu löschen.

Lesson Learned: Administratoren-Accounts müssen einer besonderen Überwachung unterliegen. Die Trennung von persönlichem Account und Admin-Account, regelmäßige Reviews der Admin-Aktivitäten und ein sauberer Offboarding-Prozess, der auch versteckte Zugänge identifiziert, hätten den Schaden verhindert oder begrenzt. Zusätzlich wäre eine Change-Detection auf kritischen Systemen hilfreich gewesen, die das Einrichten neuer Zugänge erkannt hätte.

Die versehentliche Datenexposition

Eine Mitarbeiterin in der Personalabteilung hatte die Gehaltsübersicht aller Mitarbeiter in einem SharePoint-Ordner abgelegt, der versehentlich für die gesamte Organisation freigegeben war. Die Fehlkonfiguration blieb drei Monate unbemerkt, bis ein Mitarbeiter die Daten entdeckte und im Kollegenkreis teilte.

Lesson Learned: Fahrlässige Insider Threats lassen sich durch automatisierte Berechtigungsprüfungen, Data Classification und regelmäßige Access Reviews reduzieren. Ein DLP-System hätte die sensiblen Personaldaten im freigegebenen Ordner erkennen und alarmieren können. Und eine Schulung zum korrekten Umgang mit vertraulichen Daten in SharePoint hätte den Fehler möglicherweise von vornherein verhindert.

Der kompromittierte Vertriebsaccount

Ein Vertriebsmitarbeiter klickte auf einen Phishing-Link und gab seine Zugangsdaten auf einer gefälschten Microsoft-365-Loginseite ein. Der Angreifer nutzte den Account, um intern Phishing-Mails an die Buchhaltung zu versenden, die scheinbar vom Vertriebsmitarbeiter stammten. Da die E-Mails von einer internen Adresse kamen, wurden sie nicht als verdächtig eingestuft.

Lesson Learned: MFA hätte die Übernahme des Accounts verhindert. Ein UEBA-System hätte die ungewöhnlichen Aktivitäten (Massen-E-Mails an interne Adressen, Zugriff zu unüblichen Zeiten, Zugriff aus einer unbekannten geographischen Region) erkannt. Und der Phishing-Angriff selbst hätte durch bessere Awareness möglicherweise verhindert werden können.

Insider-Threat-Programm aufbauen

Ein strukturiertes Insider-Threat-Programm verbindet die technischen und organisatorischen Maßnahmen zu einem kohärenten Gesamtkonzept. Für den Mittelstand empfehlen wir einen pragmatischen, stufenweisen Aufbau.

Stufe 1: Grundlagen schaffen

  • Least-Privilege-Prinzip für alle Benutzer und Systeme implementieren
  • Saubere Onboarding- und Offboarding-Prozesse mit Checklisten etablieren
  • Zentrales Logging für Authentifizierung, Dateizugriffe und administrative Aktionen einrichten
  • Regelmäßige Berechtigungs-Reviews (halbjährlich für kritische Systeme) einführen
  • MFA für alle Benutzer, mindestens aber für privilegierte Accounts und Remote-Zugänge aktivieren

Stufe 2: Erkennung verbessern

  • Alerting-Regeln für offensichtliche Anomalien definieren (massenhafte Downloads, Zugriffe zu ungewöhnlichen Zeiten, Zugriffe auf unübliche Ressourcen)
  • DLP für die kritischsten Daten und Kanäle einführen (E-Mail, Cloud-Speicher)
  • Privileged Access Monitoring für Administratoren-Accounts implementieren
  • Offboarding-Prozess um technische Überprüfung erweitern (letzte Aktivitäten des ausscheidenden Mitarbeiters prüfen)
  • Betriebsvereinbarung zur technischen Überwachung abschließen (falls Betriebsrat vorhanden)

Stufe 3: Programm reifen lassen

  • UEBA-Funktionen aktivieren oder dediziertes UEBA-Tool einführen
  • Insider-Threat-Szenarien in die Risikobewertung aufnehmen und regelmäßig aktualisieren
  • Incident-Response-Plan um Insider-Threat-Szenarien erweitern
  • Regelmäßige Tabletop-Übungen für Insider-Threat-Szenarien durchführen
  • Zusammenarbeit zwischen IT-Sicherheit, Personalabteilung und Rechtsabteilung formalisieren

Insider Threats im ISMS

ISO 27001 adressiert Insider Threats nicht als eigenständiges Thema, aber die relevanten Controls verteilen sich über mehrere Bereiche des Annex A.

A.5.9 und A.5.10 (Inventar und akzeptable Nutzung) legen fest, welche Assets existieren und wie sie genutzt werden dürfen.

A.5.15 bis A.5.18 (Zugangssteuerung) regeln, wer auf welche Ressourcen zugreifen darf und wie Zugänge verwaltet werden.

A.6.1 bis A.6.6 (Personalsicherheit) adressieren Screening, Arbeitsvertragsbedingungen, Awareness, Disziplinarverfahren und Verantwortlichkeiten nach Beendigung des Arbeitsverhältnisses.

A.8.10 bis A.8.12 (Datensicherheit) umfassen Informationslöschung, Datenmaskierung und die Verhinderung von Datenlecks.

Die Integration von Insider-Threat-Maßnahmen in dein ISMS bedeutet, dass du diese Controls nicht isoliert betrachtest, sondern als zusammenhängendes System, das den gesamten Mitarbeiter-Lifecycle abdeckt. Von der Einstellung über die tägliche Arbeit bis zum Ausscheiden.

Die Risikobewertung sollte Insider-Threat-Szenarien als eigene Bedrohungskategorie enthalten. In ISMS Lite lassen sich Insider-Threat-Risiken als eigene Kategorie anlegen und mit den passenden Controls und Maßnahmen verknüpfen. Dabei ist es wichtig, nicht nur den böswilligen Insider zu berücksichtigen, sondern auch fahrlässiges Verhalten und kompromittierte Accounts als eigenständige Risiken zu bewerten und zu behandeln.

Insider Threats werden nie vollständig eliminierbar sein, solange Menschen Zugang zu Systemen und Daten haben. Aber mit einem durchdachten Programm, das technische Kontrollen, organisatorische Maßnahmen und eine gesunde Unternehmenskultur verbindet, kannst du das Risiko auf ein vertretbares Maß reduzieren. Und genau das ist das Ziel eines ISMS.

Weiterführende Artikel

Insider Threat Interne Bedrohung DLP UEBA ISMS ISO 27001 Datenschutz Mitarbeiterkontrolle

Insider Threats systematisch managen

ISMS Lite unterstützt dich bei Risikobewertung, Berechtigungsmanagement und Dokumentation der Maßnahmen gegen interne Bedrohungen. Alles an einem Ort, revisionssicher.

Jetzt installieren